Blog-Layout

Praxistipp: Datenschutz im Griff: die Grundsätze der DSGVO nach Artikel 5

Team Datenschutz • 8. Februar 2019

Praxistipp Datenschutz 02|2019

Anders als früher ist die Verarbeitung personenbezogener Daten nicht mehr „verboten mit Erlaubnisvorbehalt“. Der Gesetzgeber geht vielmehr von der Tatsache der Verareitung aus – und schafft den rechtlichen Rahmen, um die Rechte und Freiheiten der Betroffenen zu schützen. Unter anderem, indem er Grundsätze definiert, die es bei der Verarbeitung personenbezogener Daten immer zu beachten gilt. Wer sie kennt und umsetzt, macht beim Datenschutz vieles richtig.


Praxisfall


Im Unternehmen wird eine neue Verarbeitungstätigkeit eingeführt: Beschäftigte im Homeoffice sollen zukünftig die Möglichkeit haben, vertrauliche Gespräche per Videokonferenz zu führen. Nun soll sichergestellt werden, dass die Vorgaben der DSGVO eingehalten werden und der Prozess dennoch möglichst unkompliziert eingeführt und umgesetzt wird. Ein klassischer Fall, um die Grundsätze des Datenschutzes zurate zu ziehen.



Gut zu wissen


„Wer die folgenden drei Bereiche der DSGVO beachtet, hat mehr als 80 % der Regeln für den Datenschutz im Griff und kann beim Datenschutz nicht mehr viel falsch machen.“ Dieser Satz löst bei Vorträgen ungläubiges Staunen aus und führt nicht selten dazu, dass man sich als Vortragender plötzlich einer Front von eilig gezückten Smartphones gegenübersieht. Der Grund: Die Zuhörenden wollen von den folgenden drei Folien nichts verpassen. Wenn Datenschutz tatsächlich so einfach sein könnte ...



Risiken – von der Untersuchung über Geldbußen bis zum Vollzug von Anordungen


Werden personenbezogene Daten in einer Weise verarbeitet, die den Vorgaben der DSGVO widerspricht, greifen die Aufsichtsbehörden ein. Um dies erfolgversprechend tun zu können, stehen eine ganze Reihe von Möglichkeiten bereit. Aufsichtsbehörden dürfen unter- suchen, Anweisungen geben, verwarnen, untersagen. Vom Anfordern von Informationen über datenschutzrechtliche Überprüfungen bis zur Durchsuchung der Geschäftsräume stehen ihnen damit – je nach Eskalationsstufe immer schärfer werdende – Werkzeuge zur Verfügung. Möglich sind natürlich auch die vielzitierten Geldbußen, quasi als letztes Mittel.



Wie ist denn eigentlich zu verarbeiten?


Nach dem alten Datenschutzrecht bis zum 24. Mai 2016 (Inkrafttreten) bzw. 24. Mai 2018 (Rechtsgültigkeit) wurde von einem Verbotsgesetz mit Erlaubnisvorbehalt gesprochen. Heute kann man natürlich auch sagen, dass es verboten sei, personenbezogene Daten außerhalb der Grundsätze nach Artikel 5 der DSGVO und der Anforderungen an die Recht- mäßigkeit zu verarbeiten. Der für das deutsche bzw. preußische Recht typische Begriff vom Verbot und der Erlaubnis trifft den Sachverhalt der DSGVO allerdings nur noch bedingt.



Die DSGVO geht von der Verarbeitung personenbezogener Daten aus


Dass das so ist, kann man Art. 1 der DSGVO entneh- men. Dort heißt es im ersten Absatz: „Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ Hier ist keine Rede mehr von einem Verbot der Verarbeitung personenbezogener Daten – im Gegenteil. Dass personenbezogene Daten verarbeitet werden, ist Fakt – basta. Dass gleichzeitig natürliche Personen geschützt werden sollen, ist hier die Grundlage. Bei der DSGVO handelt es sich also vielmehr um ein Schutzgesetz als ein Verbotsgesetz mit Erlaubnisvorbehalt. Dieser Schutz wird unter anderem in den Grundsät- zen zur Verarbeitung personenbezogener Daten sichergestellt. Daher sollen hier die Grundsätze zur Verarbeitung von personenbezogenen Daten näher betrachtet werden. Weitere Praxistipps werden die Grundsätze übrigens im Einzelnen vertiefen – ein Grund, sie nicht zu verpassen!


Die Grundsätze im Überblick: Die Grundsätze nach Artikel 5 sind in aller Kürze


  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit


Gleich im Anschluss regelt die DSGVO, dass Verantwortliche – das ist in der Regel die Geschäftsführung – für die Einhaltung der Grundsätze verantwortlich sind. Für alle Abläufe, in denen personenbezogene Daten verarbeitet werden, müssen sie nachweisen können, dass sie die Grundsätze einhalten. Sämtliche, ohne Ausnahme.



Prüfen und planen


Wie geht man dabei am besten vor? Erst den Prozess definieren oder erst die Grundsätze prüfen? Klare Antwort: Kommt drauf an. Für Prozesse, die bereits laufen, sind die Vorgaben aus Artikel 30 der DSGVO zu erfüllen. Darin schreibt der Gesetzgeber fest, welche Angaben zu einem Prozess im Verzeichnis der Verarbeitungstätigkeiten festzuhalten sind. Dabei ist zu prüfen, ob die Grundsätze der Datenverarbeitung laut DSGVO eingehalten werden. Für neue Prozesse ist empfehlenswert, schon in der Planungsphase zu prüfen, ob und wie die Grundsätze eingehalten werden können.



Und wenn nicht?


Was kann man tun, wenn einzelne Grundsätze nicht eingehalten werden können? Dann empfiehlt es sich, eine Datenschutz-Folgenabschätzung vorzunehmen, da dann die zentrale Bedingung des Artikel 35 der DSGVO eintritt. Können die Grundsätze nicht eingehalten werden (sprich, wenn die „Umstände der Verarbeitung“ zu einem höheren Risiko für die Rechte und Freiheiten natürlicher Personen führen), ist die Datenschutz- Folgenabschätzung durchzuführen. Möglicherweise können die Risiken durch geeignete technische und organisatorische Maßnahmen abgefedert werden, beispielsweise durch starke Verschlüsselung oder Pseudonymisierung, die nahe an eine Anonymisierung heranreicht. Dadurch kann es zu einer Neubewertung der Risiken kommen, die laut DSGVO in einem solchen Fall vorzunehmen ist. Sollten die Risiken weiterhin hoch sein, konsultiert der Verantwortliche die Aufsichtsbehörde




Hier gibts den Praxistipp als kostenlosen PDF-Download:

Zum Praxistipp
von Eberhard Häcker 28. März 2025
Microsoft Copilot V3.5: 10 wichtige Risiken, die Sie kennen müssen, und 10 Tipps für den sicheren Einsatz! Erfahren Sie, wie Sie Copilot optimal nutzen, Datenschutzrisiken vermeiden und Compliance-Anforderungen erfüllen.
von Eberhard Häcker 3. März 2025
Microsoft Copilot in Edge bietet viele Vorteile – birgt aber auch Gefahren für den Datenschutz. Wir zeigen 10 wichtige Risiken beim Einsatz von Copilot in Edge und geben 10 Tipps für mehr Sicherheit.
von Team Datenschutz 17. Februar 2025
Unsere unterhaltsamen Datenschutz-Schulungen bringen Datenschutz mit charmanten Geschichten direkt in Ihr Unternehmen. Der Außerirdische DATSIPrUse und Datenschützer Eberhard erklären Datenschutz spannend und verständlich. Ideal, um Ihr Team spielerisch und praxisnah zu sensibilisieren. Jetzt mehr erfahren!
von Team Datenschutz 28. November 2024
Die Adventszeit steht vor der Tür! Um die Zeit bis Weihnachten auf unterhaltsame und lehrreiche Weise zu verkürzen, wartet auch in diesem Jahr wieder der Datenschutz-Adventskalender mit brandneuen Abenteuern von DATSIPrUse!
von Team Datenschutz 22. November 2024
Auch in diesem Jahr hat das Tagesseminar „Datenschutz-Update“ wieder zahlreiche Interessierte aus Datenschutz und Informationssicherheit zusammengebracht. Mit rund 40 Teilnehmenden fand das virtuelle Event regen Zuspruch und bot spannende Einblicke in die Herausforderungen und Chancen, die 2025 und darüber hinaus auf Unternehmen und Datenschutzbeauftragte zukommen.
von Team Datenschutz 1. Oktober 2024
Auch in diesem Jahr ist Team Datenschutz wieder bei der 24. IDACON 2024 mit dabei. Vom 5. bis 7. November dreht sich auf dem hybriden Kongress für Datenschutz in München alles um aktuelle Entwicklungen und praxisnahe Lösungen im Datenschutz.
Interieur eines Autos
von Eberhard Häcker 23. August 2024
Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.
von Eberhard Häcker 7. August 2024
Netzwerktopologie bezeichnet, wie Geräte in Computer-Netzwerken miteinander verbunden sind. Die häufigsten Topologien sind Stern, Ring, Bus und Masche. Dabei werden personenbezogene Daten verarbeitet. Umso wichtiger, dass Datenschutzbeauftragte sich des Themas annehmen.
Öffentliches Café am Flughafen
von Eberhard Häcker 9. Juli 2024
Wie Sie unsichere WLAN-Netzwerke erkennen und mit welchen Maßnahmen Sie Ihre Daten schützen. Unsere Tipps zu sicheren Verbindungen und Mitarbeiterschulungen.
Mehr anzeigen
Share by: