Wichtigste Grundsätze der DSGVO

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Erläutern der wichtigsten Datenschutzgrundsätze, die der DSGVO zugrunde liegen
  • Nennen von Maßnahmen, die Unternehmen zum Schutz personenbezogener Daten ergreifen können
  • Beschreiben der Wahlmöglichkeiten, die die DSGVO Einzelpersonen in Bezug auf ihre personenbezogenen Daten einräumt

Wichtigste Grundsätze

Mehrere wichtige Grundsätze unterstützen die in der DSGVO enthaltenen Anforderungen. Werfen wir einen Blick darauf.

Fairness und Transparenz

Unternehmen müssen personenbezogene Daten stets rechtmäßig, nach Treu und Glauben und transparent verarbeiten.

Wenn die Grande Banque du Nord Marie Dubois auffordert, sich als Kundin auf ihrer Website zu registrieren, muss die Bank klar und deutlich darüber informieren, welche spezifischen Informationen sie und ihre Website von Marie erhebt und wie diese Informationen verwendet werden sollen. Wenn die Grande Banque beispielsweise Maries Nutzung der Bank-Website verfolgt, muss sie dies in einer Datenschutzrichtlinie beschreiben.

Zweckbindung

Unternehmen dürfen personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erheben. Sie dürfen personenbezogene Daten nicht in einer Weise weiterverarbeiten, die mit diesen Zwecken nicht zu vereinbaren ist.

Wenn die Grande Banque du Nord Marie Dubois auffordert, sich als Kundin auf ihrer Website zu registrieren, muss die Bank sie über die geplante Verarbeitung ihrer personenbezogenen Daten informieren. Die Grande Banque darf Maries personenbezogene Daten nur für die Zwecke verwenden, die in dieser Mitteilung beschrieben sind. Die Grande Banque darf Maries Daten beispielsweise nicht an eine Umzugsfirma verkaufen, die nach neuen Kunden sucht, wenn in der Datenschutzerklärung nicht angegeben wurde, dass die Bank personenbezogene Daten zu diesem Zweck an Umzugsfirmen weitergibt.

Datenminimierung

Unternehmen dürfen nur solche personenbezogenen Daten erheben, die angemessen, erheblich sowie auf das für den beabsichtigten Zweck der Verarbeitung notwendige Maß beschränkt sind.

Wenn Marie die mobile Anwendung der Grande Banque herunterlädt und ein Account einrichtet, darf die Grande Banque nur Informationen erheben, die für die Serviceerbringung gegenüber Marie relevant sind. Die Anwendung darf weder ihren genauen Standort aufzeichnen noch auf die Kontakte in Maries Handy zugreifen oder Informationen über andere Anwendungen auf ihrem Handy sammeln. Die Grande Banque darf Marie nicht auffordern, Angaben zu machen, die für die Abläufe bei Hypothekendarlehen nicht relevant sind, wie z. B. ihre Religion oder ethnische Zugehörigkeit betreffend.

Genauigkeit 

Personenbezogene Daten müssen richtig sein und erforderlichenfalls auf dem neuesten Stand gehalten werden.

Als Marie ein detailliertes Formular für die Grande Banque ausfüllt, um ein Angebot für ein Haus zu unterbreiten, gibt sie ihr aktuelles Gehalt an. Als sie eine Beförderung und eine damit verbundene Gehaltserhöhung erhält, gibt sie diese Information an die Grande Banque weiter. Die Grande Banque muss ihre Daten aktualisieren, damit diese Maries neues Gehalt widerspiegeln.

Datenlöschung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es zur Erfüllung des ursprünglichen Erhebungszwecks erforderlich ist.

Marie findet heraus, dass eine andere Bank, Petit Crédit du Sud, einen viel niedrigeren Zinssatz anbietet. Marie beschließt, von der Grande Banque zu Petit Crédit zu wechseln, und teilt der Grande Banque mit, dass sie ihre Geschäftsbeziehung beendet. Die Grande Banque muss alle personenbezogenen Daten von Marie löschen, die sie nicht von Rechts wegen aufbewahren muss, etwa Informationen über Maries Einkommen, Sparkonten und Schulden.

Schloss mit Schlüssel

Sicherheit

Unternehmen müssen geeignete technische und organisatorische Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor unbefugter Verarbeitung und unbeabsichtigter Offenlegung, Zugang, Verlust, Vernichtung oder Veränderung zu schützen. Abhängig vom konkreten Anwendungsfall und den verarbeiteten personenbezogenen Daten wird die Verwendung von Datentrennung, Verschlüsselung, Pseudonymisierung und Anonymisierung zum Schutz personenbezogener Daten empfohlen und in einigen Fällen auch gefordert.

Im Rahmen des Hypothekenantragsverfahrens solle Marie auf der Website von Petit Crédit ein Formular ausfüllen, das detaillierte und sensible personenbezogene Daten abfragt. Petit Crédit muss sicherstellen, dass sich das Formular auf einer sicheren Webseite befindet und die Daten während der Übertragung verschlüsselt werden. Wenn Petit Crédit diese Daten in seiner Salesforce-Instanz speichert, muss es sicherstellen, dass der Zugriff auf diese Daten auf diejenigen Petit Crédit-Mitarbeiter eingeschränkt wird, die einen berechtigten Zugriffsbedarf haben.

Lassen Sie uns hier kurz über einige Maßnahmen nachdenken, die Unternehmen zum Schutz personenbezogener Daten ergreifen können.

Maßeinheit
Beschreibung
Verschlüsselung
Entgegen manchen Berichten verlangt die DSGVO von Unternehmen nicht, personenbezogene Daten zu verschlüsseln. Abhängig von den Umständen empfiehlt das Gesetz allerdings die Verschlüsselung als ein wirksames Mittel, um die Sicherheit und Vertraulichkeit personenbezogener Daten zu gewährleisten. Insbesondere legt das Gesetz die Verschlüsselung für sensible personenbezogene Daten und bestimmte Arten von Daten, die von stark regulierten Unternehmen verwaltet werden, als geeignete Maßnahme nahe.
Pseudonymisierung
Die DSGVO empfiehlt Unternehmen, die Pseudonymisierung als risikobasierte Maßnahme zum Schutz der Datensicherheit und der Rechte des Einzelnen einzusetzen. In bestimmten Szenarien können Unternehmen die Pseudonymisierung als Maßnahme einsetzen, um die Datennutzung über den ursprünglichen Zweck hinaus zu ermöglichen. So kann die Pseudonymisierung beispielsweise ausreichenden Schutz gegen Risiken aus der Profilerstellung darstellen. Pseudonymisierte Daten gelten jedoch nach wie vor als personenbezogene Daten im Sinne der DSGVO.
Anonymisierung
Wenn die Daten wirklich anonymisiert sind, gelten sie nicht als personenbezogene Daten im Sinne der DSGVO. Die Messlatte für Anonymität ist jedoch hoch: Die Identifizierung einer Person aus den Daten durch eine weitere Verarbeitung oder Verbindung mit anderen Informationen muss unmöglich sein.

Rechenschaftspflicht

Der Verantwortliche ist für die Implementierung von Maßnahmen verantwortlich, die sicherstellen, dass die von ihm kontrollierten personenbezogenen Daten in Übereinstimmung mit den Grundsätzen der DSGVO behandelt werden. Dazu gehören die Ernennung eines Datenschutzbeauftragten, die Vereinbarung vertraglicher Verpflichtungen mit dem Auftragsverarbeiter und die Anwendung der Grundsätze "Privacy by Design" und "Privacy by Default". Darüber hinaus muss der Verantwortliche in der Lage sein, die Einhaltung der Vorschriften nachzuweisen, unter anderem durch Aufzeichnungen über die Verarbeitungsaktivitäten und die Durchführung von Datenschutz-Folgenabschätzungen.

Um die persönlichen Daten von Marie in die Salesforce-Instanz von Petit Crédit übernehmen zu können, muss die Bank sicherstellen, dass sie mit Salesforce eine schriftliche Vereinbarung über die Verarbeitung personenbezogener Daten getroffen hat, wie z. B. eine Vereinbarung zur Auftragsverarbeitung. Petit Crédit muss außerdem dokumentieren, wie und warum die Bank Maries Informationen erhoben hat, welche Art von Informationen erhoben wurden, an wen die Daten weitergegeben wurden und welche Sicherheitsvorkehrungen zum Schutz der Daten getroffen wurden.

Im Folgenden werden drei Methoden beschrieben, mit denen Datenschutzprinzipien in der Unternehmenskultur umgesetzt werden können.

Methoden
Beschreibung
Privacy by Design
Hinter diesem Prinzip steckt die Idee, dass Unternehmen, wenn sie eine neue Verarbeitungstätigkeit planen oder ein neues Produkt, eine neue Dienstleistung oder eine neue Funktionalität entwickeln oder implementieren, diese Aktivitäten und Produkte unter Berücksichtigung der DSGVO-Grundsätze konzipieren müssen, um sicherzustellen, dass sie die erforderlichen Datenschutzvorkehrungen treffen.
Privacy by Default
Dahinter verbirgt sich die Idee, dass Unternehmen bei der Erhebung, Verarbeitung und Speicherung von Daten immer die "datenschutzfreundlichsten" Standardeinstellungen verwenden müssen. Wenn Personen die Wahl haben, in welchem Umfang ihre Daten verarbeitet werden, sollte als Standard der geringstmögliche Umfang definiert sein. Bei der Auswahl eines Aufbewahrungszeitraums muss als Standard der kürzest mögliche Aufbewahrungszeitraum eingestellt sein.
Datenschutz-Folgenabschätzungen
Analysen neuer Verarbeitungstätigkeiten zur Identifizierung und Adressierung der Datenschutzrisiken.

Rechte der Einzelnen

Die DSGVO gibt betroffenen Personen eine Reihe von Rechten, wie Verantwortliche mit ihren Daten umgehen. Diese Rechte verpflichten Verantwortliche über Systeme zu verfügen, mit denen sie auf die Anfragen betroffener Personen reagieren und diese bearbeiten können.

Offene Tür in einer Wolke

Auskunftsrecht: Betroffene Personen haben das Recht, sich vom Verantwortlichen bestätigen zu lassen, ob das Unternehmen ihre personenbezogenen Daten verarbeitet. Ist dies der Fall, muss der Verantwortliche der betroffenen Person Informationen über die Verarbeitung zur Verfügung stellen, einschließlich der verarbeiteten Daten, der Verarbeitungszwecke sowie die anderen Parteien, an die diese Daten weitergegeben wurden.

Widerspruchsrecht: Betroffene Personen können in bestimmten Fällen jederzeit Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen, insbesondere wenn die Verarbeitung zu Zwecken des Direktmarketings erfolgt.

Recht auf Berichtigung: Betroffene Personen haben das Recht, vom Verantwortlichen unverzüglich die Berichtigung oder Vervollständigung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.

Recht auf Einschränkung der Verarbeitung: Betroffene Personen können verlangen, dass der Verantwortliche den Zugriff auf und die Änderung ihrer personenbezogenen Daten unterbindet. Der Verantwortliche kann durch eine Kennzeichnung oder technische Mittel sicherstellen, dass diese Daten durch keine Partei mehr weiter verarbeitet werden.

Recht auf Datenübertragbarkeit: In bestimmten Fällen haben betroffene Personen das Recht, von einem Verantwortlichen zu verlangen, dass er ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. einer CSV-Datei) zur Verfügung stellt, damit sie ihre personenbezogenen Daten an ein anderes Unternehmen übermitteln können.

Recht auf Löschung: Wird auch als das "Recht auf Vergessenwerden" bezeichnet. Betroffene Personen haben das Recht, vom Verantwortlichen zu verlangen, dass ihre personenbezogenen Daten gelöscht oder entfernt werden, sofern einer der folgenden Gründe zutrifft: Die personenbezogenen Daten sind für den ursprünglichen Zweck nicht mehr notwendig, die betroffene Person widerruft ihre Einwilligung oder, die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen auf Seiten des Verantwortlichen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.

Wie halten sich Unternehmen eigentlich an diese Grundsätze und wie antworten sie auf Anfragen betroffener Personen? In der nächsten Einheit befassen wir uns mit den Schlüsselelementen eines DSGVO-Compliance-Programms.

Ressourcen