IM GESPRÄCH
Die genannten
Prinzipien
zur Sammlung,
Speicherung
und
Verarbeitung
von personenbezogenen
Daten
umfassen
die
Grundsätze
• Datenvermeidung und -sparsamkeit
• Zweckbindung
• Transparenz
• Verbot mit Erlaubnisvorbehalt
Datenvermeidung
und -sparsamkeit
bedeuten
hierbei
die Beschränkung
auf das für den Zweck der Verarbeitung
angemessene
und notwendige
Maß. Das heißt, nur die Daten,
die wirklich
für die geplante
Nutzung
relevant
sind, dürfen
erfasst
und gespeichert
werden.
Unspezifisches
„Data Mining“ ist zu unterlassen.
Zudem
ist die Speicherung
der Daten
nur so lange
rechtmäßig,
wie es für die Verarbeitungszwecke
notwendig
ist. Für
die reine Bearbeitung
eines einmaligen
Kundenauftrags
dürfen
also beispielsweise
nur Name und Versandadresse
des Kunden
gespeichert
werden
und nicht auch noch die anderen
Produkte,
für die sich der Kunde
vor seinem
Auftrag
interessiert
hat.
Mit Zweckbindung
ist gemeint,
dass die Daten
nur mit eindeutig
festgelegtem
Zweck erhoben
und verarbeitet
werden
dürfen.
Erhält
ein Unternehmen
eine Anfrage
nach einem Angebot,
dürfen
die angegebenen
persönlichen
Daten
des potenziellen
Kunden
nicht automatisch
für die Versendung
des nächsten
Newsletters
des Anbieters
verwendet
werden.
Transparenz
stellt sicher, dass der Betroffene
aktiv
über die
erstmalige
Speicherung
informiert
werden
muss und er jederzeit
ein Auskunftsrecht
zum Zweck der Datensammlung
und
dem Inhalt
der gespeicherten
Daten
hat. Eine entsprechende
Anfrage
muss kurzfristig
innerhalb
eines Monats
beantwortet
werden.
In der Praxis
besonders
relevant
ist das Verbot
mit Erlaubnisvorbehalt,
nach dem Datenverarbeitungsvorgänge
nur dann
zulässig
sind, wenn die betroffene
Person
diesen
zugestimmt
hat. Hierbei
muss wirklich
das einzelne
Individuum
zustimmen
– eine zentrale
Zustimmung,
beispielsweise
durch ein Unternehmen
für alle seine Mitarbeiter,
ist nicht zulässig.
Auf Wunsch
der einzelnen
Person
müssen
die gespeicherten
Daten
unmittelbar
und unwiderruflich
gelöscht
werden.
Eine Ausnahme
von
der Notwendigkeit
einer expliziten
Zustimmung
besteht
bei
berechtigtem
Interesse
der verantwortlichen
Stelle
an der Verarbeitung
und der begründeten
Annahme,
dass das Interesse
des Betroffenen
an dem Ausschluss
der Speicherung
und Verarbeitung
seiner
Daten
für den gegebenen
Zweck nicht überwiegt.
Um die Einhaltung
dieser
Prinzipien
sicherzustellen,
verpflichtet
die DSGVO die datenverarbeitenden
Unternehmen
zu unterschiedlichen
organisatorischen
und technischen
Maßnahmen,
zum Beispiel:
• Bestellung
eines Datenschutzbeauftragten
(ab neun Mitarbeitern,
die personenbezogene
Daten
verarbeiten)
• Zentrale
Dokumentation
der Regelungen
und Maßnahmen
zum Datenschutz
(öffentliches
und internes
Verfahrensverzeichnis)
• Verträge
zur Auftragsdatenverarbeitung
mit allen
Dienstleistern,
an die Datenverarbeitungsvorgänge
ausgelagert
werden
• Sicherstellung
der Datensicherheit
im Sinne
einer dem Stand
der Technik
entsprechenden
IT-Landschaft
• Information
der Betroffenen
sowie
der Datenschutz
Aufsichtsbehörden
im Falle
von Datenverlust
Aus dem Inkrafttreten
der DSGVO und vor dem Hintergrund
der zu erwartenden
verstärkten
behördlichen
Kontrollen,
verbunden
mit hohen
potenziellen
Strafen,
entsteht
also für viele
Unternehmen,
Institutionen
und Verbände
die Notwendigkeit,
sich mit den eventuell
notwendigen
Anpassungen
auseinanderzusetzen.
30 massivUMFORMUNG | MÄRZ 2018