Pflichten Grundsätze der DSGVO Auszug

Rechenschafts- & Dokumentationspflicht

Der Verantwortliche ist zur Einhaltung dieser Grundsätze gemäß Art. 5 & Art. 6 DSGVO verpflichtet und muss dies nachweisen können.

Zweckbindung

Personenbezogene Daten dürfen nur für einen bestimmten Zweck und nicht willkürlich erhoben werden. Der Zweck muss vor der Erhebung klar sein und darf nachträglich nur mit Zustimmung des Betroffenen geändert werden.

Richtigkeit

Die Daten müssen sachlich richtig und aktuell sein. Falsche Daten müssen berichtigt oder gelöscht werden.

Verletzung

Verletzungen des Schutzes personenbezogener Daten muss der Verantwortliche an die Aufsichtsbehörde melden.

Gegebenenfalls muss er die Betroffenen in transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache benachrichtigen.

Privacy by Design

„Datenschutz durch Technikgestaltung“ – Datenschutz lässt sich am besten einhalten, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist.

In anderen Worten: der Schutz personen-bezogener Daten im Sinne der DSGVO erfolgt durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOM) im Entwicklungsstadium.

Privacy by Default

„Datenschutz durch datenschutzfreundliche Voreinstellungen“ – bedeutet, dass die Werkseinstellungen datenschutzfreundlich zu gestalten sind.

Nutzer, die weniger technikaffin sind, sollen geschützt werden.

Rechtmäßigkeit Verarbeitung nach Treu und Glauben

Es besteht ein Verarbeitungsverbot mit Erlaubnisvorbehalt. D.h. die Verarbeitung ist generell verboten und muss immer rechtlich legitimiert werden. Dies kann z.B. durch eine Einwilligung oder ein Gesetz geschehen oder auf Grund von sog. berechtigten Interessen des Verantwortlichen.

Treu & Glauben: Redlicher und anständiger Umgang mit den Daten des Betroffenen.

Speicherbegrenzung

Personenbezogene Daten sind nur so lange aufzubewahren, wie durch den Zweck oder eine rechtliche Verpflichtung erforderlich. Ist der Zweck erfüllt oder die Mindestaufbewahrungspflicht überschritten, so sind die Daten zu löschen oder zu anonymisieren.

Übermittlung an Drittländer

Bei der Datenübermittlung in ein Drittland muss der Verantwortliche (samt Auftragsverarbeiter) Garantien für eine rechtmäßige Verarbeitung bieten.

Verzeichnis

Der Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen – ähnlich dem aus dem Bundesdatenschutzgesetz (BDSG) bekannten Verfahrensverzeichnis.

TOM

Die Sicherheit, Integrität und Vertraulichkeit von personenbezogenen Daten sind vom Verantwortlichen durch geeignete technische und organisatorische Maßnahmen (TOM) sicher zu stellen und nachzuweisen.

Die Daten sollen z.B. vor Verlust, Fälschung, Zerstörung, Offenlegung oder unrechtmäßiger Änderung oder Verarbeitung durch Unbefugte geschützt werden.

Transparenz & Informationspflicht

Das Arbeiten mit personenbezogenen Daten muss nachvollziehbar sein (z. B. woher kommen Daten, wo werden sie gespeichert, wohin werden sie weitergeleitet). Die betroffene Person wurde aufgeklärt (informiert) und kann Einblick in den Prozess nehmen (Auskunftspflicht).

Datenminimierung

Es sollen nur so viele Daten erhoben werden, wie für den Zweck erforderlich und angemessen. Wenn die personenbezogenen Daten nicht mehr benötigt werden, sollten diese auch gelöscht werden.

Integrität

Die Daten dürfen nicht von Unbefugten verändert werden.

Vertraulichkeit

Die Daten müssen vertraulich behandelt werden. Unbefugte dürfen sie nicht einsehen.

Datenschutz-Folgenabschätzung

Der Verantwortliche muss, bei einem hohen Risiko in der Datenverarbeitung, für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse der Folgen erstellen.

Für die identifizierten Risiken muss er geeignete Maßnahmen, Garantien, Verfahren und Sicherheitsvorkehrungen umsetzen.

Auftragsverarbeitung

Der Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass sie personenbezogene Daten durch geeignete technisch-organisatorische Maßnahmen schützen.

Darüber muss ein Vertrag existieren.

Datenschutzbeauftragter

Der Verantwortliche hat unter bestimmten Voraussetzungen einen Datenschutzbeauftragten zu bestellen, dessen Aufgaben v.a. in der Beratung und in der Überwachung des Einhaltens der DSGVO-Vorgaben liegen.

Alle Vorgaben der DSGVO müssen allerdings auch ohne Datenschutzbeauftragten (DSB) umgesetzt werden.
Das Datenschutzrecht befindet sich seit jeher im Wandel. Es wird täglich neu erfunden und neu verhandelt.