Du fragst dich, was du beachten musst, wenn du mit den Daten deiner Kunden, Interessenten und Websitebesuchenden arbeiten möchtest?

Die DSGVO hat für diesen Fall die Grundsätze für die Verarbeitung personenbezogener Daten. Diese Grundsätze sollen sicherstellen, dass personenbezogene Daten auf rechtmäßige, faire und transparente Weise verarbeitet werden.

In diesem Artikel lernst du die 7 Verarbeitungsgrundsätze der DSGVO mit Beispielen und Denkanstößen kennen.

Dieser Artikel vereinfacht Datenschutzthemen für Soloselbstständige und Kleinstunternehmen. Er gibt einen Einblick, ohne alles abzudecken. Du möchtest keine Artikel mehr verpassen? Melde dich für den Newsletter an.

Anmelden

Die 7 Verarbeitungsgrundsätze der DSGVO

7 Verarbeitungsgrundsätze der DSGVO
7 Verarbeitungsgrundsätze der DSGVO

#1 Rechtmäßigkeit, Verarbeitung nach Treu und Glauben

Dieser Grundsatz betont, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn es eine rechtliche Grundlage dafür gibt. Dies kann eine Einwilligung der betroffenen Person, ein Vertrag oder eine rechtliche Verpflichtung sein.

Verarbeite personenbezogene Daten nur, wenn du eine Einwilligung oder eine gesetzliche Erlaubnis dafür hast.

Beispiel: Ein Online-Shop bittet seine Kunden bei der Registrierung um ihre ausdrückliche Einwilligung, ihm Newsletter zusenden zu dürfen. Ohne diese Einwilligung dürfte der Online-Shop keine regelmäßigen Newsletter versenden.

Denkanstöße zur Rechtmäßigkeit, zu Treu und Glauben und der Transparenz:

  1. Welche Daten verarbeitest du von deinen Kunden, Mitarbeitern und Website-Besuchern? Wenn du bereits über ein Verzeichnis der Verarbeitungstätigkeiten verfügst, ist dies ein guter Ausgangspunkt.
  2. Liegt für jede Verarbeitungstätigkeit eine Einwilligung vor? Oder eine gesetzliche Erlaubnis?

#2 Zweckbindung

Daten dürfen nur für den Zweck erhoben werden, für den sie ursprünglich gesammelt wurden. Eine spätere Verarbeitung zu anderen Zwecken ist nur zulässig, wenn sie mit dem ursprünglichen Zweck vereinbar ist oder auf einer gesonderten rechtlichen Grundlage beruht.

Nutze personenbezogene Daten nur für einen bestimmten Zweck.

Beispiel: Ein Fitnesstrainer erhebt die Gesundheitsdaten seiner Kunden, um individuelle Trainingspläne zu erstellen. Diese Daten dürfen nicht für andere Zwecke, z. B. Marketingaktionen, verwendet werden.

Denkanstöße zur Zweckbindung:

  • Welche Daten verarbeitest du von deinen Kunden, Mitarbeitenden und Websitebesuchenden? Wenn du bereits über ein Verzeichnis der Verarbeitungstätigkeiten verfügst, ist das ein guter erster Anhaltspunkt.
  • Hast du für jede Verarbeitungstätigkeit auch einen konkreten Zweck eingetragen?
  • Wenn Websitebesuchende eine Case Study, ein Freebie oder einen Lead Magnet mit ihrer E-Mail-Adresse herunterlädt. Was genau bekommen sie dann von dir? Was hast du im Anmeldeformular als Zweck angegeben? Und was schickst du tatsächlich? Haben sie sich laut Anmeldeformular nur für das Freebie angemeldet? Bekommen sie aber zusätzlich noch deinen Newsletter, schreibst du ihnen noch persönlich mit diversen Verkaufsmails an?

#3 Datenminimierung

Unternehmen sollten nur die Daten erheben und verarbeiten, die für den angegebenen Zweck notwendig sind. Dies bedeutet, dass überflüssige Daten nicht gespeichert werden sollten.

Erfasse nur personenbezogene Daten, die du wirklich brauchst.

Beispiel: Ein Gesundheitscoach bietet einen Online-Kurs für eine regelmäßige Meditationspraxis an. Für den Buchungsprozess fragt er nur nach Name, Adresse, E-Mail-Adresse und den Zahlungsinformationen. Unnötige Daten wie Geburtsdatum, Gewicht und Telefonnummer werden nicht erhoben, da sie für den Buchungsvorgang nicht erforderlich sind.

Denkanstöße zur Datenminimierung:

  • Wenn du Daten sammelst, bist du auch für sie verantwortlich. Je mehr Daten du sammelst, desto attraktiver wirst du für Angreifer. Das Risiko eines Cyberangriffs oder auch nur eines Datenlecks steigt mit der Datenmenge.
  • Neben dem Risiko eines Cyberangriffs steigen auch die Kosten für die Datenverarbeitung, wenn du wahllos Daten speicherst. Etwa Speicherkosten, Datensicherung, eventuelle Raumkosten. Nicht zu vernachlässigen sind auch die Kosten für den Umgang mit den Rechten der Betroffenen.
  • Wenn neue Kunden, Mitarbeitende oder Websitebesuchende hinzukommen, achte darauf, dass du von ihnen nur die Informationen speicherst, die du für den vereinbarten Zweck benötigst.
  • Auch wenn es verlockend ist, online nach Namen, Unternehmen, Unternehmensgröße, Bruttogehalt, Beziehungsstatus, Adresse und Telefonnummer als Pflichtfelder für ein Freebie, eine Fallstudie oder einen Lead-Magneten zu fragen. Es kann schmerzhaft und teuer werden, wenn du diese Daten verlierst, zum Beispiel durch eine Datenpanne. Eine Aufsichtsbehörde könnte feststellen, dass du diese Daten für deinen Zweck gar nicht hättest abfragen dürfen.
  • Werde nicht zum Datenkraken, auch wenn es verlockend ist.

#4 Richtigkeit

Die verarbeiteten Daten sollten korrekt und aktuell sein. Unternehmen müssen sicherstellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden.

Achte darauf, dass personenbezogenen Daten aktuell und korrekt sind.

Beispiel: Ein Online-Shop-Anbieter bietet seinen Kunden ein Online-Portal an, über das sie ihre persönlichen Daten überprüfen und gegebenenfalls aktualisieren können, um sicherzustellen, dass die Daten stets korrekt sind.

Denkanstöße zur Richtigkeit:

  • Wie kannst du sicherstellen, dass die personenbezogenen Daten, die du verarbeitest, korrekt und auf dem neuesten Stand sind?

#5 Speicherbegrenzung

Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für den Zweck ihrer Verarbeitung notwendig ist. Nach Ablauf dieser Frist müssen die Daten gelöscht oder anonymisiert werden.

Verwende personenbezogene Daten nur so lange, wie du sie unbedingt benötigst.

Beispiel: Ein Unternehmen, das Bewerbungsverfahren durchführt, löscht die Daten von Bewerbern, die nicht eingestellt wurden, nach einer bestimmten Frist, z. B. nach sechs Monaten.

Denkanstöße zur Speicherbegrenzung:

  • Bevor mit der Verarbeitung personenbezogener Daten begonnen wird, ist zu überlegen, wie lange die Daten aufbewahrt werden dürfen. Es ist nicht erlaubt, Daten auf Vorrat zu speichern.
  • Du bietest Online-Kurse an? Oder Live-Workshops, die du aufzeichnest? Die Teilnehmer kommen zu Wort und werden auch visuell erfasst? Wie lange stellst du sicher, dass deine Teilnehmer Zugriff auf diese Dateien haben? Wann löschst du die Daten?
  • Gelöschte Daten sind am sichersten. Je weniger Daten in deiner Verantwortung liegen, desto geringer ist das Risiko.

#6 Integrität und Vertraulichkeit

Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Dies schließt den Schutz vor unbefugtem oder unrechtmäßigem Zugriff, Verlust, Zerstörung oder Beschädigung ein.

Sichere personenbezogene Daten ab und schütze sie vor unbefugten Veränderungen.

Beispiel: Ein Finanzdienstleistungsunternehmen setzt Verschlüsselungstechnologien ein, um die Sicherheit von Kundendaten während der Übertragung und Speicherung zu gewährleisten.

Denkanstöße zur Integrität und Vertraulichkeit:

  • Gehen deine Dienstleister und Auftragsverarbeiter vertrauensvoll mit den personenbezogenen Daten deiner Kunden, Mitarbeitenden und Websitebesuchenden um? Wie ist das geregelt?
  • Wie verhinderst du, dass sensible und personenbezogene Daten unbeabsichtigt von deinen Mitarbeitern nach außen gelangen?

#7 Rechenschaftspflicht

Unternehmen müssen nachweisen können, dass sie die oben genannten Grundsätze einhalten. Dies erfordert unter anderem die Führung von Verzeichnissen der Verarbeitungstätigkeiten und die Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungsvorgängen.

Dokumentiere und weise auf Anfrage nach.

Beispiel: Selbstständige überprüfen regelmäßig, ob alle Vorgaben der DSGVO eingehalten werden und ob die Dokumentation auf dem aktuellen Stand ist.

Denkanstöße zur Rechenschaftspflicht

  • Wie kannst du nachweisen, dass du die DSGVO einhältst?
  • Wenn dir, deinen Mitarbeitern, Dienstleistern oder Auftragsverarbeitern eine Datenpanne passiert, wie kannst du nachweisen, dass du (als Verantwortlicher) die personenbezogenen Daten ausreichend geschützt hast?
  • Nachweise können u. a. sein: Verzeichnis der Verarbeitungstätigkeiten, Schulungsnachweise der Mitarbeiter, technische und organisatorische Maßnahmen, Datenschutzhinweise, Auftragsverarbeitungsverträge, Notfallplan, Umgang mit Betroffenenrechten etc.

FAQ Verarbeitungsgrundsätze

Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten zu beachten?

Das sind die sieben Verarbeitungsgrundsätze: 1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, 2. Zweckbindung, 3. Datenminimierung, 4. Richtigkeit, 5. Speicherbegrenzung, 6. Integrität und Vertraulichkeit und 7. die Rechenschaftspflicht.

Wo kann ich die Grundsätze für die Verarbeitung personenbezogener Daten nachlesen?

In Artikel 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten.

Auf welchen Erwägungsgründen basiert Artikel 5 DSGVO?

Passende Erwägungsgründe sind Grundsätze der Datenverarbeitung (39) und Verantwortung und Haftung des Verantwortlichen (74).

Nicole Werner

Ich bin Wirtschaftsinformatikerin, Datenschutzbeauftragte, Bloggerin, Vermittlerin und neuronale Pingpong-Spielerin. Ich mache komplexe Themen verständlich und liebe TechNights.

Mehr über mich erfährst du auf meiner Über Mich Seite.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert