Was regelt die DSGVO?
Art. 5 der Verordnung beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu beachten sind:
- Verbot mit Erlaubnisvorbehalt
Da die Verarbeitung personenbezogener Daten in das Persönlichkeitsrecht eingreift, ist sie grundsätzlich verboten. Nur, wenn sie zum Beispiel gesetzlich erlaubt ist oder wenn die betroffene Person einwilligt, dürfen personenbezogene Daten verarbeitet werden.
- Rechtmäßigkeit
Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung et cetera) und diese Grundlage auch den Zweck der Verarbeitung umfasst.
- Transparenz
Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (etwa Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht).
- Zweckbindung
Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sogenannte kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
- Datenminimierung
Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
- Richtigkeit
Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
- Speicherbegrenzung
Bei der Frage, wann Daten nicht mehr benötigt werden und daher gelöscht werden können, ist der Grundsatz der Datensparsamkeit zu beachten. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
- Integrität und Vertraulichkeit
Die DSGVO verknüpft den Datenschutz sehr stark mit der Technik: IT-Verfahren müssen deshalb schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
- Rechenschaftspflicht
Das ist der wichtigste Aspekt der Grundsätze: Der Verantwortliche, also das Unternehmen oder die Institution, ist verantwortlich für den Datenschutz und seine Beachtung. Hierfür bedarf es eines Datenschutzmanagements, dessen Ausgestaltung natürlich von der Betriebsgröße, den personenbezogenen Daten, die verarbeitet werden, sowie der Menge und der Qualität der Daten abhängt.
Dabei ist auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation erforderlich. Denn eine Verletzung zieht empfindliche Strafen nach sich: Die Aufsichtsbehörden können Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes des Unternehmens verhängen.