Serie zum neuen Datenschutzrecht

Die letzten drei Grundsätze für die Verarbeitung personenbezogener Daten, die in Art. 5 Datenschutz-Grundverordnung (DSGVO) niedergelegt sind, lauten:

• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Grundsatz der Richtigkeit

Der Grundsatz der Richtigkeit fordert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind. Daher sollten z. B. Adressänderungen in einem Kundenkonto sofort aktualisiert wird. Der Unternehmer ist bei Vorliegen unrichtiger Daten zu folgenden Maßnahmen verpflichtet:

• unverzügliche Löschung oder
• unverzügliche Berichtigung.

Der Umfang der Maßnahmen hängt vom jeweiligen Fall ab. Die DSGVO spricht von angemessenen Maßnahmen. Es müssen also nicht alle Maßnahmen ausgeschöpft werden, sondern nur die finanziell und personell vertretbaren Schritte unternommen werden.


Grundsatz der Speicherbegrenzung

Personenbezogene Daten unterliegen einer Speicherbegrenzung. Sie dürfen also nicht rein vorsorglich dauerhaft gespeichert werden. Die Speicherfrist muss auf das unbedingt erforderliche Mindestmaß beschränkt bleiben.

Das Mindestmaß ergibt sich zum Teil aus (steuerrechtlichen) Gesetzen, zum Teil aus dem Zusammenhang. So sieht das Steuerrecht z. B. für Rechnungen Mindest-Aufbewahrungsfristen vor.

Andererseits sind personenbezogene Daten umgehend zu löschen, wenn sich z. B. nach einer Kontaktaufnahme per E-Mail herausstellt, dass es zu keiner Geschäftsbeziehung kommt. In diesem Fall fehlt der Datenspeicherung eine gesetzliche Grundlage.

Praxistipp: Der verantwortliche Unternehmer sollte Kontrollfristen für die Löschung oder regelmäßige Überprüfung von personenbezogenen Daten vorsehen.


Grundsatz der Integrität und Vertraulichkeit

Unter den Grundsatz der Integrität und Vertraulichkeit fallen in erster Linie technische Maßnahmen zur Datensicherung. Der verantwortliche Unternehmer muss gewährleisten, dass Unbefugte

• keinen Zugang zu den Daten haben und
• weder die Daten noch die datenverarbeitenden Geräte (z. B. Server) benutzen können

Weiterhin muss der Verantwortliche die Daten schützen vor

• unbeabsichtigtem Verlust
• unbeabsichtigter Zerstörung oder
• unbeabsichtigter Schädigung.

Die Verordnung verlangt keine 100% Sicherheit, sondern die Gewährleistung einer angemessenen Sicherheit durch geeignete technische und organisatorische Maßnahmen (z. B. durch Verschlüsselung der Webseiten, durch Backups).