Was sind die 7 GDPR-Grundsätze? Die DSGVO wird durch eine Reihe von Datenschutzgrundsätzen untermauert, die die Einhaltung der Vorschriften vorantreiben. Diese Grundsätze umreißen die Verpflichtungen, die Organisationen einhalten müssen, wenn sie die personenbezogenen Daten einer Person erfassen, verarbeiten und speichern.

Die Datenschutzgrundsätze ähneln zwar denen der früheren Datenschutzrichtlinie (DPD), sind aber detaillierter, um ein höheres Maß an Konformität zu gewährleisten und den technologischen Fortschritt zu berücksichtigen.

Die sieben Grundsätze der DSGVO geben Organisationen einen Leitfaden an die Hand, wie sie ihre personenbezogenen Daten am besten verwalten und die Vorschriften der DSGVO einhalten können.

Die Nichteinhaltung der Grundsätze kann dazu führen, dass Ihr Unternehmen mit erheblichen Geldbußen rechnen muss. Die DSGVO besagt, dass Verstöße gegen die Grundprinzipien für die Verarbeitung personenbezogener Daten mit der höchsten Bußgeldstufe geahndet werden. Dies kann eine Geldstrafe von bis zu 4% Ihres Jahresumsatzes oder 20 Millionen Euro bedeuten, je nachdem, welcher Betrag höher ist.

Die sieben Datenschutzgrundsätze, die Sie bei der Verarbeitung personenbezogener Daten einhalten müssen, lauten wie folgt:

1. Rechtmäßigkeit, Fairness und Transparenz

Der erste Grundsatz ist wahrscheinlich der wichtigste und betont die vollständige Transparenz für alle betroffenen Personen in der EU. Wenn Daten erhoben werden, müssen die Unternehmen klar sagen, warum sie erhoben werden und wie sie verwendet werden sollen. Wenn eine betroffene Person weitere Informationen über die Verarbeitung ihrer Daten anfordert, sind die Unternehmen verpflichtet, diese zeitnah zur Verfügung zu stellen. Die Erhebung, Verarbeitung und Weitergabe von Daten muss in Übereinstimmung mit dem Gesetz erfolgen.

2. Zweckbindung

Organisationen müssen einen spezifischen und legitimen Grund für die Erhebung und Verarbeitung personenbezogener Daten haben. Die Daten dürfen nur für den angegebenen Zweck verwendet werden und dürfen nicht für andere Zwecke verarbeitet werden, es sei denn, die betroffene Person hat ausdrücklich zugestimmt. Bei der Verarbeitung zu Archivierungszwecken im öffentlichen Interesse oder zu wissenschaftlichen, historischen oder statistischen Zwecken gibt es etwas mehr Flexibilität.

3. Minimierung der Daten

Nach der DSGVO müssen Daten „den Zwecken entsprechen, für die sie erhoben werden, dafür erheblich sein und sich auf das beschränken, was im Hinblick auf die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Das bedeutet, dass Organisationen nur die Mindestmenge an Daten speichern sollten, die für ihren Zweck erforderlich ist. Organisationen können personenbezogene Daten nicht einfach auf gut Glück sammeln, wenn sie in der Zukunft nützlich sein könnten. Wenn sie mehr Daten als nötig speichern, ist dies wahrscheinlich rechtswidrig.

4. Genauigkeit

Personenbezogene Daten müssen korrekt, zweckdienlich und aktuell sein. Das bedeutet, dass Organisationen die über Einzelpersonen gespeicherten Daten regelmäßig überprüfen und ungenaue Daten entsprechend löschen oder ändern sollten. Einzelpersonen haben das Recht, innerhalb von 30 Tagen die Löschung oder Berichtigung ungenauer oder unvollständiger Daten zu verlangen. Diese Straffung der Informationen wird dazu beitragen, die Einhaltung der Vorschriften zu verbessern und sicherzustellen, dass die Unternehmensdatenbanken korrekt und auf dem neuesten Stand sind.

5. Speicherbegrenzung

Sobald Sie personenbezogene Daten für den Zweck, für den sie erhoben wurden, nicht mehr benötigen, sollten sie gelöscht oder vernichtet werden, es sei denn, es gibt andere Gründe, sie aufzubewahren. In der DSGVO ist nicht festgelegt, wie lange Sie personenbezogene Daten aufbewahren sollten. Es liegt an Ihrer Organisation, dies auf der Grundlage der Verarbeitungszwecke zu bestimmen. Um die Einhaltung der Vorschriften zu gewährleisten, sollten Organisationen über einen Überprüfungsprozess verfügen, der die Bereinigung von Datenbanken regelt. Obwohl die allgemeine Regel lautet, dass Sie personenbezogene Daten nicht für die künftige Verwendung aufbewahren dürfen, gibt es Ausnahmen für Archivierungs-, Forschungs- oder Statistikzwecke.

6. Integrität und Vertraulichkeit

Dieser Grundsatz befasst sich ausschließlich mit der Sicherheit. Ihr Unternehmen muss sicherstellen, dass alle geeigneten Maßnahmen getroffen werden, um die von Ihnen gespeicherten personenbezogenen Daten zu schützen. Dabei kann es sich sowohl um den Schutz vor internen Bedrohungen wie unbefugter Nutzung, versehentlichem Verlust oder Beschädigung als auch um externe Bedrohungen wie Phishing, Malware oder Diebstahl handeln. Eine unzureichende Datensicherheit kann Ihre Systeme und Dienstleistungen gefährden und auch Einzelpersonen in Bedrängnis bringen. Es gibt kein Patentrezept, aber die Datenschutzgrundverordnung besagt, dass Unternehmen über ein angemessenes Sicherheitsniveau verfügen sollten, um den Risiken, die mit ihrer Verarbeitung verbunden sind, zu begegnen.

7. Rechenschaftspflicht

Der letzte Grundsatz – ein neuer Grundsatz der DSGVO – besagt, dass Organisationen die Verantwortung für die von ihnen gespeicherten Daten übernehmen und die Einhaltung der anderen Grundsätze nachweisen müssen. Das bedeutet, dass Organisationen in der Lage sein müssen, die Schritte nachzuweisen, die sie unternommen haben, um die Einhaltung der Grundsätze nachzuweisen. Dies könnte Folgendes beinhalten:

  • Bewertung der aktuellen Praktiken
  • Ernennung eines Datenschutzbeauftragten
  • Erstellen eines persönlichen Dateninventars
  • Einholung einer angemessenen Zustimmung
  • Durchführung von Datenschutz-Folgenabschätzungen

Die Einhaltung dieser Leitprinzipien bei der Konzeption, der Implementierung und dem Betrieb wird dazu beitragen, dass Organisationen die Datenschutzgrundverordnung einhalten.

MetaPrivacy wurde entwickelt, um einen Best-Practice-Ansatz für die Einhaltung des Datenschutzes zu bieten. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie wir Ihrem Unternehmen helfen können, seine Compliance-Struktur zu verbessern.

HAFTUNGSAUSSCHLUSS: Der Inhalt und die Meinungen in diesem Blog dienen nur zu Informationszwecken. Sie stellen keine Rechts- oder sonstige professionelle Beratung dar und sollten nicht als Ersatz für eine spezifische Beratung in Bezug auf bestimmte Umstände, das Datenschutzgesetz oder andere aktuelle oder zukünftige Gesetze betrachtet werden. MetaCompliance übernimmt keine Verantwortung für Fehler, Auslassungen oder irreführende Aussagen oder für Verluste, die durch das Vertrauen auf die in diesem Blog enthaltenen Materialien entstehen können.