Grundsätze und zentrale Begriffe des Datenschutzes

Die Grundsätze für die Verabeitung personenbezogener Daten

Nach Art. 5 Abs. 1 der DS-GVO müssen personenbezogene Daten:

  • auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Betroffenen nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz);

  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung);

  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung);

  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit);

  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung);

  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit).
Zentrale Begriffe des Datenschutzes
Datenverarbeitung

Der Oberbegriff „Datenverarbeitung“ umfasst jeden Vorgang mit oder ohne Hilfe von automatisierten Verfahren in Zusammenhang mit personenbezogenen Daten:

  • das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich,
  • die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder die Vernichtung.

 

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 DS-GVO). Die Art ihrer Präsentation (z. B. als Bild- oder Audiodaten, digital oder analog) spielt dabei keine Rolle.

Eine natürliche Person ist bestimmt, wenn sie konkret bezeichnet ist. Wenn die Informationen (z.B. Telefonnummer, Personalausweisnummer, Matrikelnummer, KFZ-Zeichen, IP-Adresse) ausreichen, um eine konkrete Person zu identifizieren, ist sie bestimmbar. Bei der Identifizierbarkeit kommt es oft auf das vorhandene Zusatzwissen und den Verwendungszusammenhang an. So kann z.B. auch ein Studiengang ein personenbezogenes Datum sein, wenn bekannt ist, dass dieser nur von einer Person besucht wird.

Merke: Jede Information, die einer natürlichen Person konkret zugeordnet werden kann, ist ein personenbezogenes Datum.

Hervorzuheben ist, dass es keine belanglosen Daten gibt. Die Information über die Haarfarbe ist datenschutzrechtlich genauso zu behandeln wie die Anschrift einer Person. Ein höheres Schutzniveau ist aber für besondere Kategorien personenbezogener Daten vorgesehen. Darunter fallen unter anderem: rassische/ethnische Herkunft, politische Meinungen, Religionszugehörigkeit, Gewerkschaftszugehörigkeit und Angaben über die Gesundheit (Art. 9 DS-GVO).

Verschlüsselung

Mit dem Begriff der „Verschlüsselung“ bezeichnet das Datenschutzrecht bewusst kein bestimmtes technisches Verfahren, um für künftige Entwicklungen genügend Spielraum zu belassen. Verschlüsseln bedeutet, dass personenbezogene Daten mittels kryptografischer Algorithmen so verändert werden, dass die Kenntnisnahme des Inhaltes der Daten durch Unbefugte (=Personen, die nicht im Besitz des Schlüssels sind) nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

Verzeichnis von Verarbeitungstätigkeiten

Jede Daten verarbeitende Stelle bzw. jeder Verantwortliche ist verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen (Art. 30 DS-GVO).

Das Verzeichnis von Verarbeitungstätigkeiten ist die wichtigste Arbeitsgrundlage des Datenschutzbeauftragten. Sie

  1. dient der Überwachung der Datenverarbeitung und unterstützt die Selbstkontrolle
  2. schafft Transparenz und hilft bei der Erfüllung der Rechenschafts- und Dokumentationspflicht sowie der Auskunftspflicht.

Ein Musterformular finden Sie unter Arbeitshilfen und Formulare.