Pflichten des Verantwortlichen
Grundsätze der DSGVO Auszug
Rechenschafts- und Dokumentationspflicht
Der Verantwortliche ist zur Einhaltung dieser Grundsätze gemäß DSGVO verpflichtet und muss dies nachweisen können.
Zweckbindung
Personenbezogene Daten dürfen nur für einen bestimmten Zweck und nicht willkürlich erhoben werden. Der Zweck muss vor der Erhebung klar sein und darf nachträglich nur mit Zustimmung des Betroffenen geändert werden.
Richtigkeit
Die Daten müssen sachlich richtig und aktuell sein. Falsche Daten müssen berichtigt oder gelöscht werden.
Verletzung
Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche an die Aufsichtsbehörde melden.
Gegebenenfalls muss er die Betroffenen in transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache benachrichtigen.
Privacy by Design
„Datenschutz durch Technikgestaltung“ – Datenschutz lässt sich am besten einhalten, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist.
In anderen Worten: der Schutz personen-bezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOM) im Entwicklungsstadium.
Privacy by Default
„Datenschutz durch datenschutzfreundliche Voreinstellungen“ – bedeutet, dass die Werkseinstellungen datenschutzfreundlich zu gestalten sind.
Nutzer, die weniger technikaffin sind, sollen geschützt werden.
Rechtmäßigkeit der Verarbeitung
Es besteht ein Verarbeitungsverbot mit Erlaubnisvorbehalt. D.h. die Verarbeitung ist generell verboten und muss immer rechtlich legitimiert werden. Dies kann z.B. durch eine Einwilligung oder ein Gesetz geschehen oder auf Grund von sog. berechtigten Interessen des Verantwortlichen.
Treu und Glauben
Die Verarbeitung nach „Treu und Glauben“ ist im Kern so zu deuten, dass das Verhalten beim Umgang mit personenbezogenen Daten von Anstand und Verantwortungsbewusstsein geprägt sein muss.
Speicherbegrenzung
Personenbezogene Daten sind nur so lange aufzubewahren, wie durch den Zweck oder eine rechtliche Verpflichtung erforderlich. Ist der Zweck erfüllt oder die Mindestaufbewahrungspflicht überschritten, so sind die Daten zu löschen oder zu anonymisieren.
Übermittlung an Drittländer
Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.
Verzeichnis
Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen – ähnlich dem aus dem Bundesdatenschutzgesetz (BDSG) bekannten Verfahrensverzeichnis.
TOM
Die Sicherheit, Integrität und Vertraulichkeit von personenbezogenen Daten sind vom Verantwortlichen durch geeignete technische und organisatorische Maßnahmen (TOM) sicher zu stellen und nachzuweisen.
Die Daten sollen z.B. vor Verlust, Fälschung, Zerstörung, Offenlegung oder unrechtmäßiger Änderung oder Verarbeitung durch Unbefugte geschützt werden.
Transparenz und Informationspflicht
Datenminimierung
Integrität
Vertraulichkeit
Datenschutz-Folgenabschätzung
Der Verantwortliche muss, bei einem hohen Risiko in der Datenverarbeitung, für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse der Folgen erstellen.
Für die identifizierten Risiken muss er geeignete Maßnahmen, Garantien, Verfahren und Sicherheitsvorkehrungen umsetzen.
Auftragsverarbeitung
Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete technisch-organisatorische Maßnahmen schützen.
Darüber muss ein Vertrag existieren.