Die Grundsätze der Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn eine Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) oder eine gesetzliche Erlaubnis (Art. 6 Abs. 1 S. 1 lit. b) bis f) DSGVO) vorliegt. Wann eine Einwilligung oder gesetzliche Erlaubnis vorliegt, erfahren Sie in unserer Zusammenfassung.

Es muss für den Betroffenen immer ersichtlich sein, für welchen Zweck seine personenbezogenen Daten verarbeitet werden. Eine „heimliche“ Verarbeitung ist unzulässig.

Bei der Verarbeitung personenbezogener Daten muss der Zweck der Verarbeitung vor der Erhebung der Daten festgelegt werden. Stellen Sie sich also immer die Frage, wofür konkret Sie die von Ihnen erhobenen Daten verarbeiten wollen. Eine nachträgliche Änderung des Zwecks ist grundsätzlich nicht zulässig. Sie müssen also stets gewährleisten, dass keine zweckentfremdete Verarbeitung der von Ihnen erhobenen Daten stattfindet.

Ferner ist der Zweck maßgebend für die Speicherdauer. Wenn er entfällt, sind Sie verpflichtet, die personenbezogenen Daten zu löschen (Ausnahme: gesetzliche Aufbewahrungspflichten, siehe unter Speicherbegrenzung).

Bei der Datenverarbeitung dürfen nur so viele personenbezogene Daten gesammelt werden, wie für den jeweiligen Verarbeitungszweck unbedingt notwendig sind. Es gilt der Grundsatz: „So viele Daten wie nötig, so wenige Daten wie möglich.“ Dadurch soll der Betroffene vor einer übermäßigen Preisgabe personenbezogener Daten geschützt werden.

Personenbezogene Daten müssen richtig und aktuell sein sowie aus zuverlässigen Quellen stammen. Unrichtige oder veraltete Daten müssen unmittelbar gelöscht oder korrigiert werden.

Werden personenbezogene Daten nicht mehr benötigt, müssen sie gelöscht werden, es sei denn, der Löschung stehen gesetzliche Aufbewahrungspflichten (insbesondere im Handels- und Steuerrecht) entgegen. Solange die Aufbewahrungsfrist läuft, werden die Daten zwar nicht gelöscht, aber für eine weitere Nutzung durch den Verantwortlichen gesperrt.

Es gilt der Grundsatz „Gelöschte Daten sind die sichersten Daten“. Die Speicherfrist muss auf das unbedingt erforderliche Mindestmaß beschränkt werden. Überprüfen Sie daher regelmäßig die von Ihnen gespeicherten Datenbestände. Um sicher zu stellen, dass die gesetzlichen Löschfristen eingehalten werden, empfiehlt sich beispielsweise die Erstellung eines Löschkonzepts. Soweit Daten über einen längeren Zeitraum aufbewahrt werden müssen, sind Sie in der Pflicht, entsprechende Maßnahmen zu treffen, um deren Schutz sicherzustellen (Beispiel: elektronische Archivierung personenbezogener Daten, getrennte Aufbewahrung von Daten, die noch aktiv genutzt werden und solchen, die lediglich zur Erfüllung von Aufbewahrungspflichten gespeichert bleiben).

Personenbezogene Daten müssen sicher und vertraulich behandelt werden. Insbesondere dürfen Unbefugte keinen Zugang zu ihnen haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Ihr Unternehmen muss gegenüber Aufsichtsbehörden nachweisen können, alle Vorgaben der DSGVO einzuhalten. Aus diesem Grund müssen Sie die von Ihnen getroffenen rechtlichen, technischen und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes genauestens dokumentieren. Dokumentation heißt, dass Sie entsprechende Dokumente, Belege und sonstige Materialien in schriftlicher oder elektronischer Form systematisch aufbewahren und archivieren, damit Sie diese im Ernstfall unverzüglich griffbereit haben. Zu diesen Dokumentationspflichten gehört beispielsweise auch das Führen eines Verarbeitungsverzeichnisses (PDF) gemäß Art. 30 DSGVO.