Zum Europäischen Datenschutztag nochmals das Wichtigste in Kürze

Seit dem Jahr 2007 findet jährlich am 28. Januar der Europäische Datenschutztag statt. Dessen Ziel es ist, das Bewusstsein der Bevölkerung im Bereich Datenschutz zu erhöhen. Das diesjährige Jubiläum wollen wir zum Anlass nehmen, um Ihnen nochmals einen schematischen Überblick über die wichtigsten Grundsätze der DSGVO zu geben, die bei der Verarbeitung von personenbezogenen Daten einzuhalten sind und deren Einhaltung nachweisbar sein muss (Art. 5 DSGVO). 

Um rechtmäßig zu sein, bedarf jede Verarbeitung von personenbezogenen Daten einer Rechtsgrundlage. Eine solche liegt z.B. dann vor, wenn der Betroffene eine wirksame Einwilligung in die Datenverarbeitung erteilt hat, wenn die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist oder wenn ein überwiegendes berechtigtes Interesse an der Datenverarbeitung besteht. Personenbezogene Daten dürfen nur für vorab festgelegte, konkrete und legitime Zwecke verarbeitet werden. Über die Art und Weise der Datenverarbeitung sowie über Zweck und Rechtsgrundlage muss der Betroffene informiert werden.

Praxistipp: Prüfen Sie, zu welchem Zweck Sie die Daten von Betroffenen erhoben haben. Aus dem festgelegten Zweck ergibt sich die Rechtsgrundlage; wurden die Daten z.B. zur Durchführung eines Mietvertrages erhoben, ist Rechtsgrundlage für die Datenverarbeitung Art. 6 Abs. 1 lit. b DSGVO.

Daten, die zum Zweck der Vertragserfüllung erhoben wurden, dürfen nicht für andere Zwecke weiterverarbeitet werden, z.B. für Werbung durch Dritte, an die die Daten weitergegeben werden. Der Betroffene muss außerdem über den konkreten Zweck, die Rechtsgrundlage und die sonstigen Umstände der Datenverarbeitung informiert werden (Art. 13, 14 DSGVO). Dies kann z.B. durch die Aushändigung von Datenschutzhinweisen anlässlich der Datenerhebung bzw. durch die Beifügung von Datenschutzhinweisen im abzuschließenden Vertrag geschehen oder – im Fall elektronischer Korrespondenz – durch den Hinweis auf einen Link, über den die Datenschutzhinweise zum jeweiligen Verarbeitungszweck erreichbar sind.

Es dürfen nur die personenbezogenen Daten verarbeitet werden, die bezogen auf den festgelegten Zweck erforderlich sind.

Praxistipp: Prüfen Sie z.B. bei der Verwendung von standardisierten Formularen, ob alle vorgesehenen Angaben tatsächlich erforderlich sind, um einen avisierten Vertrag abzuschließen. Die Angabe von Geburtsdatum, Staatsangehörigkeit oder Telefonnummer sind z.B. bei der Bestellung von Waren in einem Online-Shop in der Regel nicht erforderlich.

Prüfen Sie auch, ob Daten mit Personenbezug intern lediglich an dem/den erforderlichen Speicherort/en aufbewahrt werden und ob zum jeweiligen Speicherort klare Zugangsregelungen existieren. Es ist z.B. nicht erforderlich, E-Mailkorrespondenz mit Personenbezug weiter im Eingangspostfach aufzubewahren, nachdem die Korrespondenz in eine Handakte abgelegt wurde. Auf Postfächer und Handakten mit personenbezogenen Daten sollte grundsätzlich nur solche Personen Zugriff haben, die mit der Sachbearbeitung betraut sind.

Die Daten, welche Sie verarbeiten müssen richtig und auf dem aktuellen Stand sein.

Praxistipp: Stellen Sie sicher, dass es für Betroffene möglich ist, etwaige Änderungen oder Korrekturen von personenbezogenen Daten in Ihrem Unternehmen zu adressieren, z.B. durch die Schaffung und Veröffentlichung einer zuständigen Stelle hierfür. Schaffen Sie außerdem interne Verfahren, durch die gewährleistet wird, dass Änderungen an allen erforderlichen Speicherorten nachvollzogen werden.

Die Dauer, für die personenbezogene Daten zu dem festgelegten Zweck verarbeitet werden, muss zeitlich begrenzt sein.

 

Praxistipp: Prüfen Sie, ob ihr Unternehmen über eine interne Richtlinie verfügt, in der die Aufbewahrungsfristen für personenbezogene Daten bezogen auf die verschiedenen Verarbeitungszwecke geregelt sind. Sobald Daten für den Verarbeitungszweck nicht mehr benötigt werden und keine sonstige Aufbewahrungsvorschrift für die Daten besteht, müssen die Daten gelöscht oder anonymisiert werden.

Die Verarbeitung von personenbezogenen Daten muss auf sichere Weise erfolgen, was durch entsprechende Vorkehrungen zu gewährleisten ist. Hierzu zählen sowohl Maßnahmen zur Vermeidung von Cyberangriffen, als auch Maßnahmen, die gewährleisten, dass personenbezogene Daten nicht versehentlich verloren gehen, zerstört- oder verändert werden.

Praxistipp: Ergreifen Sie technische- und organisatorische Maßnahmen, die den Betrieb der eigenen Datenverarbeitungsanlagen sicher gewährleisten. Hierzu gehören Zugangsbeschränkungen zu Datenverarbeitungsanlagen, Zugriffskonzepte, durch die nur solchen Personen Zugriff auf Daten gewährt wird, die diese Daten tatsächlich benötigen (z.B. Passwortschutz auf Need-to-know-Basis), regelmäßige Überprüfung der verwendeten Software auf potentielle Schwachstellen, Verschlüsselung (z.B. Versand von Dokumenten oder E-Mails per Zip-Verschlüsselung), regelmäßiges Backup durch systematische Erstellung von Datensicherungen.

Die Einhaltung der vorgenannten Grundsätze muss nachgewiesen werden können.

Praxistipp: Stellen Sie sicher, dass Sie über eine schriftliche Dokumentation verfügen, mit der u.a. dargelegt werden kann, welche personenbezogenen Daten von welchen betroffenen Personen zu welchem Zweck und auf welcher Rechtsgrundlage für welche Dauer verarbeitet werden. Ggf. ergänzen und/oder aktualisieren Sie Ihr Verfahrensverzeichnis nach Art. 30 DSGVO.

Belehren und verpflichten Sie Ihre Mitarbeiter schriftlich auf das Datengeheimnis. 

Dokumentieren Sie schriftlich Interessenabwägungen, soweit Ihre Datenverarbeitung auf der Rechtsgrundlage eines überwiegenden berechtigten Interesses erfolgt (Art. 6 Abs. 1 lit. f DSGVO).

Autorin: Tanja Zerull, GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay