Verständnis der Datenschutzgrundsätze der GDPR:
Um den Herausforderungen steigender Bedrohungen im digitalen Zeitalter zu begegnen, wurde die GDPR nach jahrelangen Beratungen 2016 von der Europäischen Union verabschiedet und 2018 umgesetzt. Diese Regelungen sind umfassend und bieten einen klaren Rahmen für die Umsetzung. Die Verarbeitung und der Umgang mit Daten ist nicht mehr eine ethische Verantwortung, sondern eine gesetzliche Verpflichtung. Das Wachstum von Daten und die Abhängigkeit von datengesteuerten Geschäftsmodellen haben dazu geführt, dass alle Unternehmen, ob klein oder groß, die GDPR-Normen in unterschiedlichem Maße einhalten müssen. Selbst im Jahr 2022 stehen die Unternehmen noch vor der Herausforderung, sich mit der langen und schwerfälligen GDPR-Gesetzgebung auseinanderzusetzen. Die 7 GDPR-Grundsätze sind jedoch schnelle, einfache und übersichtliche Richtlinien, die in der GDPR festgelegt sind und Unternehmen dabei helfen, dem Verständnis und der Einhaltung des europäischen Rechts einen Schritt näher zu kommen.
Die 7 Datenschutzgrundsätze der DSGVO werden in Artikel 5 gleich zu Beginn des Dokuments der Allgemeinen Datenschutzverordnung aufgezählt. Diese Datenschutzgrundsätze geben den Ton und die Richtung des europäischen Rechts vor und senden die Botschaft an die Datenverarbeiter, sich auf diese 7 GDPR-Grundsätze zu konzentrieren, um die Vorschriften einzuhalten und übermäßige Geldstrafen zu vermeiden. Die Bedeutung dieser Grundsätze liegt in der Tatsache, dass sie einen allgemeinen Einfluss auf das gesamte GDPR-Gesetz haben und sich auf die nachfolgenden Regeln und Verpflichtungen auswirken, die in dem Dokument festgelegt sind. Daher muss jedes Unternehmen, das die DSGVO einhalten will, die in Artikel 5 der DSGVO festgelegten Verpflichtungen erfüllen. Im Folgenden finden Sie einen Einblick in die 7 GDPR-Grundsätze mit Beispielen, wie Unternehmen die Einhaltung der Vorschriften erreichen können:
Infografik vollständig lesen
GDPR-Grundsatz 1: Rechtmäßigkeit, Fairness und Transparenz
Einfach ausgedrückt, besagt dieser Grundsatz, dass die Datenerhebung rechtmäßig erfolgen sollte; der Sammler muss einen gültigen rechtlichen Grund für die Erhebung haben und die Erlaubnis der Person, deren Daten erhoben werden. Es bedeutet auch, dass die gesammelten Daten fair verwendet werden und die Interessen der Person geschützt werden. Der Datenerhebungsprozess sollte transparent sein, damit die betroffenen Personen (Nutzer) wissen, warum und wie ihre Daten erhoben und verarbeitet werden. So kann ein Unternehmen beispielsweise die Zustimmung seiner Kunden für den Versand von Newslettern einholen. Die Weitergabe des Newsletters aufgrund dieser Einwilligung würde als rechtmäßig angesehen, aber um sicherzustellen, dass sie fair und transparent ist, muss das Unternehmen dafür sorgen, dass die Kunden verstehen, dass der Umfang und der Zweck des Newsletters in ihrem Interesse ist. Fairness & Transparenz würde auch bedeuten, dass die Datenerhebung für die beabsichtigten Zwecke verwendet wird und sich an den Datenschutzrichtlinien des Unternehmens orientiert, die für die Nutzer zugänglich sind. Fairness verlangt außerdem, dass die Unternehmen den Kunden die Wahl lassen, die Beziehung zu pausieren.
GDPR-Grundsatz 2: Zweckbindung
Dies bedeutet, dass die erhobenen Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet werden dürfen, d.h. die Daten werden nur für den Zweck verwendet, für den sie erhoben wurden, und können nicht für andere Zwecke verwendet werden. Ein Beispiel: Ein Kunde gibt sein Einverständnis, einen Newsletter des Unternehmens zu erhalten, und das Unternehmen verschickt nun Rabattaktionen. Dies wird als Missbrauch im Sinne des GDPR-Grundsatzes der "Zweckbindung" und als Verletzung des Datenschutzes im Sinne der GDPR betrachtet.
GDPR-Grundsatz 3: Datenminimierung:
Die Datenerhebung sollte minimal sein und nur das erfassen, was zur Erfüllung der Verpflichtungen erforderlich ist. Unnötige Details, die weder für die betroffenen Personen (Kunden) noch für das Unternehmen von Nutzen sind, sollten vollständig vermieden werden. Wenn das Unternehmen, wie in unserem Beispiel, nach Details wie der Berufsbezeichnung oder der Adresse für den Versand von Newslettern fragt, würde dies als unnötig angesehen werden und gegen den Grundsatz der Datenminimierung verstoßen.
GDPR-Grundsatz 4: Richtigkeit
Die GDPR besagt, dass "alle angemessenen Schritte unternommen werden müssen", um unvollständige oder unrichtige Daten sicher zu löschen oder zu ändern. Die Daten sollten bei Bedarf korrigiert, geändert und aktualisiert werden, und ungenaue Daten, die nicht mehr benötigt werden, müssen sicher gelöscht werden. Kunden können zum Beispiel den Arbeitsplatz wechseln, ihre E-Mail-Adressen oder ihre Kontaktdaten ändern. Wenn der Kunde seine Adresse oder seine Kontaktdaten aktualisiert, müssen diese in den Unternehmensdaten geändert werden, um die Richtigkeit des Inhalts zu gewährleisten. Daher muss das Unternehmen sicherstellen, dass alle angemessenen Schritte unternommen werden, um ungenaue Kundendaten zu aktualisieren, zu ändern oder zu löschen.
GDPR-Grundsatz 5: Speicherbegrenzung
Dieser Grundsatz besagt, dass Daten, die das Ende ihrer Lebensdauer erreicht haben, vernichtet werden müssen. Wenn der Zweck, für den die Daten ursprünglich erhoben wurden, erfüllt ist, sollten sie nicht mehr in den Unternehmensunterlagen vorhanden sein. Dies ist ein wichtiger Grundsatz zum Schutz der Privatsphäre, denn jede Lücke in diesem Bereich kann zu Verstößen führen und katastrophale Folgen für ein Unternehmen haben. Nehmen wir zum Beispiel an, ein Unternehmen, das digitale Zeitschriften herausgibt, hat einen Kunden, der sein Abonnement nicht verlängert hat. In diesem Fall sollte das Unternehmen nicht mehr über die Finanzdaten des Kunden verfügen. Es sollte diese Informationen vollständig aus den Unternehmensunterlagen löschen, um den GDPR-Datenschutzgrundsatz einzuhalten. Professionelle Datenlöschsoftware kann verwendet werden, um Daten vollständig zu löschen, ohne irgendwelche Informationsspuren zu hinterlassen. Solche Software erstellt fälschungssichere Berichte über die Datenvernichtung, die als Prüfpfade dienen.
GDPR-Grundsatz 6: Integrität & Vertraulichkeit
Abgeleitet vom "CIA-Dreieck" der Cybersicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - besagt dieser Grundsatz, dass die Daten korrekt und sicher vor externen und internen Bedrohungen sind und der Zugriff auf die Daten nur autorisierten Personen vorbehalten ist. In verschiedenen Unternehmen werden beispielsweise sensible Daten wie Zahlungskarteninformationen gespeichert. E-Commerce-Läden, Dienstleister und Online-Lebensmittelketten speichern sensible persönliche Daten wie Name, Adresse, Handynummer und Kredit-/Debitkartendaten. Diese Unternehmen müssen die Grundsätze der Integrität und Vertraulichkeit einhalten, indem sie Kundendaten vor Bedrohungen schützen und sicherstellen, dass sie vor unbefugtem Zugriff geschützt sind.
GDPR-Grundsatz 7: Rechenschaftspflicht
Dieser Grundsatz verlangt von Organisationen, dass sie angemessene technische und organisatorische Maßnahmen ergreifen, um die Daten der Betroffenen zu verarbeiten, indem sie alle sechs oben genannten Datenschutzgrundsätze einhalten und in der Lage sind, den Prozess auf Anfrage nachzuweisen.
Strafen und Geldbußen:
Die Nichteinhaltung dieser sieben Datenschutzgrundsätze der GDPR zieht erhebliche Geldstrafen nach sich und schadet auch dem Ruf des Unternehmens. Artikel 83 (5) (a) besagt, dass Verstöße gegen die Grundprinzipien für die Verarbeitung nach Artikel 5 mit Geldbußen von bis zu 20 Mio. EUR oder im Falle eines Unternehmens von bis zu 4 % des gesamten weltweiten Jahresumsatzes geahndet werden können, je nachdem, welcher Betrag höher ist.
Befolgen Sie die Datenschutzgrundsätze, um die Einhaltung der GDPR zu beschleunigen
Die in der GDPR genannten Compliance-Anforderungen sind alle in die 7 Datenschutzgrundsätze eingebettet. Diese Grundsätze verleihen der betroffenen Person immense Macht und Schutz, legen aber gleichzeitig die Verantwortung für Sicherheit und Rechenschaftspflicht fest auf die Schultern der Datenverarbeiter. Diese Grundsätze verkörpern den Geist der DSGVO und geben gleich zu Beginn der DSGVO-Gesetzgebung den richtigen Ton an. Entscheidend ist, dass die Unternehmen verstehen, was sie bedeuten und wie sie diese Grundsätze auf ihr Unternehmen anwenden können, um die Vorschriften einzuhalten. Um sicherzustellen, dass ein Unternehmen GDPR-konform ist, muss das Unternehmen die oben genannten 7 GDPR-Grundsätze befolgen und sie so weit wie möglich in seinem Unternehmen umsetzen. Wenn Sie mehr darüber erfahren möchten, wie Datenbereinigung Ihnen bei der Einhaltung der GDPR helfen kann, lesen Sie unseren ausführlichen Artikel oder kontaktieren Sie uns.
