D.2. Datenschutz-Grundverordnung: Das sind die Anforderungen

D.2. Datenschutz-Grundverordnung: Das sind die Anforderungen

Spätestens seit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018
fragen sich viele, was sich geändert hat und nun Rechtslage ist. In diesem Beitrag erfahren Sie, welche
Anforderungen zu beachten sind.

Der datenschutzrechtliche Imperativ

Der Umgang mit personenbezogenen Daten ist grundsätzlich verboten. Der Umgang mit
personenbezogenen Daten wird nur dann zulässig, wenn es eine Rechtsvorschrift erlaubt oder der/
die Betroffene eingewilligt hat. Juristen nennen diese Konstruktion “Verbot mit Erlaubnisvorbehalt”.

Immer wenn Sie mit Daten umgehen, sollten Sie sich fragen: ‘Hat der/ die Betroffene den
Datenumgang erlaubt oder gibt es ein Gesetz, welches mir den Umgang mit diesen Daten
erlaubt?’

Verarbeitung personenbezogener Daten

Was personenbezogene Daten sind, erfahren Sie im Beitrag D.1.

Ein weiterer zentraler Begriff der Datenschutz-Grundverordnung ist die “Verarbeitung” von personenbezogenen Daten.

Verarbeitung ist ein sehr weit gefasster Begriff und meint:

  • das Erheben, Erfassen, Organisieren und Ordnen
  • die Speicherung, Anpassung oder Veränderung
  • das Auslesen, Abfragen und Verwenden
  • das Offenlegen durch Übermitteln, Verbreiten oder eine andere Form der Bereitstellung
  • den Abgleich oder die Verknüpfung
  • die Einschränkung oder das Löschen/ die Vernichtung

Da der Anwendungsbereich so groß ist, verarbeitet im Ergebnis jedes Unternehmen personenbezogene
Daten, wenn z. B.:

  • NutzerInnendaten erhoben oder KundenInnen-Feedbacks eingeholt werden,
  • eine Mailingliste angelegt wird,
  • ein Newsletter Plug-in oder Newsletter-Dienstleister (wie Mailchimp) benutzt wird,
  • eine Webseite mit Kontaktformular betrieben wird oder
  • PraktikantenInnen oder MitarbeiterInnen beschäftigt werden.

Die Grundsätze für die Verarbeitung personenbezogener Daten

(1) Rechtmäßigkeit
Zur Verarbeitung benötigen die Verantwortlichen eine Rechtsgrundlage. Dies können sein:

  • Verträge (z. B. auch eine Vereinssatzung) oder
  • Gesetze (z. B. das Handelsgesetzbuch zu den Aufbewahrungspflichten für
    Geschäftsunterlagen) oder
  • eine Einwilligung (die immer einseitig ist, wie z.B. Aufnahmeantrag, Kontaktformular)

(2) Transparenz- und Informationspflicht
Die Datenverarbeitung muss in einer für die betroffene Person nachvollziehbaren Art und Weise
geschehen. Bei Anfrage sind den/ der Betroffenen die ihn/ sie betreffenden personenbezogene
Daten zu nennen.

(3) Zweckbindung
Die personenbezogenen Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben
werden. Bei einer Weiterverarbeitung müssen diese Zwecken beachtet werden. Es darf also nicht
geschehen, das personenbezogene Daten in einer nicht festgelegten Art und Weise
weiterverarbeitet werden.

(4) Datenminimierung
Es dürfen nur die personenbezogenen Daten erhobenen werden, die für diesen Zweck
angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß
beschränkt sind.

(5) Richtigkeit
Die personenbezogenen Daten müssen sachlich richtig und auf dem neuesten Stand sein.
Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind,
müssen unverzüglich gelöscht oder berichtigt werden.

(6) Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der
betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet
werden, erforderlich ist.

(7) Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene
Sicherheit gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter
Schädigung durch geeignete technische und organisatorische Maßnahmen ein.

Rechenschaftspflicht

Für die Einhaltung dieser Grundsätze ist der/die Verantwortliche zuständig. Also die natürliche oder
juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet. Sie muss die Einhaltung dieser
Anforderungen nachweisen können. Das ist neu und führt für den/ die Verantwortliche/n zu einer Beweislastumkehr. Die Datenschutzbehörden müssen nicht mehr Verstöße nachweisen, sondern
der/die Verantwortliche müssen bei einer Prüfung der Datenschutzbehörde nachweisen, dass sie
die genannten Grundsätze einhalten.