Die wesentlichen Grundsätze

Die DSGVO stellt in Art. 5 die Grundsätze, die nunmehr für die Datenverarbeitung einheitlich gelten, auf:

  • Rechtmäßigkeit der Verarbeitung (Gesetz oder Einwilligung),
  • Verarbeitung nach Treu und Glauben,
  • Transparenz der Datenverarbeitung,
  • Zweckbindung der erhobenen Daten,
  • Minimierung der erhobenen Daten, also nur notwendige Daten erheben,
  • Richtigkeit der Datenverarbeitung und Aktualisierungsanspruch bei Fehlern,
  • Speicherbegrenzung, also zeitlich befristete Speicherung von Daten,
  • Integrität und Vertraulichkeit der Daten,
  • Rechenschaftspflicht des Verantwortlichen gegenüber dem Betroffenen.
  • Treu und Glauben

Der Begriff „Treu und Glauben“ in der DSGVO (in der englischen Fassung „fair“) ist ein Auffangtatbestand, der vor allem solche Situationen erfassen soll, in denen eine Störung des Kräftegleichgewichts zwischen dem Betroffenen und dem Verantwortlichen besteht. Dieser Tatbestand soll insbesondere verhindern, dass Verarbeitungen ohne Wissen des Betroffenen durchgeführt werden, also der Betroffene stets umfassend über die Verarbeitung der auf ihn bezogenen Daten informiert ist und wird. Er entspricht mit seiner Wertung dem Artikel 8 EU Grundrechte Charta und sichert damit die Grundfreiheit des Schutzes personenbezogener Daten.

Zweckbindung der erhobenen Daten

Die Zweckbindung in der DSGVO bedeutet, dass personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Sie dürfen darüber hinaus nicht in einer, mit diesen ursprünglichen Zwecken nicht zu vereinbarenden Art und Weise weiterverarbeitet werden. Dabei müssen die Zwecke der Datenverarbeitung im Zeitpunkt der Erhebung der Daten festgelegt werden und die Zwecke müssen ausreichend bestimmt und angemessen sein. Eine nachträgliche Zweckänderung kommt nur auf Grundlage einer gesonderten Rechtsgrundlage oder einer weiteren Einwilligung des Betroffenen in Betracht.

Transparenzregelungen, Integrität und Vertraulichkeit

Das in der DSGVO als neues Grundprinzip eingeführte Transparenzgebot führt dazu, dass die verantwortliche Stelle jederzeit umfassende Informationen an die betroffene Person geben können muss, welche Daten durch wen und zu welchen Zwecken verarbeitet wurden oder werden. Zur Sicherstellung der Integrität und Vertraulichkeit der erhobenen und verarbeiteten Daten sind darüber hinaus technische und organisatorische Maßnahmen zu ergreifen, die eine unbefugte oder unrechtmäßige Verarbeitung oder Verlust/Zerstörung ausschließen.

Aus beiden Grundsätzen wird abgeleitet, dass Prozesse für den Zugriff auf die Daten und Bewegungen der Daten innerhalb und außerhalb der verarbeitenden Stelle eingerichtet und deren Einhaltung überwacht werden muss. Darüber hinaus konkretisiert die DSGVO diese Grundsätze durch die Regelungen zu Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen sowie Zertifizierungsverfahren und Datenschutzsiegel, so dass sich einerseits der Betroffene jederzeit über Inhalt, Umfang und Reichweite sowie die Sicherheit der Datenverarbeitung informieren kann und andererseits durchgängig eine hohe Sicherheit der personenbezogenen Daten gewährleistet ist.