Art. 5 DSGVO definiert sieben Grundsätze, an denen JEDE Datenverarbeitung gemessen werden muss. Sie sind die DNA des Datenschutzrechts.
Die sieben Grundsätze
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a): Daten müßen auf rechtmäßiger Grundlage und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Zweckbindung (Art. 5 Abs. 1 lit. b): Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht zweckfremd weiterverarbeitet werden. Ausnahme: Forschung und Statistik (Art. 89 Abs. 1 DSGVO).
Datenminimierung (Art. 5 Abs. 1 lit. c): Nur so viele Daten wie nötig - nicht mehr. Beispiel: Ein Online-Shop braucht keine Angabe des Geburtsdatums, wenn dieses für die Bestellung irrelevant ist.
Richtigkeit (Art. 5 Abs. 1 lit. d): Daten müßen sachlich richtig und aktuell gehalten werden. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Die Identifizierung der betroffenen Person darf nur so lange möglich sein, wie es für den Zweck erforderlich ist. Danach: Löschung oder Anonymisierung.
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f): Angemessene technische und organisatorische Maßnahmen müßen die Daten vor unbefugtem Zugriff, Verlust oder Beschädigung schützen.
Rechenschaftspflicht (Art. 5 Abs. 2): Der Verantwortliche muss die Einhaltung aller Grundsätze nicht nur gewährleisten, sondern auch NACHWEISEN können. Dies ist die Grundlage aller Dokumentationspflichten.
Was bedeutet das praktisch?
Die Rechenschaftspflicht ist revolutionär: Es genügt nicht, compliant zu sein - Sie müßen es beweisen können. Das bedeutet: Dokumentieren Sie Rechtsgrundlagen, führen Sie ein Verarbeitungsverzeichnis, erstellen Sie Datenschutz-Folgenabschätzungen wo nötig, und bewahren Sie Einwilligungsnachweise auf.