Recht und Steuern

Allgemeine Datenschutzgrundsätze

Art. 5 DS-GVO beinhaltet die Datenschutzgrundsätze, die bei einer automatisierten Verarbeitung personenbezogener Daten zu beachten sind:
Rechtmäßigkeit
Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zweck der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.
Treu und Glauben
Bei dem Grundsatz von Treu und Glauben handelt es sich um einen unbestimmten Rechtsbegriff und die Frage ob ein Verhalten als redlich bzw. anständig anzusehen ist. Er findet sich beispielsweise bei der Beurteilung des „berechtigten Interesses“ an einer Datenverarbeitung wieder.
Transparenz
Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht)
Zweckbindung
Die Daten dürfen nur für die genannten Zwecke verarbeitet werden und müssen bereits bei der Erhebung festgelegt, eindeutig und legitim sein. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
Datenminimierung
Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind. Sie müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
Richtigkeit
Die Daten müssen sachlich richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
Speicherbegrenzung
Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
Integrität und Vertraulichkeit
Personenbezogene Daten sollten so verarbeitet werden, dass Ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist. Die DS-GVO verknüpft sehr stark den Datenschutz mit der Technik. Dieser Grundsatz wird durch die technisch-organisatorischen Maßnahmen nach Artikel 32 DS-GVO konkretisiert.
Rechenschaftspflicht
Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.