Neues EU-Datenschutzrecht: Grundsätze für die Verarbeitung personenbezogener Daten

Die neue europäische Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 in allen EU-Staaten wirksam und betrifft weltweit Unternehmen, welche auf dem europäischen Markt tätig sind. Sie gewährt den EU-Bürgern ein höheres Schutzniveau ihrer personenbezogenen Daten. Die Grundsätze, denen jede Verarbeitung personenbezogener Daten entsprechen muss, finden sich in Art. 5 Abs. 1 und 2 der DSGVO und sind die folgenden.

Rechtmäßigkeit, Treu und Glauben, Transparenz

Die Verarbeitung personenbezogener Daten muss auf Basis einer Rechtsgrundlage erfolgen. Die Daten müssen nach Treu und Glauben sowie in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Den Betroffenen sind Informationen zu der Verarbeitung der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie einfacher und klarer Sprache zur Verfügung zu stellen.

Zweckbindung

Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Weiterverarbeitung von Daten in einer mit diesen Zwecken nicht zu vereinbarenden Weise ist unzulässig. Die Interessenabwägung, die direkt mit der Zweckbindung zusammenhängt, wird als zentraler Erlaubnistatbestand angesehen. Daher muss der konkrete Zweck der Verarbeitung personenbezogener Daten für jeden Einzelfall genau eruiert werden.

Datenminimierung

Die Datenerhebung und -verarbeitung ist auf die Daten zu reduzieren, welche für die Erfüllung des erfolgten Zwecks tatsächlich erforderlich sind.

Richtigkeit

Unternehmen müssen in Zukunft nachweisen können, dass personenbezogene Daten sachlich richtig und auf dem neuesten Stand sind. Unrichtige Daten sind daher unverzüglich zu löschen oder zu berichtigen. Unternehmen müssen eigenverantwortlich regelmäßige „Aktualisierungsroutinen“ durchführen.

Speicherbegrenzung

Zeitlich ist das Speichern in personenbezogener Form grundsätzlich auf die Zweckerreichung begrenzt. Ferner müssen gesetzlich vorgeschriebene Speicherfristen eingehalten werden. Das Unternehmen muss ebenfalls prüfen, ob nicht eine Pseudonymisierung oder Anonymisierung der Daten in Betracht kommt. Bei einer Pseudonymisierung sind die Daten ohne die Verbindung mit weiteren Informationen keiner Person zuordenbar. Hierzu sind technische und organisatorische Maßnahmen zu ergreifen.

Integrität, Vertraulichkeit

In Zukunft müssen Maßnahmen etabliert werden, um unbefugter und unrechtmäßiger Verarbeitung sowie unbeabsichtigtem Verlust oder unbeabsichtigter Zerstörung bzw. der Schädigung von Daten vorzubeugen. Die erforderlichen Vorkehrungen sind vor allem in IT-technischer und organisatorischer Hinsicht (z.B. durch Zugriffs- und Berechtigungskonzepte, Verschlüsselung) zu treffen. Diesbezüglich sind insbesondere Art. 32 (Sicherheit der Verarbeitung) sowie Art. 35 (Datenschutz-Folgenabschätzung) zu beachten. Wird der Schutz personenbezogener Daten verletzt und besteht ein Risiko für die Rechte und Freiheiten von natürlichen Personen, ist dies nach Art. 33 der Datenschutzbehörde zu melden. Gegebenenfalls – bei hohem Risiko – ist die betroffene Person selbst zu informieren.

Accountability

Gemäß dem Grundsatz der „Accountability“ (Art. 5 Abs. 2) müssen Unternehmen die Einhaltung der vorgenannten Grundsätze dokumentarisch nachweisen können.

Bei weiteren Fragen stehen die Kolleginnen und Kollegen der jeweiligen Standorte jederzeit gerne zur Verfügung.

Weitere Artikel zum Themenschwerpunkt „Datenschutzgrundverordnung 2018“