Zum Hauptinhalt springen
Datenschutz AGADDatenschutz AGAD
 
alt text

Kontakt

Lernmodul 2 von 10

2. Die Grundprinzipien der DS-GVO

Neben den eingangs genannten Unsicherheiten stellt sich häufig auch die Frage, warum Sie als Mitarbeiter eigentlich geschult werden müssen. Der Grund hierfür ist, dass die DS-GVO der verantwortlichen Stelle – also Ihrem Arbeitgeber – einige Pflichten auferlegt. So ist die verantwortliche Stelle verpflichtet, nach Art 5 II DS-GVO die Grundsätze der Verarbeitung von personenbezogenen Daten nachweisen zu können.

Hierzu zählt auch, dass die Mitarbeiter auf die Einhaltung der DS-GVO verpflichtet werden. Die Grundsätze zur Verarbeitung von personenbezogenen Daten werden in Art 5 I DS-GVO aufgelistet. Hier werden die sechs „Fundamente“ der DS-GVO benannt, die im Einzelnen wie folgt erklärt werden.

So müssen die Daten nach Art 5 I 1 DS-GVO:

a) auf rechtmäßige Weise, (…) und in einer für die betroffene Person nachvollziehbaren Art und Weise verarbeitet werden („Rechtmäßigkeit, Grundsatz von Treu und Glauben, Transparenz“)

Das bedeutet, dass keine Daten ohne Rechtsgrundlage verarbeitet werden dürfen. Dies sagt auch der „Rechtmäßigkeitsgrundsatz“ aus. Spiegelbildlich hierzu wäre auch das „Verbot mit Erlaubnisvorbehalt“, das eine Datenverarbeitung untersagt, solange keine Rechtsgrundlage die Verarbeitung gestattet, zu erwähnen. Darüber hinaus muss für den Betroffenen transparent sein, wie und zu welchem Zweck seine Daten verarbeitet werden.

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht vereinbaren Weise weiterverarbeitet werden (…) („Zweckbindung“)

Dieser Grundsatz soll verhindern, dass erhobene Daten – z.B. für die Vertragsabwicklung – ohne weiteres für andere Dinge genutzt werden. Der Betroffene ist von Anfang an darüber zu informieren, zu welchem Zweck seine Daten verarbeitet werden können. Eine Weiterverarbeitung zu anderen Zwecken – etwa eine Auswertung von personenbezogenen Daten und Bildung von Profilen – soll so vermieden werden. Eine Zweckänderung ist aber nicht per se unzulässig; das Gesetz sieht  einige Ausnahmen vor.

c) dem Zweck angemessen (…) sowie auf das für die Erhebung notwendige Maß beschränkt sein („Datenminimierung“)

Dieser Grundsatz beschreibt, dass nur die Daten erhoben und verarbeitet werden sollen, die für den vor der Verarbeitung definierten Zweck benötigt werden. „Überflüssige“ oder nicht notwendige Daten sind zu vermeiden.

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (…) („Richtigkeit“)

Der Grundsatz, dass erhobene Daten korrekt und richtig abgespeichert und verarbeitet werden müssen, gilt auch in anderen Bereichen. Rechnungen etc. sind – für eine Prüfung durch das Finanzamt – ebenfalls korrekt zu archivieren; hierfür gibt es z.B. die Grundsätze der kaufmännischen Buchführung. Der Grundsatz soll verhindern, dass der Betroffene durch die (fortlaufende) Weiterverarbeitung unrichtiger Daten negativ beeinträchtigt wird.

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie erforderlich ist, verarbeitet werden („Speicherbegrenzung“)

Diese leicht umständliche Formulierung bedeutet nichts anderes, als dass Daten nicht unbegrenzt gespeichert werden dürfen. Wenn die Daten für keinen Zweck mehr gespeichert werden müssen, sind diese zu löschen. Hier spiegelt sich auch der Anspruch des Betroffenen, dass seine Daten gelöscht werden können („Recht auf Vergessenwerden“). Natürlich darf durch die Löschung gegen kein Gesetz verstoßen werden. Kaufmännische Unterlagen sind aus steuerrechtlichen Gründen für bis zu 10 Jahre aufzubewahren. Man sollte sich aber bereits bei Erhebung der Daten Gedanken machen, wie lange man diese noch benötigen wird.

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unrechtmäßiger Verarbeitung, (…) Verlust…(„Integrität und Vertraulichkeit“)

Der Betroffene muss damit rechnen dürfen, dass die über ihn erhobenen Daten vor unbefugten Zugriffen geschützt sind und z.B. auch nicht aus Versehen vernichtet werden. Hiergegen sind bestimmte Maßnahmen zu treffen, wie z.B. eine regelmäßige Sicherung von Daten. Ein unbefugtes Offenlegen kann aber nicht nur durch einen Angriff von außen, beispielsweise einen Hackerangriff, erfolgen. So hat es seinen Grund, dass auf die Personalakten und die Lohn- und Gehaltsunterlagen nur das mit der Abwicklung betraute Personal zugreifen kann. Die Daten sind vertraulich und dürfen nicht für Unbefugte und (nicht mit der Verarbeitung betraute) Kollegen einsehbar sein.

Über diese Maßgaben muss das Unternehmen „Rechenschaft“ ablegen, d.h., die entsprechenden Punkte sind zu dokumentieren. Dazu gehört auch, dass der Arbeitgeber mit seinen Mitarbeitern über die Einhaltung des Datenschutzes spricht und es im Unternehmen bestimmte Verhaltensregelungen gibt (z.B. Bildschirmsperre bei Abwesenheit am Arbeitsplatz).