Die DSGVO gibt Grundsätze vor, die einzuhalten sind und deren Einhaltung auch nachzuweisen ist.
Ja. Die Grundsätze der Verarbeitung personenbezogener Daten sollten Ihnen und Ihren Beschäftigten bekannt sein und auch ernst genommen werden. Werden die Grundsätze der Verarbeitung nicht beachtet, kann dies zu Datenschutzvorfällen führen. Daher kann ein Verstoß gegen die Grundsätze der Verarbeitung zu einer empfindlichen Geldbuße führen.
Die Grundsätze für die Verarbeitung sind im Art. 5 DSGVO erwähnt und nachfolgend aufgeführt:
Die Verarbeitung muss rechtmäßig erfolgen. Damit gilt ein sog. Verbot mit Erlaubnisvorbehalt und bedeutet, dass grundsätzlich die Verarbeitung verboten ist, sofern diese nicht ausdrücklich gesetzlich erlaubt ist. Für jede Erhebung und Verarbeitung von personenbezogenen Daten benötigen Sie demnach eine Rechtsgrundlage, damit Sie die Daten rechtmäßig verarbeiten können. Der Rechtmäßigkeit haben wir im Basiswissen einen eigenen Beitrag gewidmet.
Im Rahmen der transparenten Verarbeitung darf die betroffene Person nicht im Unklaren gelassen werden, ob und wie Sie die Daten verarbeiten, sondern soll in klarer, verständlicher Weise hierüber informiert werden.
Nach dem Gebot von Treu und Glauben dürfen Sie die Daten nicht erschleichen oder zweckentfremdet nutzen. Die betroffene Person soll sich darauf verlassen können, dass Sie fair mit ihren Daten umgehen und sich die Verarbeitung innerhalb des Rahmens der mitgeteilten Informationen zur Datenverarbeitung bewegt.
Es gilt: Keine Datenverarbeitung ohne festgelegten Zweck. Die Zwecke sind anlässlich der Datenerhebung von Ihnen dabei möglichst eindeutig festzulegen und müssen legitim sein. Die Datenverarbeitung muss sich innerhalb des festgelegten Zwecks bewegen. Eine nachträgliche Zweckänderung ist nur unter bestimmten Voraussetzungen möglich. Der Zweckbindung haben wir im Basiswissen einen eigenen Beitrag gewidmet.
Datenminimierung steht im Einklang mit der Vermeidung unnötiger oder überbordender Datenerhebung. Sie dürfen nur Daten erheben und verarbeiten, die zur Erreichung des vorgesehenen Verarbeitungszwecks erheblich und angemessen sind, und müssen diese auf ein notwendiges Maß beschränken. Von Beginn an sollten Sie sich fragen, ob die zu erhebenden Daten geeignet sind, um den von Ihnen ins Auge gefassten Zweck der Verarbeitung zu erreichen und in welchem Umfang Sie die Daten hierfür benötigen.
Falsche oder veraltete Daten können zu fehlerhaften oder ungewollten Ergebnissen führen. Die Daten sollten daher stets sachlich richtig und aktuell sein. Sie müssen daher jederzeit in der Lage sein, unrichtige personenbezogene Daten korrigieren, aber auch löschen zu können und darauf achten, dass z. B. die eingesetzte Software dies leisten kann und bereits die Richtigkeit der Dateneingaben unterstützt.
Dies knüpft an das Thema Datenschutz durch Technikgestaltung an, zu welchem Sie im Basiswissen: Privacy by Design und by Default weitere Informationen finden.
Einfach gesagt: Sie müssen die personenbezogenen Daten grundsätzlich dann löschen und auch löschen können, wenn Sie diese nicht mehr benötigen.
Anders ausgedrückt: Die Identifizierung einer betroffenen Person durch den Datensatz darf nur so lange möglich sein, wie es für den festgelegten Zweck erforderlich ist. Danach sind Maßnahmen zum Löschen oder zur Pseudonymisierung oder zur Anonymisierung vorzunehmen, um die personenbezogenen Daten endgültig zu vernichten oder den Personenbezug unwiderbringlich aufzuheben. Anknüpfendes Thema zur Speicherbegrenzung bildet das Basiswissen: Löschen.
Hiermit ist gemeint, dass die Verarbeitung sicher erfolgen muss und dass die personenbezogenen Daten generell vor Verlust, Schädigung oder Zugriff von Unberechtigten zu schützen sind. Die Umsetzung dieses Grundsatzes schlägt sich deutlich in der „Sicherheit der Verarbeitung“ nieder.
Natürlich ist es auch hilfreich, wenn man die Begrifflichkeiten der DSGVO gemäß Artikel 4 DSGVO kennt oder weiß, wo man nachsehen kann, um in Erfahrung zu bringen: Was sind personenbezogene Daten? Was sind besondere Datenkategorien? Was ist ein Auftragsverarbeiter? Wer ist Verantwortlicher? Was ist ein Betroffener? …
Die Grundsätze für eine Verarbeitung personenbezogener Daten können Sie zum Beispiel durch Informationsschreiben, Anweisungen und Datenschutz-Schulungen vermitteln. Neben den Grundsätzen der Verarbeitung werden in Schulungen auch die Begrifflichkeiten der DSGVO erläutert.
Neben einem schriftlich hinterlegten Schulungskonzept sollten Sie darauf achten, dass Sie die tatsächlich durchgeführten Schulungen und bereitgestellten Informationen zum Datenschutz dokumentieren und aufbewahren. Es könnte ja sein, dass Sie einmal von der Aufsichtsbehörde danach gefragt werden und somit einen Nachweis erbringen können.