Im Kern der DSGVO stehen sieben Grundsätze, die Organisationen anleiten, wie sie Daten schützen und angemessen verwenden können, sowie klare Erwartungen für EU-Bürger, wie ihre Daten verarbeitet werden sollten.

Verstöße gegen diese Kernprinzipien können zu höheren DSGVO-Bußen und -Strafen führen.

Im Folgenden werden wir jeden der Datenschutzgrundsätze der DSGVO behandeln, damit Sie besser verstehen, wie personenbezogene Daten verarbeitet und geschützt werden können.

Datenschutzgrundsätze

Die sieben Schutz- und Verantwortlichkeitsgrundsätze, an die sich Organisationen bei der Verarbeitung personenbezogener Daten halten müssen, sind in Artikel 5.1-2 des DSGVO-Dokuments aufgeführt.

Dies sind keine expliziten Anweisungen für die Einhaltung der DSGVO. Stattdessen spiegeln sie die Grundsätze der Datenschutzverordnung wider und helfen Organisationen bei der Verarbeitung personenbezogener Informationen und der Formulierung ihrer Datenschutzprotokolle.

Im Folgenden geben wir einen kurzen Überblick über diese Grundsätze.

1. Rechtmäßigkeit, Fairness und Transparenz

Die Datenverarbeitung muss gegenüber der betroffenen Person rechtmäßig, fair und transparent sein.

Rechtmäßigkeit bedeutet, dass Sie eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten haben. Die DSGVO umfasst sechs Gründe:

• Zustimmung: Die betroffene Person hat dem Datenverarbeiter zugestimmt.
• Vertrag: Die Verarbeitung ist notwendig für einen Vertrag, den Sie mit der betroffenen Person haben, oder weil die betroffene Person Sie gebeten hat, vor Vertragsabschluss bestimmte Schritte zu unternehmen.
• Rechtliche Verpflichtung: Sie müssen Daten verarbeiten, um das Gesetz zu befolgen.
• Lebenswichtige Interessen: Sie müssen Daten verarbeiten, um das Leben einer Person zu retten.
• Öffentliche Aufgabe: Sie müssen Daten im öffentlichen Interesse verarbeiten.
• Berechtigtes Interesse: Die Verarbeitung der Daten liegt in Ihrem berechtigten Interesse oder im berechtigten Interesse eines Dritten und verletzt nicht die grundlegenden Rechte oder Freiheiten der betroffenen Person. Dies ist die flexibelste rechtmäßige Grundlage für die Datenverarbeitung. Beispiele für berechtigtes Interesse sind Marketing, Betrugsprävention und IT-Sicherheit.

2. Zweckbindung

Die Datenverarbeitung muss auf die Gründe beschränkt sein, die der betroffenen Person bei der Erhebung ausdrücklich mitgeteilt wurden. Ausnahmen gelten, wenn der neue Zweck im Zusammenhang mit dem alten Zweck der Datenerhebung steht oder Sie eine klare Verantwortung haben, den neuen Zweck gemäß dem Gesetz zu erfüllen.

Zum Beispiel, wenn eine Person ein Reisebüro kontaktiert, um Informationen über Flüge nach Kalifornien anzufordern. In Zukunft könnte dieses Reisebüro diese Person über ein Sonderangebot für Flüge nach Los Angeles informieren. Sie dürften diese Person jedoch nicht über Waren und Dienstleistungen informieren, die nichts mit einem Urlaub in Kalifornien zu tun haben. Dazu müssten sie die Zustimmung der Person einholen, ihre Daten auf neue Weise zu verwenden.

3. Datenminimierung

Organisationen dürfen nur so viele Daten verarbeiten, wie für die angegebenen Zwecke unbedingt notwendig sind.

Laut der Verordnung müssen Daten angemessen, relevant und auf das Nötigste beschränkt sein. Das kann je nach Grund für die Datenerhebung unterschiedlich bedeuten.

Es gibt drei spezifische Bestimmungen basierend auf diesem Prinzip:

• Wenn bestimmte Daten für eine bestimmte Gruppe von Personen benötigt werden, darf die Organisation sie nicht von allen Betroffenen erheben.
• Organisationen dürfen Daten nicht erheben, weil sie sie möglicherweise in der Zukunft verwenden könnten.
• Wenn die für einen bestimmten Zweck erhobenen Daten unzureichend sind, dürfen sie nicht verarbeitet werden.

Um dieser Richtlinie zu folgen, sollten Organisationen die von ihnen gehaltenen personenbezogenen Daten regelmäßig überprüfen und alles unnötige löschen.

4. Genauigkeit

Personenbezogene Daten müssen korrekt und auf dem neuesten Stand gehalten werden.

Nach der DSGVO haben die betroffenen Personen nicht nur das Recht, unrichtige Daten korrigieren zu lassen – von den Organisationen wird auch erwartet, dass sie geeignete Prozesse implementieren, um die Richtigkeit der Daten von Anfang an zu gewährleisten. Sie sind auch verpflichtet, Informationen regelmäßig zu aktualisieren, was auch die Erfassung und Korrektur von Fehlern einschließt.

5. Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den angegebenen Zweck erforderlich ist.

Die DSGVO gibt keine Zeitspanne vor. Stattdessen müssen die Organisationen begründen können, wie lange sie personenbezogene Daten aufbewahren, und diese regelmäßig überprüfen.

Es gibt einige Ausnahmen. Personenbezogene Daten können für unbegrenzte Zeiträume für Zwecke von öffentlichem Interesse, wissenschaftlicher oder historischer Forschung oder Statistik aufbewahrt werden.

6. Integrität und Vertraulichkeit

Daten müssen auf eine Weise verarbeitet werden, die Sicherheit, Integrität und Vertraulichkeit gewährleistet. Dies kann Maßnahmen zur Cybersicherheit und physischen Sicherheit erfordern.

Die DSGVO gibt keine spezifischen Sicherheitsmaßnahmen vor – nur dass sie „angemessen“ zu den Risiken sein müssen, die mit der Verarbeitung dieser personenbezogenen Daten verbunden sind.

Je nach Organisation und Risikoniveau umfassen Sicherheitsmaßnahmen typischerweise eine Informationssicherheitspolitik, die festlegt, wer auf Daten zugreifen und diese verwalten kann, Verschlüsselung und Pseudonymisierung.

Organisationen müssen auch Prozesse zur Wiederherstellung des Zugriffs auf oder Wiederherstellung personenbezogener Daten in Worst-Case-Szenarien haben.

7. Verantwortlichkeit

Datenverantwortliche müssen demonstrieren können, dass ihre Datenverarbeitungsaktivitäten mit all diesen DSGVO-Grundsätzen übereinstimmen.

Dies erfordert von den Organisationen, die Einhaltung der DSGVO zu dokumentieren, einschließlich der folgenden Verantwortlichkeiten:

• Annahme und Implementierung von Richtlinien zum Schutz personenbezogener Daten.
• Implementierung von Datenschutzmaßnahmen über den gesamten Lebenszyklus personenbezogener Daten hinweg.
• Erstellung und Speicherung schriftlicher Verträge mit Organisationen, die Daten für Ihre Organisation verarbeiten.
• Aufzeichnung, wie Sie unsere Daten verarbeiten.
• Implementierung effektiver technischer und organisatorischer Sicherheitsmaßnahmen.
• Aufzeichnung und Meldung von Verstößen gegen personenbezogene Daten.