Zur Umsetzung der DSGVO sind nicht nur konkrete Maßnahmen durchzuführen, sondern es sind auch die allgemeinen Grundsätze der Datenschutz-Grundverordnung zu beachten.

Grundregeln beim Datenschutz

Nachfolgend einige der Grundregeln, die mit der Datenschutz-Grundverordnung gelten. Einige Grundsätze waren bereits Bestandteil bisheriger Datenschutzvorschriften. Diese Auflistung ersetzt keine Rechtsberatung und erhebt keinen Anspruch auf Vollständigkeit.

1. Rechenschaftspflicht

Zukünftig müssen Unternehmen auf Anforderung einer Aufsichtsbehörde nachweisen, dass die Datenschutzvorschriften eingehalten worden sind. Um diesen Nachweis erbringen zu können, sind Dokumentationen zu erstellen und zu pflegen. Unter anderem ist die Verarbeitung von personenbezogenen Daten und die IT-Sicherheit zu dokumentieren.

2. Verbot mit Erlaubnisvorbehalt

Die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Es ist nur dann zulässig, wenn Datenschutzregeln dies erlauben oder wenn es eine Einwilligung des Betroffenen gibt. Eine Verarbeitung wäre zum Beispiel dann erlaubt, wenn es zur Vertragserfüllung notwendig ist oder wenn ein berechtigtes Interesse an der Verarbeitung besteht.

3. Zweckbindung der Daten

Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den die Daten erhoben und gespeichert wurden. Zum Beispiel darf die Postanschrift bei einer Bestellung in einem Onlineshop nur für die Bestellabwicklung genutzt werden.

4. Datensparsamkeit

Bei der Erhebung von personenbezogenen Daten ist darauf zu achten, dass nur Daten abgefragt werden, die tatsächlich benötigt werden. Eine Pflicht zur Angabe des Namen bei der Anmeldung zu einem Newsletter wäre problematisch, da für den Versand nur die E-Mailadresse benötigt wird.

5. Speicherbegrenzung

Daten über eine Person dürfen nur solange gespeichert bleiben, wie es für den eigentlichen Zweck erforderlich ist. Wobei auch eine Pseudonymisierung der personenbezogenen Daten durchgeführt werden kann, so dass eine Identifizierung der Person nicht mehr möglich ist.

6. Korrektheit der Daten

Es ist darauf zu achten, dass personenbezogene Daten sachlich richtig sind und dass die Daten auf einem korrekten Stand bleiben. Es ist erforderlich, dass unrichtige Angaben korrigiert oder gelöscht werden.

7. Integrität und Vertraulichkeit

Die personenbezogenen Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit der Daten gewährleistet wird. Dies ist unter anderem durch technische und organisatorische Maßnahmen zu gewährleisten, die dokumentiert werden müssen.

8. Transparenz und Information

Wenn personenbezogene Daten gespeichert und verarbeitet werden, hat dies transparent zu erfolgen. Die betroffene Person soll nicht nur erfahren können, dass Daten gespeichert werden. Es ist auf Antrag auch mitzuteilen, welche Daten von wem zu welchem Zweck verarbeitet werden.

9. Recht auf Vergessenwerden

Das Recht auf Vergessenwerden ist ein Anrecht von natürlichen Personen, dass Daten mit Personenbezug gelöscht werden. Die Löschung muss unter bestimmten Voraussetzungen auf Verlangen der betroffenen Person und gegebenenfalls auch ohne Verlangen durchgeführt werden.

10. Verantwortlichkeit

Wer personenbezogene Daten zur Verarbeitung an Dritte weitergibt, bleibt nach der DSGVO “Verantwortlicher”. Er muss zusammen mit dem Auftragnehmer sicherstellen, dass die Vorschriften beachtet werden und ist Fall eines Datenlecks beim Auftragnehmer mit in der Verantwortung.