Bei der Verarbeitung von personenbezogenen Daten und der Privatsphäre fallen verschiedene Anforderungen an, welche im direkten Zusammenhang mit den DSGVO-Grundsätzen stehen. Dieser Blog soll ein ‘DSGVO-Handbuch für Dummies’ darstellen. Dabei werde ich Sie durch die 7 DSGO-Grundsätze leiten und mit Hilfe von Beispielen deren Bedeutungen erklären und Ihnen vorschlagen, wie man diese am besten befolgt. Sobald Sie die Grundprinzipien der Datenverarbeitung verstehen, wird es Ihnen leichter fallen die DSGVO richtig einzuhalten.
Was sind die 7 DSGV-Grundsätze?
Einfach gesagt basieren die Anforderungen zur Datenverarbeitung, welche von der DSGVO durchgesetzt werden, auf den 7 Grundsätzen der Privatsphäre. Sobald Sie diese 7 DSGVO-Grundsätze verstehen, wird es Ihnen deutlich einfacher fallen die Vorschriften und Regulierungen einzuhalten. Diese 7 Grundsätze sind:
-
Rechtmäßigkeit, Fairness und Transparenz
-
Absicht der Einschräkungen
-
Datenminimierung
-
Genauigkeit
-
Speichergrenzen
-
Anstand und Vertraulichkeit
-
Verantwortung
Bevor wir uns jeden Grundsatz und deren Anwendungsbeispiele anschauen, möchte ich Sie noch einmal darauf aufmerksam machen, warum es so wichtig ist, die Datenschutzgrundsätze zu verstehen und wie Sie von ihnen profitieren können.
Die Grundsätze der Datenverarbeitung verstehen
Nachdem die DSGVO im Jahr 2018 eingeführt wurde, mussten sich viele Firmen mit den weitreichenden Änderungen und Schwierigkeiten der neuen Auflagen auseinandersetzen. Diese Schwierigkeiten gibt es auch noch 2021. Das angemessene Verarbeiten und der Umgang mit personenbezogenen Daten sind nicht nur eine ethische Verantwortung, sondern auch eine rechtliche Angelegenheit. Wenn diese nicht korrekt befolgt werden, kann es zu hohen Bußgeldern, finanziellen Konsequenzen und einem Verlust des guten Rufes führen.
Mittlerweile finden sich personenbezogene Daten überall vor. Somit muss sich jedes Unternehmen mit ihnen auseinandersetzen, was eine große Herausforderung darstellt.
Das Problem dabei ist, dass die DSGVO wie eine chaotische Gesetzgebung mit komplizierten Juristenjargon scheint.
Allerdings basieren alle DSGVO-Auflagen auf 7 Grundprinzipien. Solange Sie also diese 7 Prinzipien verstehen, sind Sie einen Schritt näher die DSGVO richtig einzuhalten. Ich möchte Sie darauf hinweisen , dass dieser Artikel für Einsteiger bestimmt ist und vereinfacht wurde, womit er also keinen Ersatz für einen Anwalt oder Berater ist.
Da es heutzutage praktisch unmöglich ist der Verarbeitung personenbezogener Daten auszuweichen, könnten diese Grundsätze begrenzt auf Sie zutreffen. Anhand eines fortlaufenden Beispiels werde ich Ihnen die 7 DSGVO-Grundsätze erklären und die Thematik herunterbrechen. Dabei werde ich ein möglichst allgemeines Beispiel verwenden, damit es auf so viele Unternehmen wie möglich zutrifft.
Beispiel der 7 DSGVO-Grundsätze
Angenommen Ihre Organisation würde gerne einen Online-Newsletter für Ihre Kunden*innen und/oder Mitglieder erstellen. Ihre Zielgruppe kann sich auf verschiedene Weisen für diesen Newsletter anmelden. Beispielsweise können sie auf Ihrer Website ein Formular ausfüllen oder während eines Kaufes ein bestimmtes Feld anklicken. So legen Sie sich eine Datenbank mit Interessenten*innen an und können ihnen ab und zu relevante Inhalte schicken. Zusätzlich könne Sie diese Datenbank nutzen, um Nachrichten an Ihre Interessenten*innen zu individualisieren, indem Sie deren Verhalten auf Ihrer Website verfolgen.
Das ist schon sehr überschaubar, oder?
Jetzt wo wir uns auf ein Beispiel geeinigt haben, mit dem sich fast jeder in Verbindung bringen kann, lassen Sie uns sehen, inwiefern die 7 DSGVO-Grundsätze auf unser Beispiel zutreffen.
Doch vorab möchte ich Sie darauf hinweisen, dass die 7 DSGVO-Grundsätze auch in vielen weiteren Fällen relevant sind und Sie diese auf Ihr eigenes Handeln übertragen und anpassen müssen. Dies kann beispielsweise der Fall sein, wenn Sie einen Instagram-Wettbewerb machen, ein Event für Ihre Angestellten organisieren oder eine Datenbank Ihrer Geschäftskontakte führen.
Jetzt ist es so weit in die 7 Grundsätze einzusteigen. Auf geht’s!
1. Rechtmäßigkeit, Fairness und Transparenz
Mir ist klar, dass ich Grundsatz 1 gesagt habe, und Sie nun drei Dinge sehen. Ich verspreche Ihnen, dass dies der einzige Grundsatz ist, welcher mehr als einen Hauptpunk beinhaltet. Damit ich Sie nicht noch mehr verwirre, lassen Sie mich erklären:
Hauptsächlich sagt uns dieser Grundsatz, dass die Verarbeitung personenbezogener Daten auf eine rechtmäßige, faire und transparente Weise geschehen muss:
Rechtmäßig bedeutet, dass Sie Daten auf einer rechtskräftigen Grundlage sammeln und verarbeiten müssen. Wenn Sie etwa das Einverständnis der betreffenden Person erhalten, ist das ein gewöhnlicher und legaler Weg diese personenbezogenen Daten verarbeiten zu können. Es gibt viele Rechtsgründe, welche einem erlauben personenbezogene Daten zu verarbeiten, über die Sie hier mehr lesen können.
Fair bedeutet, dass personenbezogene Datenverarbeitung im besten Interesse der Person, auf die sich die Daten beziehen, geschieht und in einem angemessenen Ausmaß passiert.
Transparent bedeutet, dass Sie den Betroffenen deutlich zu verstehen geben, für was, wie und warum deren Daten verarbeitet werden. Dabei sollte die betroffene Person sich dem Ausmaß und die Art der Datenverarbeitung im Klaren sein.
Rechtmäßigkeit, Fairness und Transparenz in unserem Beispiel
Sie müssen sich also immer die Einverständniserklärung der betroffenen Person einholen, indem der*die Nutzende beispielsweise ein Feld anklickt. Trotzdem ist es wichtig, dass Sie dem Nutzenden die Möglichkeit bieten den Datenzugriff auf das Nötigste einzuschränken (braucht man den Jobtitel etwa wirklich für den Newsletter? Wenn ja, dann sollten Sie gute Gründe aufzeigen können). Außerdem werden Sie dokumentieren müssen, wann und wie Einverständnis gegeben wurde, wenn danach gefragt wird.
Die Daten, welche Sie für den Newsletter verarbeiten, müssen fair sein. Wenn Sie zum Beispiel ein Unternehmen sind, das Kosmetikprodukte verkauft, erwarten Ihre Kunden*innen, dass sie Informationen über neue Produkte oder Blogbeiträge erhalten. Deswegen sollten Sie diese Datenbank nicht dafür nutzen, unrelevante und unerwartete E-Mails an Ihren Abonnenten*innen zu schicken.
Letztendlich müssen Sie transparent das ‘was’, ‘wie’ und ‘warum’ über die Verarbeitung kommunizieren. Vergessen Sie nicht, dass die betroffene Person einen Anspruch darauf hat zu wissen, welche Information Ihr Unternehmen über sie besitzt. Mithilfe von genauen Datenschutzrichtlinien und einfacher Kontaktaufnahme zu dem Datenschutzbeauftragten für alle Kunden, können Sie Ihre Newsletter transparenter gestalten.
2. Absicht der Einschränkung
Diese Grundlage besagt, dass man personenbezogene Daten nur dann verarbeiten sollte, wenn es dafür einen bestimmten Verwendungszweck gibt. Mit anderen Worten, es sollten keine personenbezogenen Daten für andere Zwecke wiederverwendet werden.
Absicht der Einschränkung in unserem Beispiel
In unserem Beispiel würde das bedeuten, dass die Informationen aus dem Newsletter nicht für andere ungenannte Zwecke verwendet werden dürfen. Wenn Sie in Ihrer Newsletter-Einwilligung angegeben haben, dass Sie die IP-Adressen ihrer Abonnenten*innen speichern, um zu dokumentieren, wann und wie die Einwilligung eingeholt wurde (wie verordnet in der DSGVO), dann können Sie die IP-Adresse nicht verwenden, um ihnen maßgeschneiderte Inhalte zu senden, z.B. Produktvorschläge, die auf dem geografischen Ort ausgerichtet sind.
Doch wenn Sie vorab klargestellt haben, dass die IP-Adresse bei der Personalisierung von Inhalten beiträgt, ist es möglich gezielte E-Mails zu verschicken. Trotzdem müssen die darauf achten, dass die Anforderungen dafür sehr strikt bleiben.
Sobald es um den Umgang mit personalisierten Daten geht, ist Ihr Team an vorderster Front. Sie müssen sicherstellen, dass Ihr Team nicht versehentlich auf eine rechtswidrige Weise Daten wiederverwendet. Am besten machen Sie ihr Team auf mögliche Datenschutzprobleme aufmerksam.
Dies können Sie am effektivsten umsetzen, indem Sie ihr Team mithilfe von Fortbildungen und Trainings zum Thema Datenschutz sensibilisieren. Werfen Sie doch einen Blick in unser kostenloses kostenloses E-Book , indem wir ausführlich erklären, wie Ihr Team sich am besten gegen Cyberangriffe und Datenschutzverletzungen verteidigen kann.
3. Datenminimierung
In Bezug auf Daten, müssen wir alle zugeben, dass wir sie horten. Man behält Dinge, weil es schön ist sie zu haben, aber wirklich benutzen tut man sie nie. Bezüglich der dritten DSGVO-Grundlage sollte man jedoch keine Daten herumliegen haben, wenn es keinen Zweck für diese gibt.
Gemäß dieser Grundlage sollen keine personenbezogenen Daten erhoben und gesammelt werden, als für die Erbringung einer Dienstleistung benötigt werden. Mit anderen Worten, sammeln und verarbeiten Sie nur die nötigsten Daten.
Datenminimierung in unserem Beispiel
Für unser Beispiel würde das bedeuten, dass nur die Daten, welche man zur Zustellung der Newsletter braucht, gesammelt werden dürfen. Beispielseise braucht man Namen und E-Mail-Adresse, den Jobtitel jedoch nicht. Es ist vielleicht 'schön zu haben‘, aber nicht notwendig und wird möglicherweise nie verwendet.
Dennoch ist Datenminimierung auf verschiedenste Weisen vorteilhaft. Nicht nur bringt es Sie einen Schritt näher DSGVO konform zu werden, es macht Sie auch weniger anfällig auf Datenschutzlecks und Verletzungen.
4. Genauigkeit
Dies könnte etwas verwirrend erscheinen. Während es bei den anderen Grundsätzen darum geht, so wenig wie möglich über die betroffene Person zu wissen, ist es hier praktisch umgekehrt. Bei diesem Grundsatz geht es darum, die möglichst genauen Daten zu haben.
Das bedeutet, dass die personenbezogenen Daten fehlerfrei und aktuell sein müssen. Die Person, die für die Verarbeitung und/oder die Sammlung personenbezogener Daten verantwortlich ist, muss somit „angemessene Maßnahmen“ anwenden, um dies gewährleisten.
Dieser Prozess ist jedoch nur relevant, wenn die Genauigkeit der personenbezogenen Daten von Bedeutung für die betroffene Person ist.
Genauigkeit in unserem Beispiel
Lassen Sie mich das anhand unseres Beispiels noch einmal erklären. Angenommen, einer Ihrer Abonnenten*innen hat sich für Ihren Newsletter mit seiner geschäftlichen E-Mail angemeldet und arbeitet bei Firma X. Wenn diese Person jetzt zu Firma Y wechselt, funktioniert die E-Mail-Adresse von Firma X nicht mehr. Die Daten, die Sie über den*die Nutzer*in haben, sind somit nicht mehr aktuell.
Eine ‘angemessene Maßnahme’ wäre in diesem Fall einen Link in den Newsletter einzubauen, der einem ermöglicht die eigene E-Mail-Adresse zu ändern. Wenn jemand nun seinen Job wechselt, können deren persönlich Informationen somit aktuell bleiben.
Sie könnten auch ein CRM-System oder ein E-Mail-Marketingsystem einsetzten und verfolgen, welche E-Mail-Adressen eine automatische Antwort senden. Wenn eine Person die Firma verlassen hat, schickt das Unternehmen meistens automatische Antworten, dass jemand im Urlaub ist. Aus diesem Grund sollten Sie regelmäßig solche automatisierten Antworten auf ungültige Adressen überprüfen.
Wenn die von Ihnen gesammelten Daten falsch oder fehlerhaft sind, gibt es keinen Grund diese länger zu behalten und sie sollten aktualisiert oder gelöscht werden.
5. Speichergrenzen
Bei dieser Grundlage geht es darum personenbezogene Daten zu löschen, sobald sie nicht mehr gebraucht werden. Allgemein gesagt sollten Sie keine Daten speichern, für die der ursprüngliche Verwendungszweck nicht mehr gilt. Dieses Prinzip ist dem der Datenminimierung sehr ähnlich, weswegen viele Unternehmen das Löschen alter Daten jenem zuordnen.
Speichergrenzen in unserem Beispiel
Bei unserem Beispiel würde das bedeuten, dass sobald jemand den Newsletter abbestellt, deren Daten gelöscht werden müssten. Das Gleiche gilt, wenn sich Ihr Unternehmen dazu entschließt den Newsletter einzustellen. Da die personenbezogenen Daten den Zweck hatten Newsletter an Abonnenten*innen zu schicken, müssen alle Daten gelöscht werden, sobald dieser Zweck nicht mehr besteht.
In manchen Fällen kann es wichtig sein, relevante personenbezogene Daten für einige Zeit zu behalten oder zu anonymisieren und für statistische Gründe zu verwenden. Doch dies sind eher Ausnahmen als der Standard und müssen sorgfältig geprüft werden.
6. Anstand und Vertraulichkeit
Wenn Sie sich mit Cybersicherheit und Datensicherheit auskennen, haben Sie wahrscheinlich schon einmal von dem ‘CIA-Dreieck’ gehört. Es hört sich cool an, aber damit ist nicht etwa die Central Itelligence Agency gemeint, sondern das Prinzip von Confidentiality, Integrity und Availability, also Vertraulichkeit, Anstand und Erhältlichkeit.
Dieser Grundsatz thematisiert zwei der drei Kanten des CIA-Dreiecks. Mit Anstand ist gemeint, sicherzustellen, dass personenbezogene Daten stets aktuell sind, und nicht von anderen manipuliert werden können ( z.B. indem Sie Ihre Systeme vor Hackern schützen). Vertraulichkeit bezieht sich darauf, dass nur berechtigte Personen die Daten verarbeiten können.
Anstand und Vertraulichkeit in unserem Beispiel
In unserem Beispiel würde das bedeuten, dass unautorisierte Personen auf die Daten, die Sie über Ihren Newsletter sammeln, nicht zugreifen dürfen – das betrifft auch Personen in Ihrer eigenen Organisation. Mit anderen Worten, es dürfen nur die Mitarbeiter*innen Zugriff auf personenbezogene Daten haben, die sie für die Zustellung des Newsletters benötigen. Zusätzlich sollte Sie über Systeme und Maßnahmen verfügen, welche das Manipulieren oder Verfälschen der Daten verhindern.
Beispielsweise, sollten personenbezogene Daten Ihrer Abonnenten*innen nicht auf einem freigegebenen Laufwerk gespeichert werden, auf das jeder Zugriff hat. Sie müssen die nötigen Vorkehrungen treffen, um den gewählten Speicherort vor Cyberangriffen und Verletzungen der Datensicherheit zu schützen.
Hier können Sie mehr darüber lesen, Zugang zu personenbezogenen Daten zu geben.
7. Verantwortung
Wie der Name bereits vermuten lässt, handelt es sich hierbei darum Verantwortung bei der Datenverarbeitung zu übernehmen. Man ist als Datensammelnder und/oder -verarbeitender dafür verantwortlich, dass dabei die DSGVO eingehalten wird.
Achten Sie darauf, dass die Einhaltung der DSGVO dokumentiert wird und bei Kontrollen nachgewiesen werden kann.
Beispiele zur Verantwortung
Wenn Sie etwa die Einverständniserklärung als Rechtsgrundlage dafür verwenden, die personenbezogenen Daten aller Abonnenten*innen für Ihren Newsletter zu verwenden, müssen Sie nachweisen können, wie und wann diese Einwilligung gegeben wurde. Dafür können Sie ein System verwenden, welches diese Einverständnisse registriert.
Ein weiteres Beispiel ist, dass Sie aufgrund vieler DSGVO-Grundsätze nicht nur technische, sondern auch organisatorische Maßnahmen treffen müssen. Basierend auf Grundsatz 2 würde das bedeuten, dass Sie ihre Beschäftigten darin schulen, personenbezogene Daten nicht für andere Zwecke als den ursprünglichen Zweck zu verwenden. Indem Sie Ihr Team fortbilden und diese Initiative dokumentieren, erfüllen und demonstrieren Sie eine Auflage.
Fazit: Training ist ein Muss
Zusammenfassend lässt sich sagen, dass die DSGVO aufgrund ihrer schweren Sprache und den verwirrenden Erklärungen manchmal überwältigend und schwer zu verstehen sein kann. Diese Anleitung war als Einstieg für Anfänger gedacht. Ich hoffe, dass Sie weitere Erkenntnisse sammeln konnten, welche Ihnen bei der Einhaltung der DSGVO die Arbeit erleichtern wird.
Im letzten Punkt haben wir darüber gesprochen, dass Ihre Beschäftigten eine zentrale Rolle in der Einhaltung der DSGVO in Ihrer Organisation darstellen. Sie sind diejenigen, die täglich personenbezogene Daten verarbeiten müssen. Wir empfehlen, dass Sie Ihr Team stehts mit dem notwendigen Können und Wissen ausstatten. Hier können Sie mehr darüber lesen, wie Ihr Team mithilfe von Awareness-Training die Grundsätze am besten einhalten kann.
Wenn Sie daran interessiert sind, Ihr Team weiterzubilden, können wir bei CyberPilot dabei helfen. Wir haben eine Online-Plattform für alle unsere Awareness-Kurse, auf der Sie kurze, unterhaltsame und interaktive Kurse zur Cybersicherheit und der DSGVO belegen können. Probieren Sie unsere 3-monatige Probezeit aus und überzeugen Sie sich selbst.
