Grundsätze der Datenverarbeitung
In dieser Lerneinheit entdeckst du die drei fundamentalen Grundsätze der Datenverarbeitung: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz. Du verstehst, wie diese Prinzipien in der Praxis anzuwenden sind und welche konkreten Anforderungen sich daraus für die Verarbeitung personenbezogener Daten ergeben. Diese Grundsätze sind essentiell für deine tägliche Arbeit mit personenbezogenen Daten und bilden das Fundament für rechtskonforme Datenverarbeitungsprozesse.
Einführung
Ein Kunde ruft an und fragt:
Welche Daten genau haben Sie von mir gespeichert, warum haben Sie diese und wer hat darauf Zugriff?
Kannst du diese Fragen sofort, vollständig und rechtssicher beantworten? Die Fähigkeit, das zu tun, ist kein Zufall, sondern das Ergebnis eines klaren Verständnisses der Datenschutz-Grundlagen.

Die Antworten auf diese Kundenfragen finden sich nicht in einer einzelnen Checkliste, sondern sind direkt in den Grundsätzen der DSGVO verankert. Jeder dieser Grundsätze – von der Rechtmäßigkeit über die Zweckbindung bis zur Datensicherheit – gibt dir einen klaren Handlungsrahmen vor.
Lass uns diese Prinzipien Schritt für Schritt durchgehen, damit du für die nächste Kundenanfrage bestens gewappnet bist.
Lernziele
Nach dieser Lerneinheit kannst du:
- Erklären, warum jede Datenverarbeitung eine Rechtsgrundlage braucht und was Transparenz dabei in der Praxis bedeutet.
- Die Prinzipien der Zweckbindung und Datenminimierung anwenden, um den Umfang der Datenerhebung von vornherein korrekt zu begrenzen.
- Die Bedeutung von Datenrichtigkeit sicherstellen und klare Regeln für die Speicherbegrenzung von Daten definieren.
- Die Schutzziele Integrität und Vertraulichkeit unterscheiden und ihnen passende technische und organisatorische Maßnahmen zuordnen.
Überleitung
In diesem ersten Teil lernst du die fundamentalen Prinzipien kennen, auf denen die gesamte Datenschutz-Grundverordnung (DSGVO) aufbaut. Wir beginnen mit der Definition von personenbezogenen Daten und klären dann die Voraussetzungen, unter denen du diese Daten überhaupt verarbeiten darfst: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise der Name, die Adresse, die E-Mail-Adresse, eine Kundennummer oder auch Standortdaten.
Rechtmäßigkeit der Verarbeitung
Der Grundsatz der Rechtmäßigkeit legt fest, dass du eine klare rechtliche Erlaubnis für jede Verarbeitung von personenbezogenen Daten benötigst. Du darfst diese Daten also nur verarbeiten, wenn du eine der sechs rechtlichen Grundlagen nach Art. 6 DSGVO erfüllst.
Dazu zählen:
- Einwilligung: Die betroffene Person hat dir ihre ausdrückliche Einwilligung für den spezifischen Zweck gegeben (Art. 6 Abs. 1 lit. a DSGVO).
- Vertragserfüllung: Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich (Art. 6 Abs. 1 lit. b DSGVO).
- Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig, der du unterliegst (Art. 6 Abs. 1 lit. c DSGVO).
- Lebenswichtige Interessen: Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d DSGVO).
- Öffentliches Interesse: Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Art. 6 Abs. 1 lit. e DSGVO).
- Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung deiner berechtigten Interessen oder der eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs. 1 lit. f DSGVO).
Praxis-Tipp: Überprüfe vor jeder neuen Datenverarbeitung, auf welche dieser Rechtsgrundlagen du dich stützen kannst. Dies ist die erste und wichtigste Prüfung im Datenschutz.
Verarbeitung nach Treu und Glauben
Dieser Grundsatz fordert einen fairen und nachvollziehbaren Umgang mit personenbezogenen Daten. Es geht darum, das Vertrauen der Personen, deren Daten du verarbeitest, nicht zu missbrauchen und offen zu handeln.
Das bedeutet konkret:
- Du verarbeitest Daten nur für legitime und klar definierte Zwecke.
- Du informierst die betroffenen Personen verständlich über die Verarbeitung ihrer Daten.
- Du stellst sicher, dass die Rechte der betroffenen Personen jederzeit gewahrt werden.
Beispiel:
Ein Online-Shop informiert seine Kunden klar und verständlich darüber, welche personenbezogenen Daten für die Abwicklung des Kaufs benötigt werden. Er nutzt diese Daten ausschließlich für diesen Zweck und stellt einfache Möglichkeiten zur Verfügung, damit die Kunden ihre Rechte auf Auskunft und Löschung wahrnehmen können.
Transparenz
Transparenz ist eng mit dem Grundsatz von Treu und Glauben verbunden und verpflichtet dich, proaktiv und klar zu kommunizieren. Jede betroffene Person muss genau nachvollziehen können, was mit ihren Daten geschieht, wer dafür verantwortlich ist und warum die Verarbeitung stattfindet.
Du musst unter anderem folgende Informationen einfach und klar zugänglich machen:
- Wer ist für die Datenverarbeitung verantwortlich (Name und Kontaktdaten)?
- Zu welchem Zweck werden die Daten verarbeitet?
- Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?
- Wer bekommt die Daten (Empfänger oder Kategorien von Empfängern)?
- Wie lange werden die Daten gespeichert?
- Werden Daten in ein Land außerhalb der EU übermittelt?
Praxis-Tipp: Veröffentliche eine umfassende und leicht verständliche Datenschutzerklärung. Platziere sie an einer gut sichtbaren Stelle, zum Beispiel im Footer deiner Website.
Anwendungsbeispiel für die ersten drei Grundsätze
Stell dir einen Online-Shop vor, der beim Kaufprozess die Daten seiner Kunden erfasst.
- Die Rechtmäßigkeit ist durch die Notwendigkeit gegeben, den Kaufvertrag zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO).
- Der Shop handelt nach Treu und Glauben, indem er die Daten vertraulich behandelt und ausschließlich für die Bestellabwicklung nutzt.
- Er erfüllt die Transparenz, indem er in seiner Datenschutzerklärung detailliert erklärt, welche Daten für welche Zwecke erhoben, wie lange sie gespeichert und an wen sie (z. B. Versanddienstleister) weitergegeben werden.
Zweckbindung
Der Grundsatz der Zweckbindung ist einfach, aber wirkungsvoll: Du darfst personenbezogene Daten immer nur für einen vorher festgelegten, eindeutigen und legitimen Zweck erheben. Eine spätere Nutzung dieser Daten für einen anderen, neuen Zweck ist grundsätzlich verboten, es sei denn, du hast dafür eine neue Rechtsgrundlage oder eine erneute Einwilligung.
Beispiele für die Anwendung der Zweckbindung:
- Ein Online-Shop sammelt die Adressdaten eines Kunden ausschließlich für den Versand der bestellten Waren. Er darf diese Adresse nicht ohne Weiteres für das Zusenden von Werbebriefen verwenden.
- Ein Krankenhaus erfasst Gesundheitsdaten, um einen Patienten medizinisch zu behandeln. Es darf diese Daten nicht ohne eine explizite Erlaubnis oder rechtliche Grundlage an eine Versicherung für Tarifberechnungen weitergeben.
Datenminimierung
Der Grundsatz der Datenminimierung besagt, dass du nur so viele personenbezogene Daten erheben und speichern darfst, wie für den jeweiligen Zweck unbedingt erforderlich sind. Es gilt der Leitsatz: “So viele Daten wie nötig, so wenige wie möglich.”
Das bedeutet konkret für deine Praxis:
- Verzichte auf die Abfrage unnötiger Informationen. Frage nur das ab, was du wirklich für die Erfüllung des Zwecks benötigst.
- Lösche Daten, sobald sie nicht mehr benötigt werden. Wenn der Zweck erfüllt ist, müssen die Daten entfernt werden, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
- Prüfe regelmäßig deine Datenbestände. Stelle sicher, dass alle gespeicherten Daten noch relevant und für den ursprünglichen Zweck notwendig sind.
Beispiele:
- Ein Jobportal fragt bei der Registrierung nur nach Informationen, die für die Stellensuche relevant sind (z. B. Qualifikationen, Berufserfahrung), nicht aber nach dem Familienstand oder der Religionszugehörigkeit.
- Eine Essensliefer-App speichert die Zahlungsdaten eines Nutzers nur dann für zukünftige Bestellungen, wenn der Nutzer dem aktiv zustimmt. Ansonsten werden die Daten nach Abschluss der Transaktion gelöscht.
Wie du diese Grundsätze im Arbeitsalltag umsetzt
Die Einhaltung dieser Prinzipien erfordert aktive Maßnahmen in deinen Prozessen. Die folgenden Schritte helfen dir dabei, Zweckbindung und Datenminimierung systematisch zu verankern.
- Zweckdefinition: Bevor du mit einer Datenerhebung beginnst, musst du klar definieren und dokumentieren, für welchen konkreten Zweck die Daten benötigt werden.
- Informierte Zustimmung: Falls du dich auf eine Einwilligung stützt, musst du sicherstellen, dass die betroffene Person klar und verständlich über den Zweck der Datenerhebung informiert wird, bevor sie zustimmt.
- Datenprüfung: Führe regelmäßige Überprüfungen deiner gespeicherten Daten durch. So stellst du sicher, dass du nur Daten vorhältst, die weiterhin für den festgelegten Zweck notwendig sind.
- Datenlöschung: Implementiere einen Prozess zur Löschung von Daten. Sobald der Zweck erfüllt ist oder gesetzliche Aufbewahrungsfristen abgelaufen sind, müssen die Daten sicher entfernt werden.
Die konsequente Beachtung der Grundsätze der Zweckbindung und Datenminimierung hilft dir nicht nur, die rechtlichen Vorgaben der DSGVO einzuhalten. Sie fördert auch maßgeblich das Vertrauen deiner Nutzer und Kunden in dein Unternehmen, da du zeigst, dass du verantwortungsvoll mit ihren Daten umgehst.
Überleitung
In diesem Abschnitt lernst du zwei weitere entscheidende Grundsätze der DSGVO kennen, die sich mit der Qualität und der Lebensdauer von Daten befassen. Du erfährst, warum es wichtig ist, dass Daten korrekt sind, und warum du sie nicht ewig aufbewahren darfst.
Richtigkeit der Daten
Der Grundsatz der Richtigkeit schreibt vor, dass die von dir verarbeiteten personenbezogenen Daten sachlich korrekt und, falls notwendig, auf dem neuesten Stand sein müssen. Die DSGVO (Art. 5 Abs. 1 lit. d) verpflichtet dich als Verantwortlichen, alle zumutbaren Maßnahmen zu ergreifen, um sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
Um die Richtigkeit der Daten in der Praxis zu gewährleisten, kannst du verschiedene Maßnahmen ergreifen.
- Datenüberprüfungsmechanismen: Du kannst automatisierte oder manuelle Kontrollen einführen, die die Korrektheit der Daten direkt bei der Eingabe und während der Verarbeitung prüfen. Ein Beispiel wäre eine Plausibilitätsprüfung bei der Eingabe einer Postleitzahl.
- Datenaktualisierungsverfahren: Du solltest Prozesse etablieren, die es ermöglichen oder sogar erfordern, dass personenbezogene Daten regelmäßig auf ihre Aktualität überprüft und bei Bedarf angepasst werden.
- Einfache Berichtigungs- und Löschanfragen: Du musst den betroffenen Personen einfache Wege zur Verfügung stellen, um die Berichtigung oder Löschung ihrer Daten zu verlangen. Dies kann über ein Online-Formular oder ein Kundenportal geschehen.
Beispiel:
Ein soziales Netzwerk setzt diesen Grundsatz um, indem es seinen Nutzerinnen und Nutzern ein persönliches Dashboard anbietet. Dort können sie ihre eigenen Angaben jederzeit selbst einsehen, korrigieren oder löschen. Auf diese Weise wird aktiv sichergestellt, dass die gespeicherten Profildaten aktuell und korrekt bleiben.
Speicherbegrenzung
Eng mit der Richtigkeit und dem Lebenszyklus von Daten ist der Grundsatz der Speicherbegrenzung verbunden. Er verlangt, dass du personenbezogene Daten nur so lange speicherst, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Sobald dieser Zweck erfüllt ist, müssen die Daten gelöscht werden, es sei denn, es gibt gesetzliche Aufbewahrungspflichten.
Für bestimmte Zwecke, wie wissenschaftliche Forschung, ist eine längere Speicherung erlaubt, allerdings nur, wenn die Daten anonymisiert (der Personenbezug wird endgültig entfernt) oder pseudonymisiert (der Personenbezug wird durch ein Kennzeichen ersetzt) werden (Art. 5 Abs. 1 lit. e und Art. 89 DSGVO).
Speicherbegrenzung
Zur Umsetzung der Speicherbegrenzung gibt es bewährte Strategien.
- Speicherfristen festlegen: Du musst für verschiedene Datenkategorien maximale Aufbewahrungsdauern definieren. Diese Fristen hängen vom Verarbeitungszweck und von eventuellen gesetzlichen Anforderungen (z. B. aus dem Steuerrecht) ab.
- Regelmäßige Überprüfungen: Du solltest periodische Kontrollen durchführen, um zu prüfen, ob die gespeicherten Daten noch für den ursprünglichen Zweck benötigt werden. Nicht mehr erforderliche Daten müssen aktiv gelöscht werden.
- Anonymisierung und Pseudonymisierung nutzen: Wenn du Daten länger aufbewahren musst, zum Beispiel für statistische Auswertungen, solltest du prüfen, ob du den direkten Personenbezug durch Anonymisierung oder Pseudonymisierung entfernen kannst.
Beispiel:
Ein Online-Händler speichert die Adressdaten eines Kunden für die Abwicklung der Bestellung. Nach Ablauf der gesetzlichen Aufbewahrungsfristen, die zum Beispiel für Rechnungen gelten, werden diese Daten aus den aktiven Systemen gelöscht. Ein Forschungsinstitut hingegen pseudonymisiert die Daten von Studienteilnehmern nach Abschluss einer Studie, um sie weiter für statistische Analysen nutzen zu können, ohne einen direkten Rückschluss auf Einzelpersonen zuzulassen.
Integrität und Vertraulichkeit
Der Schutz personenbezogener Daten vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung ist eine zentrale Anforderung der DSGVO. Dies wird durch die beiden eng miteinander verbundenen Prinzipien Integrität und Vertraulichkeit gewährleistet.
Was bedeutet Integrität?
Integrität bezieht sich auf die Korrektheit, Vollständigkeit und Unversehrtheit der Daten. Du musst sicherstellen, dass personenbezogene Daten während der Speicherung und Übertragung nicht unbemerkt oder unbefugt verändert, gelöscht oder auf andere Weise manipuliert werden können. Es geht also darum, die Verlässlichkeit der Daten zu jedem Zeitpunkt der Verarbeitung zu garantieren.
Was bedeutet Vertraulichkeit?
Vertraulichkeit stellt sicher, dass personenbezogene Daten nur für diejenigen Personen zugänglich sind, die eine entsprechende Berechtigung dafür haben. Dieses Prinzip schützt die Daten vor dem unbefugten Einsehen durch Dritte, sowohl von außerhalb als auch innerhalb deiner Organisation. Vertraulichkeit beantwortet die Frage: Wer darf auf welche Daten zugreifen?
Umsetzung durch technische und organisatorische Maßnahmen (TOMs)
Um Integrität und Vertraulichkeit zu gewährleisten, verlangt die DSGVO die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs). Diese Maßnahmen bilden das praktische Fundament der Datensicherheit.
Hier sind einige wichtige Beispiele für solche Maßnahmen:
- Zugangskontrollen: Es wird sichergestellt, dass nur befugte Personen physischen Zugang zu Datenverarbeitungsanlagen haben (z. B. durch verschlossene Serverräume).
- Zugriffskontrollen: Nur autorisierte Benutzer erhalten Zugriff auf die Systeme und Daten, für die sie eine Berechtigung haben. Dies geschieht durch Mechanismen wie Passwörter, Zwei-Faktor-Authentifizierung oder biometrische Verfahren.
- Datenverschlüsselung: Personenbezogene Daten werden sowohl bei der Übertragung (z. B. über das Internet) als auch bei der Speicherung (z. B. auf Festplatten) verschlüsselt, um sie für Unbefugte unlesbar zu machen.
- Antivirensoftware und Firewalls: Diese Systeme schützen deine IT-Infrastruktur aktiv gegen Schadsoftware und unerwünschte Netzwerkzugriffe.
- Datensicherung und Wiederherstellung: Du erstellst regelmäßige Backups der Daten und etablierst Prozesse, um diese im Falle eines Verlusts oder einer Beschädigung schnell wiederherstellen zu können.
- Ereignis-Logging (Audit-Trails): Zugriffe auf und Änderungen an Daten werden protokolliert. Dies dient der Nachvollziehbarkeit und hilft dabei, unbefugte Aktivitäten zu erkennen und die Integrität der Daten zu kontrollieren.
Umsetzung durch technische und organisatorische Maßnahmen (TOMs)
Beispiele aus der Praxis:
- Ein Krankenhaus implementiert ein strenges Rollen- und Berechtigungssystem, sodass eine Pflegekraft nur auf die Daten der Patienten ihrer eigenen Station zugreifen kann, aber nicht auf die Daten anderer Abteilungen.
- Ein Online-Shop verwendet für seinen gesamten Bestellprozess SSL/TLS-Zertifikate, um die Übertragung von Kunden- und Zahlungsdaten sicher zu verschlüsseln.
- Ein Unternehmen schult seine Mitarbeitenden regelmäßig im sicheren Umgang mit sensiblen Daten, um menschliche Fehler als Sicherheitsrisiko zu minimieren.
Die konsequente Einhaltung der Grundsätze der Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit ist unerlässlich für einen vertrauenswürdigen Datenschutz. Als Verantwortlicher musst du deine Prozesse und Systeme so gestalten, dass diese Anforderungen jederzeit erfüllt sind.
Zusammenfassung und Ausblick
Zusammenfassung: Die Grundprinzipien der DSGVO
In dieser Lerneinheit hast du die grundlegenden Prinzipien kennengelernt, die für jede Verarbeitung personenbezogener Daten gelten. Du kannst jetzt erklären, wie diese Grundsätze zusammenwirken und warum sie die Basis für einen vertrauenswürdigen Datenschutz bilden.
Du verstehst nun, dass jede Datenverarbeitung eine klare Rechtsgrundlage benötigt, wie zum Beispiel eine Einwilligung oder die Erfüllung eines Vertrags. Darauf aufbauend müssen alle Prozesse nach Treu und Glauben (fairer Umgang) und transparent (klare Information) gestaltet sein. Du weißt, dass du Daten nur für einen vorher festgelegten Zweck nutzen (Zweckbindung) und dabei nur die absolut notwendigen Informationen erheben darfst (Datenminimierung).
Darüber hinaus kannst du die Bedeutung der Datenqualität und -sicherheit einordnen. Du weißt, dass Daten stets richtig und aktuell sein müssen und dass du sie nicht länger als nötig aufbewahren darfst (Speicherbegrenzung). Schließlich kannst du die Schutzziele der Datensicherheit unterscheiden: Integrität stellt sicher, dass Daten unverändert und vollständig bleiben, während Vertraulichkeit den Zugriff auf befugte Personen beschränkt. Du kennst jetzt auch konkrete technische und organisatorische Maßnahmen (TOMs) wie Zugriffskontrollen und Verschlüsselung, um diese Schutzziele zu erreichen.
Ausblick
Nachdem du nun die Pflichten der datenverarbeitenden Stelle kennst, werfen wir in der nächsten Lektion einen Blick auf die andere Seite: die Rechte der betroffenen Personen. Du wirst lernen, welche Ansprüche eine Person hat, deren Daten verarbeitet werden – vom Recht auf Auskunft über ihre Daten bis hin zum Recht auf deren Löschung.