Datenschutzgrundsätze
Die DSGVO schreibt für den rechtmäßigen Datenumgang die Einhaltung der nachfolgenden Grundsätze vor:
1.1.1 Rechtmäßigkeit und Verarbeitung nach Treu und Glauben
Bei der Verarbeitung von personenbezogenen Daten müssen die Persönlichkeitsrechte der betroffenen Person gewahrt werden. Personenbezogene Daten müssen auf rechtmäßige Weise sowie nach Treu und Glauben verarbeitet werden.
1.1.2 Transparenz
Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Jede betroffene Person soll wissen, dass Daten über sie erhoben werden und bei Bedarf Auskunft darüber verlangen können, welche Daten zu welchem Zweck, bei welcher Stelle, für wie lange und aus welchem Grund gespeichert werden.
1.1.3 Zweckbindung
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Nachträgliche Änderungen der Zwecke sind nur eingeschränkt möglich und bedürfen einer Rechtfertigung.
1.1.4 Datenminimierung
Personenbezogene Daten müssen für den Zweck erheblich, angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Vor einer Verarbeitung personenbezogener Daten muss geprüft werden, ob und in welchem Umfang diese notwendig ist, um den mit der Verarbeitung angestrebten Zweck zu erreichen.
Soweit zur Erreichung des angestrebten Zwecks möglich und mit angemessenem Aufwand realisierbar, müssen anonymisierte oder pseudonymisierte Daten verwendet werden. Beispielsweise wird es im Rahmen einer statistischen Auswertung von Daten nicht notwendig sein, den vollen Namen eines Betroffenen zu kennen und zu verwenden. Vielmehr kann diese Information durch einen Zufallswert ersetzt werden, der eine Unterscheidbarkeit der zugrundeliegenden Information ebenfalls gewährleisten kann.
Personenbezogene Daten dürfen nicht auf Vorrat gespeichert werden, es sei denn, dies ist durch staatliches Recht vorgeschrieben oder erlaubt.
1.1.5 Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten, die nach Ablauf von gesetzlichen oder geschäftsbezogenen Aufbewahrungsfristen nicht mehr erforderlich sind, müssen gelöscht werden.
Sind personenbezogene Daten für den ursprünglichen Verwendungszweck nicht mehr erforderlich und laufen nur noch Aufbewahrungsfristen, sind die betreffenden Daten zu sperren (zu kennzeichnen, um ihre weitere Verarbeitung einzuschränken). Nach Ablauf der zulässigen Aufbewahrungsfrist sind die Daten entweder endgültig zu löschen oder zu anonymisieren.
1.1.6 Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Die jeweilige Gesellschaft hat für die Umsetzung durch die Etablierung entsprechender Prozesse Sorge zu tragen. Ebenso sind Datenbestände regelmäßig auf ihre Richtigkeit, Erforderlichkeit und Aktualität hin zu überprüfen.
1.1.7 Datenintegrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Hierfür müssen geeignete technische und organisatorische Maßnahmen (z. B. Verschlüsselung der Daten bei Übermittlung, minimale Rechtevergabe) implementiert und umgesetzt werden.
