Und schon wird es grundsätzlich. Die Grundsätze des Datenschutzes sind in Artikel 5 DSGVO geregelt. Dieser Beitrag behandelt die »Grundsätze für die Verarbeitung personenbezogener Daten« Teil II – Die Grundsätze aus Artikel 5 Absatz 1 Buchstaben d) bis f) und Absatz 2 DSGVO. Den ersten Teil findest du in der vorherigen Kurseinheit der Lektion 1.

Hinweis: Anders als im Video angekündigt, finden sich die Vertiefungsmaterialien jetzt hier auf internetrecht.blog für registrierte Mitglieder.

Weiter geht es mit den Grundsätzen der DSGVO. In Teil I haben wir die Grundsätze aus Artikel 5 Absatz 1 Buchstaben a) bis c) DSGVO kennengelernt. Wir setzen die Betrachtung also fort mit Artikel 5 Absatz 1 Buchstabe d) DSGVO.

Video: DSGVO-Praxiskurs Folge 4

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

Artikel 5 Absatz 1 Buchstabe d) DSGVO

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden. Hierzu haben Verantwortliche angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke der Verarbeitung ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Wichtig ist insoweit, dass Sie die betroffene Person bei der Erhebung der Daten auffordern, Änderungen etc. mitzuteilen. Gleichzeitig sollten Sie Routinen festlegen, also z.B. regelmäßige Intervalle, in denen die Daten überprüft und ggf. korrigiert oder aber, wenn sie nicht mehr gebraucht und keine Aufbewahrungspflichten entgegenstehen, endgültig gelöscht werden.

Speicherbegrenzung

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

Artikel 5 Absatz 1 Buchstabe e) DSGVO

Ohje. Das hätte der Verordnungsgeber wirklich einfacher ausdrücken können. Der Verordnungsgeber hätte im ersten Satz auch schreiben können: »Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.« Und schon sind wir wieder bei den Zwecken. Wie wir schon gesehen haben, bestimmen sie nicht nur die Rechtsgrundlage, sondern auch, wie lange personenbezogene Daten verarbeitet werden dürfen. Der Begriff »Speicherbegrenzung« hat also einen vorwiegend zeitlichen Bezug, auch wenn der Begriff das nicht auf den ersten Blick nahelegt.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Artikel 5 Absatz 1 Buchstabe f) DSGVO

Damit sind letztlich die technisch-organisatorischen Maßnahmen (»TOM«) gemeint, über die man an vielen Stellen in der DSGVO stolpert. Nach der Begriffsdefinition im Online-Glossar des Bundesamtes für Sicherheit in der Informationstechnik ist unter Integrität von Daten »die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen zu verstehen. Es wird insoweit häufig auch von »Datensicherheit« gesprochen. Die Vertraulichkeit der Verarbeitung bedeutet den Schutz vor unbefugter Preisgabe von Informationen, sodass vertrauliche Daten und Informationen nur für Befugte zugänglich sind. Die durch den Verantwortlichen zu treffenden Maßnahmen werden unter anderem in Artikel 32 DSGVO (Sicherheit der Verarbeitung durch Sicherstellung der geeigneten technischen organisatorischen Maßnahmen) konkretisiert. Die Einführung dieser technischen organisatorischen Maßnahmen (TOM) verfolgt also das Ziel, die personenbezogenen Daten zu schützen und das Risiko für die Betroffenen zu reduzieren.

Die folgenden Punkte sollten Sie im Rahmen der Integrität und Vertraulichkeit in jedem Fall etablieren:

Zugriffskonzepte
Zutrittspläne einschließlich Schlüsseldokumentation
Dokumentationen der Zugänge
Notfallhandbücher einschließlich Datensicherungskonzepten
Dokumentation über durchgeführte Rücksicherungstests
Verschlüsselungskonzepte
Antivirenkonzepte
Dokumentationen der Sicherheitskonfiguration (Firewall, Router, Gateway, Proxyserver, etc.)
Netzwerkpläne und Übersichten über Hard- und Software
Wartungs- und Austauschpläne

Mit Absatz 1 ist das Ende der Grundsätze aber noch nicht erreicht. Es wartet noch ein weiterer Grundsatz in Absatz 2.

Rechenschaftspflicht

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 5 Absatz 2 DSGVO

Rechenschaftspflicht bedeutet, dass der Verantwortliche die Darlegungs- und Beweislast für die Einhaltung der DSGVO hat. Für den Verantwortlichen führt das zu einer Beweislastumkehr in dem Sinne, dass nicht der Betroffene oder die Aufsichtsbehörde eine Verletzung der DSGVO nachweisen müssen, sondern umgekehrt der Verantwortliche nachweisen muss, dass die Verarbeitung der DSGVO entspricht. Der Verantwortliche muss folglich nachweisen und belegen können, dass er die Grundsätze der DSGVO einhält und die Verarbeitung personenbezogener Daten entsprechend der Grundverordnung erfolgt, er also auch angemessene technischer und organisatorische Maßnahmen ergriffen hat. Nachweisen bedeutet, dass auf Nachfrage einer Aufsichtsbehörde belegt werden kann, dass die Vorgaben der DSGVO erfüllt werden.

Der Themenkomplex wird gerne unter dem Stichwort »Datenschutz-Managementsysteme« zusammengefasst. Der Begriff ist aber nicht sher aussagekräftig. Letztlich kann so ein »Datenschutz-Managementsystem« alles oder nichts sein. Der Einzelunternehmer wird mit einem oder mehr Leitz-Ordner auskommen, in denen er alles zum Thema Datenschutz aufbewahrt; das kann aber auch ein einzelner Ordner oder eine Ordnerstruktur auf der Festplatte bzw. dem Server sein oder ein Mix aus beidem. Für größere Unternehmen gibt es Software-as-a-Service (SaaS) Lösungen, die die Inhalte zum Datenschutz in einer mehr oder weniger komplexen Datenbank abbilden.

Wir werden uns in den Vertiefungs- und Verständnis-Webinaren des Themas annehmen und verschiedene Modelle besprechen. Jedenfalls sollten folgende Inhalte erfasst und damit nachgewiesen werden:

Dokumentation von Mitarbeiterschulungen im Datenschutz;
Verzeichnis von Verarbeitungstätigkeiten;
Verwaltung und Kommunikation mit Betroffenen;
Erteilte Einwilligungen, z.B. für werbe-E-Mails;
Erfassung aller Auftragsverarbeitungsverträge;
Berechtigungskonzepte;
Löschkonzepte;
Dokumentation von Datenpannen.

In diesem Kurs begleite ich Sie inhaltlich auf dem Weg zur Erfüllung all dieser Anforderungen. Einige Punkte sind allerdings abhängig von Ihrer IT-Struktur, die ich hier nicht beurteilen kann. So kann ein Berechtigungskonzept in Bezug auf Ihre IT-Ausstattung nur von Ihrem IT-Dienstleister erstellt werden.

Andreas Riehn

Ich berate seit 2011 erfolgreich Unternehmen im gesamten Internetrecht. In meiner forensischen Zeit als Rechtsanwalt habe ich primär für kleine und mittelständische Unternehmen praxisorientierte Lösungen entwickelt. Diese Expertise stelle ich Ihnen mit meinen Videobeiträgen und Kursen zur Verfügung.

Zertifiziert bin ich als Datenschutzbeauftragter und Datenschutzauditor.

Alle Beiträge anzeigen