Die seit dem 25. Mai 2018 geltende DSGVO soll für eine einheitliche Sicherstellung bei der Verarbeitung von personenbezogenen Daten sorgen. Die Basis dafür bilden die in Art. 5 DSGVO genannten Grundsaetze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Jeder Verantwortliche, der personenbezogene Daten erhebt und verarbeitet, unterliegt den Regelungen dieser Grundsaetze. Es sind alle Grundsaetze gleichermaßen zu beachten, eine Ausnahme gibt es nicht. Doch was genau sagen die jeweiligen Grundsätze eigentlich aus?
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden. Eine Verarbeitung ist rechtmäßig, wenn für jeden Datenverarbeitungsvorgang eine Rechtsgrundlage vorliegt. Dies wird als sogenanntes Verbot mit Erlaubnisvorbehalt bezeichnet.
Das Verständnis von Treu und Glauben ist schwer einzugrenzen und sorgt gerne für Verwirrung. Hier wird von dem für die Verarbeitung Verantwortlichen eine gewisse Rücksichtnahme gegenüber der betroffenen Person erwartet. Unfaire, treuwidrige Verhaltensweisen, wie z.B. Spyware führen regelmäßig zu einem Verstoß gegen die Verarbeitung nach Treu und Glauben und widersprechen zugleich stets dem Grundsatz der Transparenz, welcher bei Einhaltung bereits selbst als Zeichen für eine Verarbeitung nach Treu und Glauben zu werten ist. Allgemein setzt der Transparenzgrundsatz voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sind. Die Datenverarbeitung muss also für die betroffene Person nachvollziehbar sein.
Zweckbindung
Die Zweckbindung ist die primäre Grundlage der DSGVO. Es muss zum einen ein eindeutiger Zweck für die Verarbeitung der erhobenen Daten festgelegt werden. Zum anderen muss sichergestellt sein, dass der Zweck legitim ist. Der Zweck muss grundsätzlich bereits zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Es muss außerdem beachtet werden, dass der Zweck so präzise wie möglich definiert sein sollte. Ein allgemeiner Begriff wie z.B. „Marketing“ reicht nicht. Es muss detailliert aufgezeigt werden, welche Verarbeitungen unter den Zweck „Marketing“ fallen. Abschließend muss der festgelegte, eindeutige Zweck legitim sein. Demnach muss die Verarbeitung der Daten für die betreffenden Zwecke rechtlich zulässig sein; d.h. es muss für sie eine einschlägige Rechtsgrundlage existieren, und die Verarbeitung zu diesen Zwecken darf nicht gegen geltende Rechtsnormen (nicht nur des Datenschutzrechts, sondern auch etwa des Arbeits- oder Verbraucherschutzrechts) verstoßen.
Datenminimierung
Für die Erhebung von Daten gilt: Sie müssen für die Erreichung des Zwecks erheblich sein. Eine Verarbeitung von personenbezogenen Daten muss geeignet sein, um ein legitimes Ziel erreichen zu können. Darüber hinaus muss die Verarbeitung dieser personenbezogenen Daten auf das erforderliche Maß begrenzt sein. Letztlich muss die Verarbeitung dem Zweck angemessen sein. Hier wird eine Bewertung verlangt, ob die Verarbeitung von Daten in diesem Umfang verhältnismäßig ist.
Richtigkeit
Die Richtigkeit der Daten ist vor allem für die betroffene Person wichtig. Der Verantwortliche ist daher verpflichtet, die richtigen Daten zu erheben. Darüber hinaus muss er, soweit für die Verarbeitung notwendig, ebenfalls auf die Aktualisierung der Daten achten, wenn es zu einer Veränderung kommt. Dabei sollte nicht auf die Geltendmachung des Anspruchs zur Berichtigung gem. Art. 16 DSGVO von Seiten der betroffenen Person gewartet werden. Vielmehr müssen selbstständig angemessene Maßnahmen bestimmt werden, um die Richtigkeit und Aktualisierungen gewährleisten zu können.
Speicherbegrenzung
Der Grundsatz der Speicherbegrenzung bezieht sich auf die zeitliche Dauer, in der die erhobenen Daten gespeichert und verarbeitet werden dürfen. Die betroffene Person hat einen Anspruch auf Löschung ihrer erhobenen Daten, wenn die Voraussetzungen des Art. 17 Abs. 1 DSGVO vorliegen. Daneben muss der Verantwortlich aber, wie auch bei der Richtigkeit der Daten, selbstständig mittels geeigneter Maßnahmen für eine angemessene Speicherbegrenzung sorgen. Verlieren erhobene Daten ihre Wichtigkeit für die Zweckerreichung, sind zum Beispiel nicht mehr aktuell oder ist der Zweck erfüllt, muss der Verantwortliche diese löschen. Zur Verhinderung einer allzu langen Speicherung der erhobenen Daten bestehen für den Verantwortlichen Pflichten zur regelmäßigen Prüfung sowie die Information der betroffenen Person über die Dauer der Speicherung bei der Erhebung der Daten. Daten auf Vorrat zu speichern ist aufgrund des Grundsatzes zur Zweckbindung nicht erlaubt.
Integrität und Vertraulichkeit
Die betroffene Person muss sich darauf verlassen können, dass ihre erhobenen Daten unversehrt und vertraulich behandelt werden. Die erhobenen Daten dürfen vom Verantwortlichen weder unbeabsichtigt gelöscht, beschädigt oder auf andere Weise vernichtet oder eigenmächtig verändert werden. Ebenso haben Unbefugte kein Anrecht auf die Einsicht und Verarbeitung der erhobenen Daten. Für die Gewährleistung dieser Datensicherheit hat der Verantwortliche mit den geeigneten Maßnahmen zu sorgen.
Rechenschaftspflicht
Für die Sicherstellung der vorangegangenen Grundsätze wird dem Verantwortlichen eine Nachweispflicht auferlegt. Es muss also nicht nur Sorge dafür getragen werden, dass die Grundsätze der DSGVO eingehalten werden, sondern auch, dass Maßnahmen ergriffen werden, um mögliche Verstöße zu vermeiden. Hierzu gehören bspw. Datenschutzfolgenabschätzungen nach Art. 35 DSGVO und das Verzeichnis der Verarbeitungstätigkeit nach Art. 30 DSGVO.
Die Kontrolle der Maßnahmen und deren Nachweise übernehmen die Aufsichtsbehörden.