Arbeitsabläufe sowie Auswahl und Gestaltung von Datenverarbeitungssystemen sollen an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
Bei der Verarbeitung personenbezogener Daten gelten die folgenden Grundsätze:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Rechtmäßigkeit ist gegeben, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Zweckbindung
Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Datenminimierung
Die Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Richtigkeit
Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung
Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen dienen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden.
Integrität und Vertraulichkeit
Die Verarbeitung hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung .
Rechenschaftspflicht
Das Unternehmen ist für die Einhaltung dieser Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen können.
Hinweis: Aufgrund dieser Nachweispflicht sollten alle datenschutzrechtlichen Vereinbarungen, Abreden, Verträge etc. schriftlich protokolliert und archiviert werden.
Bedarf an gespeicherten Daten vorher prüfen
In vielen Bereichen galt und gilt das Prinzip, dass man möglichst viel über Personen wissen möchte. Doch nur in den wenigsten Fällen können diese Daten später tatsächlich sinnvoll verwendet werden. Daher sollte im Vorfeld der Datenerhebung genau geprüft werden, welche Daten man wofür erheben möchte. Je mehr Daten erhoben und verarbeitet werden, desto größer ist das Risiko, dass man Fehler begeht und gegen rechtliche Vorschriften verstößt. Zudem können im Falle eines Datenverlusts die Folgen für das Unternehmen unangenehmer werden. Werden bspw. durch ein Datenleck oder einen Hackerangriff – was täglich bei allen Unternehmensgrößen vorkommt – Daten gestohlen, so ist es weitaus weniger imageschädigend, wenn man den betroffenen Personen oder der Presse mitteilen muss, dass Adressen abhanden gekommen sind, als wenn auch Geburtsdaten, persönliche Verhältnisses etc. in fremden Händen sind.
2.1 Rechte der Betroffenen
Die Betroffenen, deren Daten erhoben, gespeichert und verarbeitet worden sind, haben ein Recht auf Auskunftserteilung, Berichtigung oder Löschung ihrer Daten:
- Es muss darüber Auskunft erteilt werden, welche Daten...
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen