Die bisher durch das BSDG bereits geltenden Grundprinzipien
- Verbot mit Erlaubnisvorbehalt,
- Datenvermeidung und Datensparsamkeit,
- Zweckbindung und
- Transparenz
wurden im Rahmen der DSGVO beibehalten und weiterentwickelt.
Die DSGVO führt im Artikel 5 explizit die folgenden sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:
Transparenz
Gemäß dem Grundsatz der Transparenz dürfen personenbezogene Daten „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“.
Nach diesem Grundsatz muss für den Betroffenen:
- transparent nachvollziehbar sein, dass personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang dies geschieht.
- die Information darüber, dass die Daten verarbeitet werden, leicht zugänglich und in verständlicher Sprache abgefasst sein.
- deutlich erkennbar sein, wer die Daten erhebt bzw. verarbeitet und zu welchem Zweck dies geschieht.
- ein Hinweis über seine Rechte erfolgen.
Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.
Demnach ist die betroffene Person nicht nur darüber zu informieren, zu welchem Zweck die Verarbeitung der Daten erfolgt (Transparenz), die erhobenen Daten dürfen vielmehr auch nur zu diesem angegebenen Zweck genutzt werden.
Datenminierung
Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein.
Es dürfen nur die Daten erhoben und verarbeitet werden, die zur Erfüllung des angegebenen Zwecks notwendig sind. Dies schließt beispielsweise bei der Bestellung eines Newsletters die Abfrage der Bankverbindung aus.
Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem aktuellen Stand sein. Dabei gilt es alle angemessenen Maßnahmen zu treffen, um personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich zu löschen oder zu berichtigen.
Speicherbegrenzung
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, in deren Rahmen sie verarbeitet werden, erforderlich ist.
Integrität und Vertraulichkeit
Die Sicherheit personenbezogener Daten – einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung – ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten.
Rechenschaftspflicht
Der Verantwortliche ist für die Einhaltung des Artikel 5 Abs. 1 verantwortlich und muss dessen Einhaltung nachweisen können.