Grundsätze der DSGVO
In Art. 5 Abs. 1 führt die DSGVO sogenannte Grundsätze auf. Diese können als eine Art „Grundregeln“ für die Verarbeitung personenbezogener Daten angesehen werden und helfen insbesondere bei der Auslegung der Verordnung.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Seit jeher hat das Datenschutzrecht die Zielvorgabe, keine (Datenvermeidung) oder möglichst wenige (Datensparsamkeit) personenbezogene Daten zu verarbeiten. Dem entspricht der in der DSGVO festgelegte Grundsatz der Datenminimierung, wonach personenbezogene Daten „...dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“3 sein müssen. Dazu zählt auch, dass der Verantwortliche durch technische Voreinstellungen dafür sorgen muss, dass ausschließlich für die Verarbeitung essenzielle Daten gesammelt werden.
Richtigkeit
Personenbezogene Daten müssen „...sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein.“4 Die Einschränkung des „erforderlichenfalls“ bei der Aktualität der Daten meint, dass die Informationen überwiegend den Zustand zu einem bestimmten Zeitpunkt dokumentieren sollen. Weiterhin muss der Verantwortliche nach dem Grundsatz der Richtigkeit „...alle angemessenen Maßnahmen“ treffen, damit unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung
Integrität und Vertraulichkeit
Die Vorgaben der Integrität und Vertraulichkeit zielen auf die sog. Datensicherheit ab. Demnach sollen personenbezogene Daten so verarbeitet werden, dass „...eine angemessene Sicherheit der personenbezogenen Daten gewährleistet“6 ist. Während es beim „Datenschutz“ allgemein um den Schutz des Persönlichkeitsrechts des Einzelnen im Umgang mit seinen personenbezogenen Daten geht, handelt es sich bei „Datensicherheit“ speziell um den technischen Datenschutz. So soll durch technisch und organisatorische Maßnahmen der „Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“ der Daten gewährleistet werden.
Wichtig: Für die Einhaltung der aufgeführten Grundsätze ist gemäß Art. 5 Abs. 2 DSGVO der Verantwortliche zuständig. Darüber hinaus muss er die Einhaltung nachweisen können („Rechenschaftspflicht“).
1 Vgl. Art. 5 (1) lit. a DSGVO
2 Vgl. Art. 5 (1) lit. b DSGVO
3 Vgl. Art. 5 (1) lit. c DSGVO
4 Vgl. Art. 5 (1) lit. d DSGVO
5 Vgl. Art. 5 (1) lit. e DSGVO
6 Vgl. Art. 5 (1) lit. f DSGVO