Es geht um Werte, die der Gesetzgeber mit der Einführung der Verordnung verfolgt – und darum, woran sich auch Schweizer Unternehmer, Firmen und Behörden halten müssen, wenn sie der DSGVO unterliegen. Wann dies der Fall ist, erfährst du hier.
Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.
Grundsätze für die Verarbeitung personenbezogener Daten
Art. 5 DSGVO behandelt die Grundprinzipien des Datenschutzes. Mit diesen Rahmenbedingungen sollen die Grundrechte der betroffenen Personen geschützt werden. Zusammengefasst geht es im Artikel 5 um:
Prinzip der Rechtmässigkeit
Das heisst, Daten dürfen nur rechts- und gesetzeskonform – und für die betroffene Person nachvollziehbar verarbeitet werden. Die Verarbeitung von Daten ist nur zulässig, wenn eine Einwilligung der betroffenen Person vorliegt. Wenn nicht, muss sie mindestens eine der folgenden Bedingungen erfüllen:
- Die Verarbeitung ist für die Erfüllung eines Vertrages oder zur Durchführung einer vorvertraglichen Massnahme erforderlich
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
- Lebenswichtige Interessen der betroffenen – oder einer anderen natürlichen Person müssen mit der Verarbeitung geschützt werden
- Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt
Prinzip der Zweckbindung
Daten dürfen nur für vorher festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden. Das heisst, für den Zweck, für den die Zustimmung erfolgt ist. Verarbeitet der Verantwortliche die personenbezogenen Daten zu anderen Zwecken, muss er berücksichtigen, ob die Verarbeitung mit dem ursprünglichen Zweck vereinbar ist. Dazu gehört
- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung
- der Zusammenhang, mit dem die personenbezogenen Daten erhoben wurden
- die Art der Daten – und ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet wurden
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
- das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann
Durch die technische Voreinstellung (privacy by default) muss bereits mit der Erfassung personenbezogener Daten klar sein, welche Daten für welchen bestimmten Verwendungszweck verarbeitet werden.
Datenminimierung
Personenbezogene Daten dem Zweck angemessen zu verarbeiten – und auf das notwendige Mass zu beschränken. Dies geschieht in Zusammenhang mit der Frage, welche Daten tatsächlich erforderlich sind, um die berechtigten Interessen des Unternehmens zu erfüllen. Zudem sollen sie nach Möglichkeit anonymisiert oder pseudonymisiert werden.
Richtigkeit
Betroffene Personen haben ein Recht auf sachliche Richtigkeit. Dies gilt sowohl in Hinblick auf den Zweck, als auch auf den Inhalt. Zudem wird gefordert, dass die personenbezogenen Daten auf dem neuesten Stand sind. Dies ist in Fällen einer weiteren Verarbeitung relevant. Dabei muss der Verantwortliche von sich aus angemessene Massnahmen ergreifen, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen.
Speicherbegrenzung
Personenbezogene Daten dürfen nur so lange gespeichert werden, dass die Identifizierung der betroffenen Person, lediglich für die Dauer des Zwecks möglich ist. Auch hier steht der Verantwortliche in der Pflicht, in regelmäßigen Abständen zu überprüfen, dass die von ihm gespeicherten Daten nicht unnötig lange gespeichert werden.
Integrität und Vertraulichkeit
Daten müssen in der Weise verarbeitet werden, dass sie durch technische und organisatorische Massnahmen vor unbefugter Verarbeitung, Schädigung, Zerstörung oder Verlust geschützt werden.
In Kürze zusammengefasst
Mit den Grundsätzen, die im Grunde nicht neu sind, soll der Missbrauch der personenbezogenen Daten unterbunden bzw. stark eingeschränkt werden.
Persönlicher Eindruck
Gut zu wissen, dass Unternehmen und Behörden bei der Verarbeitung von personenbezogenen Daten nach den gleichen Prinzipien handeln müssen, denn so entsteht eine Einheitlichkeit im Ablauf, die uns hilft, die Anforderungen zu überblicken – weil sie für jeden Verantwortlichen gleich aussehen.
Ich wünsche dir viel Erfolg bei den Vorbereitungen und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.
Herzliche Grüsse
Sven
Wenn du mehr zum Thema DSGVO lesen möchten, hast du hier die Möglichkeit.
Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.
Quellen: www.dsgvo-gesetz.de, https://www.edoeb.admin.ch