DAS DATENSCHUTZ-GESETZ

Grundsätze der Verarbeitung prüfen (Art. 5 DSGVO)

Die Grundsätze für die Verarbeitung von personenbezogenen Daten sind in Art. 5 Abs. 1 DSGVO geregelt. Bei diesen Grundsätzen handelt es sich nicht nur um Programmsätze, sondern für die Verantwortlichen und Auftragsverarbeiter um verbindliche Vorgaben. Die Nichtbefolgung ist gem. Art. 83 Abs. 5 DSGVO mit Bußgeld bis zu 20 Mio. Euro bzw. 4 % des gesamten Jahresumsatzes bedroht.

Zu den Grundsätzen gehören:

  • Verarbeitung auf rechtmäßige Weise, transparent und nach Treu und Glauben
  • Zulässigkeit der Verarbeitung nur für festgelegte, eindeutig legitimierte Zwecke
  • Verarbeitung für einen anderen als den Erhebungszweck nur, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist (eine Weiterverarbeitung für Archive, wissenschaftliche, historische oder Forschungszwecke ist keine Zweckänderung in diesem Sinne)
  • Die Daten müssen nach Art und Umfang dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
  • Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“).
  • Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
  • Personenbezogene Daten dürfen in einer die Identifizierung der betroffenen Personen ermöglichenden Form nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, und müssen zum frühestmöglichen Zeitpunkt pseudonymisiert werden.
  • Durch geeignete technische und organisatorische Maßnahmen muss eine angemessene Sicherheit der Daten gewährleistet werden, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“).
Checkliste: Grundsätze der Verarbeitung prüfen

Der Grundsatz der Rechtmäßigkeit verlangt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn für die Verarbeitung eine Rechtsgrundlage, also ein gesetzlicher Erlaubnistatbestand, i. d. R. nach Art. 6 DSGVO vorhanden ist. Dieser Grundsatz entspricht dem bereits nach dem BDSG a. F. gültigen Verbot der Verarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt.

Personenbezogene Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung richtig sein, d. h., soweit Daten für die Verarbeitung relevant sind, müssen sie richtig sein bzw. berichtigt werden. Lediglich Daten, die z. B. durch Zeitablauf nicht mehr für die Verarbeitung relevant sind, müssen zumindest dann, wenn die Berichtigung einen erheblichen Aufwand erfordert, nicht mehr berichtigt werden. Allerdings stellt sich für diese Daten die Frage der Löschung, weil nach dem Grundsatz der Speicherbegrenzung und Datenminimierung nicht mehr erforderliche Daten gelöscht werden müssen.

Die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO verlangt, dass der Verantwortliche in der Lage sein muss, die Einhaltung dieser Grundsätze des Art. 5 Abs. 1 DSGVO nachzuweisen. Dies verlangt eine vollständige Dokumentation aller Verfahren und Regelungen zum Datenschutz und ihre Nachprüfbarkeit, z. B. in einem Audit.

Der Grundsatz der Nichtverkettbarkeit ist wörtlich nicht in der DSGVO geregelt und bedeutet, dass personenbezogene Daten, die für getrennte Zwecke gespeichert und verarbeitet werden, nicht miteinander verkettet sind und möglichst nicht miteinander verkettet werden können.

Weitere Grundsätze, die nicht explizit in der DSGVO geregelt sind, wie der Grundsatz der Revisionsfähigkeit der Daten und der Datenverarbeitungsverfahren und Ordnungsmäßigkeitsgrundsätze, ergeben sich aus anderen Regelwerken, wie z. B. aus den Grundsätzen der ordnungsgemäßen Buchführung (GoB), den Grundsätzen der ordnungsgemäßen Datenverarbeitung (GoDV) und den Grundsätzen zur ordnungsbemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD).

Der Grundsatz der Intervenierbarkeit verlangt, dass den betroffenen Personen die ihnen zustehenden Rechte nach Art. 15 ff. DSGVO unverzüglich und wirksam gewährt werden.

Der nachfolgende Prozess zeigt einen Überblick über die Grundsätze des Art. 5 Abs. 1 DSGVO für die Verarbeitung von personenbezogenen Daten.

Prozess: Grundsätze der Verarbeitung prüfen

Fachthema weiterlesen

Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.

Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:

  • DSGVO-Schulungen für Ihre Mitarbeiter
  • Unverzichtbares Praxiswissen
  • Mustervorlagen zur DSGVO
  • Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.

Hier registrieren