Arbeitsabläufe sowie Auswahl und Gestaltung von Datenverarbeitungssystemen sollen an dem Ziel ausgerichtet werden, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen ("Datenminimierung", Art. 5 Abs. 1 lit. c DSGVO). Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
Bei der Verarbeitung personenbezogener Daten gelten die folgenden Grundsätze:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Rechtmäßigkeit ist gegeben, wenn nach Art. 6 DSGVO mindestens eine der nachstehenden Bedingungen erfüllt ist:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Zweckbindung
Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Datenminimierung
Die erhobenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Richtigkeit
Die erhobenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung
Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen dienen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden.
Integrität und Vertraulichkeit
Die Verarbeitung hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Rechenschaftspflicht
Das Unternehmen ist für die Einhaltung dieser Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen können.
Hinweis: Aufgrund dieser Nachweispflicht sollten alle datenschutzrechtlichen Vereinbarungen, Abreden, Verträge etc. schriftlich protokolliert und archiviert werden.
Bedarf an gespeicherten Daten vorher prüfen
In vielen Bereichen galt und gilt der Grundsatz, möglichst viel über die Menschen wissen zu wollen. Doch nur in den wenigsten Fällen können diese Daten später tatsächlich sinnvoll verwendet werden. Daher sollte im Vorfeld der Datenerhebung genau geprüft werden, welche Daten wofür erhoben werden. Je mehr Daten erhoben und verarbeitet werden, desto größer ist das Risiko, dass Fehler begangen werden und gegen rechtliche Vorschriften verstoßen wird. Zudem können im Falle eines Datenverlusts die Folgen für das Unternehmen unangenehm werden. Bei einem Datenleck oder Hackerangriff, der täglich bei allen Unternehmensgrößen vorkommt, ist es für das Image eines Unternehmens von Vorteil, wenn den betroffenen Personen oder der Presse mitgeteilt werden muss, dass Adressen abhandengekommen sind, anstatt, dass auch Geburtsdaten, persönliche Verhältnisse etc. in fremden Händen sind.
2.1 Rechte der Betroffenen (Art. 12-23 und 77 DSGVO)
Die Betroffenen, deren Daten verarbeitet werden bzw. erhoben und gespeichert worden sind, haben ein Recht auf A...