WhatsApp im Unternehmen und Verein

Die Nutzung von WhatsApp im geschäftlichen Einsatz und im Verein ist aus rechtlicher Sicht kritisch zu sehen. Hieran hat die Datenschutzgrundverordnung (DSGVO) im Mai 2018 nichts geändert, die Problematik bestand auch schon mit dem alten Bundesdatenschutzgesetz (BDSG).

Was ist konkret das Problem an WhatsApp?

Nach meiner Auffassung sind es weniger die Inhalte der Kommunikation, die rechtlich bedenklich sind. Vielmehr ist es die notwendige Freigabe der Kontakte, um die App überhaupt sinnvoll nutzen zu können. Im Zusammenhang der Freigabe der Kontakte und deren Übertragung an WhatsApp spricht ein Datenschützer von einer „Datenübermittlung in ein Drittland“. Hierfür bedarf es einer Einwilligung, da keine andere Rechtsgrundlage überhaupt in Frage kommt. Jeder Kontakt muss also aktiv und nachweisbar gefragt werden, ob die Übertragung an WhatsApp in Ordnung ist und zwar vor Freigabe der Kontakte. Dies ist in der Praxis kaum umsetzbar.

Ein zweites Problem ist die geschäftliche Nutzung im Unternehmen oder auch im Verein. Hierfür bedarf es gem. Art. 28 DSGVO einer Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln. Dies lässt sich mit WhatsApp nicht umsetzen.

Was ist die Folge der rechtlichen Probleme?

Die logische Folge ist, dass Datenschutzbeauftragte empfehlen müssen, WhatsApp nicht im Unternehmen und Verein einzusetzen.

Gibt es Lösungsansätze, das Problem zu beheben?

Unternehmen tun sich schwer, WhatsApp von den Smartphones zu verbannen. Auch für Vereine ist die Organisation über WhatsApp-Gruppen ein enormer Vorteil. Folgende Lösungsansätze bestehen:

  • Einsatz von Datencontainern auf Smartphones, z.B. „Sicherer Ordner“ bzw. „Knox“ auf Samsung-Geräten. Unabhängig von den Geschäftskontakten kann der Container ausschließlich für private Zwecke verwendet werden einschl. Kontakten und Anwendungen wir WhatsApp (Hilfestellung hierzu: https://www.samsung.com/at/discover/sicherer-ordner-auf-dem-galaxy-s8/).
  • Keine Freigabe der Kontakte: Das Verweigern des Zugriffs auf die Kontakte ist ein weiterer Weg zur Nutzung, der jedoch mit Komforteinbußen verbunden ist.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger tätig und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.

Sag mir deine E-Mail-Adresse und ich sag dir wer du bist

„Sag mir deine E-Mail-Adresse und ich sag dir wer du bist.“ Was Datenhändler alles aus einer E-Mail-Adresse ablesen können und wie man sich dagegen am besten wehrt.

E-Mail-Adressen müssen fast überall angegeben werden: z. B. auf Social Media Plattformen, in Online Shops, oder auch bei Bonuskundenkarten-Anbietern.

Nicht zuletzt aus dem Grund der ständigen Präsenz der E-Mail-Adresse ist sie die neue Handelsware. Das ruft natürlich auch viele Unternehmen hervor, die sich mit dem Handel von E-Mail-Adressen und dahinterliegenden Daten befassen.

Einer der größte Datenhändler rühmt sich damit, zu 80 % aller E-Mail-Adressen weiterführende Daten zu besitzen [1]. Darunter Daten wie Alter, Geschlecht, Name, Anschrift, aber auch Daten wie das Einkommen, Kinderzahl, Käufertypisierung wie „Schnäppchenjäger“, „Urlaubsshopper“ oder ob grade eine Schwangerschaft ansteht [2]. Anwendungsbereiche für diese Datensammlungen liefern die Datenkraken gleich mit: wenn man ein Anbieter im Bereich Wellness und Spa ist, wäre es doch schöner wenn man weiß, erstens wie der Kunde heißt, zweitens ob er / sie verheiratet ist oder welchen Geschlechtes er / sie ist, um ihn / sie direkt anzusprechen und ihr / ihm gleich den Grund für den Kauf anzubieten [3].

Die Verknüpfung von Daten darf natürlich laut Datenhändler nicht fehlen, wenn jemand ein Disneyfilm kauft, heißt das noch nicht, dass er Disneyfilme mag – vielleicht ist er Vater und kauft diesen Film für seine Tochter. Das Ausmaß, was solche Unternehmen anhand der E-Mail-Adresse von Ihnen wissen, ist vermutlich erschreckend.

Aus rechtlicher Sicht ist die werbliche Ansprache per Mail als sehr kritisch einzustufen, wenn nicht vorher explizit eingewilligt wurde. Das Gesetz gegen den unlauteren Wettbewerb (UWG) sieht eine unzumutbare Belästigung (§ 7 Abs. 2 Nr. 3), wenn keine ausdrückliche Einwilligung vorliegt.

Wie kann man all das eindämmen?

  1. legen Sie sich mehrere E-Mail-Adressen für verschiedene Einsatzbereiche an
  2. nutzen Sie mindestens eine „Spammail-Adresse“
  3. überlegen Sie sich doch ab und zu mal, eine kostenfreie Wegwerf-E-Mail-Adresse zu nutzen [4]
  4. geben Sie bei Anmeldungen nur die Daten an, die unbedingt für die Anmeldung verpflichtend sind
  5. stimmen Sie nur den Bedingungen zu, die für die Anmeldung erforderlich ist.
  6. Nutzen Sie Ihre Rechte aus dem Datenschutz, also der Datenschutzgrundverordnung (DSGVO), wie z.B. Auskunft oder Löschung

Über den Autoren:

Sven Schüldink ist Berater für Datenschutz bei der comdatis it-consulting GmbH & Co. KG.

[1] https://www.towerdata.com/email-intelligence/email-enhancement

[2] https://info.towerdata.com/hubfs/docs/TowerData%20Data%20Dictionary%202_2017%20Data%20Dictionary.pdf

[3] https://info.towerdata.com/hs-fs/hub/68599/file-439186315-pdf/docs/EmailEnhancement.pdf

[4] https://www.bing.com/search?q=wegwerf+email

Hilfestellungen für kleine und mittlere Unternehmen

Konkrete Hilfestellung für kleine und mittlere Unternehmen hat jetzt das bayLDA veröffentlich. Die Informationen enthalten u.a. konkrete Beispiele für das Verzeichnis der Verarbeitungstätigkeiten.

Folgende Branchen sind enthalten:

  • Vereine
  • KFZ-Werkstatt
  • Handwerksbetrieb
  • Arztpraxis
  • WEG-Verwaltung
  • Produktionsbetrieb
  • Genossenschaftsbank
  • Onlineshop
  • Bäckerei
  • Beherbunbsbetrieb

 

Werbung nach DSGVO!?

Da kommt tatsächlich so etwas wie Panik auf: Darf ich jetzt etwa keine Werbung mehr betreiben mit der DSGVO!?

Doch, natürlich darf das!

Wie verrückt wäre es auch, wenn Unternehmen keine Werbung mehr betreiben dürfen. Das würde dem wirtschaftlichen Gedanken und der Notwendigkeit mehr als widersprechen.

Trotzdem gibt es ein paar Regeln zu beachten, die wir hier einmal zusammenfassen:

  • Es fehlt eine klare Regelung für Werbung in der DSGVO. Daher gilt für die Zulässigkeit der Werbung entweder das Vorliegen einer Einwilligung oder eine Interessenabwägung. In die Bewertung der Interessenabwägung nehmen wir den Erwägungsgrund 47 (Satz 7) hinzu: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Dazu muss eigentlich nichts mehr gesagt werden, oder?
  • Grundsätzlich gilt für die Verarbeitung personenbezogener Daten auch der Grundsatz der Angemessenheit und der Datensparsamkeit (Art. 5 DSGVO)
  • Wichtig ist, dass eine Widerspruchsmöglichkeit (Art. 21 Abs. 2 bis 4 DSGVO), hierauf muss bei der ersten Kommunikation hingewiesen werden!
  • Das Gesetz gegen den unlauteren Wettbewerb (UWG) ist zu beachten. Hier regelt § 7 die „unzumutbaren Belästigen“. Werbung an Verbraucher per Mail, Telefon, Fax und SMS stets nur mit vorheriger ausdrücklicher Einwilligung! E-Mail-Wertung an Bestandskunden kann jedoch zulässig sein (§ 7 Abs. 3 UWG)
  • Informationspflichten gem. Art. 13 und 14 DSGVO sind zu beachten. Ergänzend zu den möglichen AGB muss es zukünftig eine Datenschutzinformation geben. Fraglich ist derzeit noch, wie die Datenschutzinformationen auf maximal einfache Art und Weise bekannt gemacht werden können.
  • Einwilligungen, die bereits nach Bundesdatenschutzgesetz (BDSG) in der Vergangenheit gültig waren, bleiben gültig!
  • Bei Einwilligungen ist das Koppelungsverbot (z.B. fehlende Freiwilligkeit, d.h. Zwang zur Einwilligung) zu beachten.
  • Bei „kostenlosen“ Services, die mit der werblichen Nutzung von Daten „bezahlt“ werden, muss bei Vertragsabschluss klar dargestellt werden, dass dies die Gegenleistung des Nutzers ist.

Detailliertere Informationen befinden sich in der folgenden Information des baylda: https://www.lda.bayern.de/media/baylda_ds-gvo_12_advertising.pdf

Teil 7/7: DSGVO – Hilfsmittel zur Umsetzung

Welche Hilfsmittel gibt es, um in der noch verbleibenden Zeit die Anforderungen umzusetzen?

 

Wir haben hier einige interessante Links zur Verfügung gestellt:

 

Wenn Sie eine unabhängige Beratung zum Datenschutz nutzen möchten oder einen externen Datenschutzbeauftragten bestellen möchten, nehmen Sie gerne Kontakt mit uns auf: https://www.comdatis.de/kontakt

 

Interessiert Sie der Datenschutz so sehr, dass Sie beruflich auf diesem Gebiet tätig werden möchten? Dann werfen Sie doch mal einen Blick auf die folgende Seite:

Berater – Compliance, Datenschutz und Informationssicherheit

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 6/7: DSGVO: Einwilligung

Wir haben schon viel über die Einwilligungserklärung geschrieben, doch was sind die Voraussetzungen einer Einwilligungserklärung? Denn nur auf Basis einer Einwilligungserklärung kann eine rechtmäßige Datenverarbeitung stattfinden. Der Text der Einwilligungserklärung muss einfach und verständlich sein. Aus der Einwilligung muss der Zweck der Verarbeitung hervorgehen. Der betroffene muss freiwillig die Einwilligung abgeben. Des Weiteren muss sichergestellt sein, dass der Betroffene jederzeit seine Einwilligung widerrufen kann. Eine konkrete Formvorschrift wird nicht genannt, jedoch muss die verantwortliche Stelle im Zweifel den Nachweis erbringen können, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat.

Bereits nach derzeitigem Recht erteilte Einwilligungen bleiben i.d.R. weiterhin gültig.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Teil 5/7: DSGVO: Was muss ein Unternehmen noch umsetzen

Datenverarbeitende Unternehmen müssen auf der Homepage, also öffentlich zugänglich, eine Datenschutzerklärung vorhalten. Das war im BDSG bereits geregelt und das hat sich auch mit der DSGVO nicht geändert. Folgende verpflichtende Informationen müssen in der Datenschutzerklärung einfließen:

  • Namen und Kontaktdaten der verantwortlichen Stelle sowie ggf. die der eines Vertreters
  • Die Kontaktdaten des bestellten Datenschutzbeauftragten
  • Die Zwecke für die die personenbezogenen Daten verarbeitet werden sollen
  • Die Rechtsgrundlage für die Datenverarbeitung
  • die berechtigen Interessen, auf die die Datenverarbeitung gestützt wird.
  • Falls vorhanden die Empfänger der personenbezogenen Daten
  • die Weitergabe an ein Drittland oder an eine internationale Organisation
  • Die Dauer der Speicherung
  • Der Nutzer muss darüber informiert werden, dass er ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie das Bestehen eines Widerspruchsrechts
  • Das Recht der Benutzer auf eine Datenübertragbarkeit
  • Die Möglichkeit die Einwilligung widerrufen zu können
  • Das Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
  • Auf welche Grundlage die personenbezogenen Daten verarbeitet werden (gesetzlich, vertraglich, oder für einen Vertragsabschluss erforderlich ist)

Die Pflichtangaben müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Hier gilt der Grundsatz der Prägnanz, sodass ausschweifende Erläuterungen zu vermeiden sind. Bei Informationen an Kinder müssen diese auch in kindgerechter Sprache formuliert werden, unter Umständen muss eine bildliche Aufbereitung der Informationen erfolgen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 4/7: Betroffenenrechte & weitere Pflichten der Verantwortlichen

Mit der DSGVO sollen die Rechte der Betroffenen gestärkt werden. Hier wird beispielhaft das Recht auf Vergessen werden genannt. Dieses Recht wurde durch die DSGVO eingeführt und umfasst den Anspruch auf Löschung der personenbezogenen Daten des Betroffenen sowie auch von eventuellen Querverweisen. Das setzt allerding voraus, dass die Daten für die Zwecke, für die eingesetzt worden sind nicht mehr notwendig; der Betroffene widerruft seine Einwilligung; der Betroffene legt Widerspruch gegen die Verarbeitung ein; die Daten wurden zu Unrecht verarbeitet; die Löschung der Daten unterliegt einer rechtlichen Verpflichtung oder es handelt sich um Daten von einer Person, die noch nicht volljährig ist.

Ebenfalls neu ist die Datenportabilität. So soll es bspw. möglich sein, seine Daten von einer Plattform in eine andere einzuspielen. Dies kommt vor, wenn Betroffene z.B. den Anbieter für Telekommunikation wechseln möchten.

Beim Auskunftsrecht kann der Betroffene von dem Verantwortlichen erfahren, ob von ihm personenbezogene Daten verarbeitet werden. Wenn das der Fall ist hat der Betroffene das Recht Auskunft über seine Daten, die Verarbeitungszwecke, die erfassten Datenkategorien, die möglichen Empfänger und die geplante Dauer der Speicherung der Daten. Des Weiteren hat er das Recht auf Berichtigung oder Löschung der Daten oder das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht gegen die Verarbeitung. Es besteht außerdem das Recht einer Beschwerde bei einer Aufsichtsbehörde und alle Informationen über die Herkunft der Daten, wenn diese nicht beim Betroffenen selbst erhoben worden sind.

Die Betroffenen haben also eine Vielzahl an Rechten gegenüber datenverarbeitenden Unternehmen, die sie im Zweifel auch mit Hilfe der Aufsichtsbehörden oder Gerichten durchsetzen können. Die Rechte sind aber nicht grenzenlos. So können Rechte auf Auskunft, Widerspruch, Löschung, Vergessen werden, Datenübertragbarkeit, usw. unter bestimmten Voraussetzungen auch eingeschränkt werden. bei den Einschränkungen geht es um folgende Maßnahmen:

  • Die nationale Sicherheit
  • Die Landesverteidigung
  • Die öffentliche Sicherheit
  • Öffentliches Interesse
  • Wirtschaftliches und finanzielles Interesse
  • Unabhängigkeit der Justiz
  • Ausübung öffentlicher Gewalt
  • Zivilrechtliche Ansprüche
  • Schutz des Betroffenen
  • Rechte und Freiheiten andere Personen

Neben den Rechten der Betroffenen sind verschiedene Pflichten der für die Daten verantwortlichen Stellen ebenfalls in der DSGVO geregelt. Das sind Durchführungen von externen Audits, Bereitstellungen von Regelungen im Hinblick auf Datenschutz und IT-Sicherheit, Implementierung von Prozessen zur Sicherstellung der Compliance nach DSGVO, Dokumentation von Datenverarbeitungsprozessen, Risikoanalyse im Bezug auf die Folgen der Datenverarbeitung, Bereitstellung von geeigneten technischen und organisatorischen Maßnahmen, Durchführung von Datenschutzfolgenabschätzungen, Bereitstellung von Informationen (bspw. auf der Unternehmenswebseite), die Bestellung eines Datenschutzbeauftragten, Privacy by design sowie privacy by default.

Bei den letztgenannten Pflichten geht es um die datenschutzfreundliche Technikgestaltung sowie die datenschutzfreundliche Voreinstellung. So muss die verantwortliche Stelle sowohl zum Planungszeitpunkt, als auch bei der eigentlichen Verarbeitung geeignete ToM treffen, um die Datenschutzgrundsätze wirksam umzusetzen und die Rechte der betroffenen Personen zu schützen. Dabei spielen neben dem Stand der Technik, auch die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung eine Rolle. Mit Privacy by design ist die Pflicht zur Berücksichtigung von möglichst datenschutzfreundlichen Techniken schon bei der Entwicklung von neuen Produkten gemeint. Außerdem muss der Verantwortliche geeignete ToM treffen, die durch Voreinstellung sicherstellen, dass grundsätzlich nur die für den konkreten Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Privacy by default bedeutet für die Praxis, dass immer die datenschutzfreundlichsten Voreinstellungen vorzunehmen sind. Wenn Nutzer also nicht aktiv etwas ändern, dürfen Ihnen keine Nachteile dadurch entstehen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 3/7: Datensicherheit

Grundsatz der Datensicherheit

Unter Berücksichtigung des Stands der Technik, der Kosten und Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die hierzu von seitens der DSGVO geforderten Maßnahmen sind unter anderem Pseudonymisierung, Verschlüsslung, dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme und Dienste. Die zeitnahe Wiederherstellbarkeit, der Verfügbarkeit der personenbezogenen Daten und den Zugang zu den Daten nach einem physischen oder technischem Zwischenfall. Verfahren zur regelmäßigen Überprüfung, die Bewertung und Evaluierung der ToM’s. Für die Umsetzung der ToM’s kann man sich z.B. an den §9 BDSG (aktuelle Fassung Bundesdatenschutzgesetz), am IT-Grundschutzkatalog des BSI oder weiteren Sicherheitsstandards (z.B. ISO27001, ISIS12, VdS 3473) orientieren.

Es besteht eine Rechenschaftspflicht, d.h. dass die verantwortliche Stelle ist für die Einhaltung der genannten Grundsätze verantwortlich und muss diese nachweisen können.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 2/7: DSGVO – Grundsätze der Verarbeitung

Die Grundsätze der Datenschutzgrundverordnung sind in Kapitel 2 (Artikel 5 bis 11) beschrieben. Die folgenden Grundsätze sind dort beschrieben:

  • Grundsätze für die Verarbeitung personenbezogener Daten
  • Rechtmäßigkeit der Verarbeitung
  • Bedingungen für die Einwilligung
  • Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Verarbeitung besonderer Kategorien personenbezogener Daten
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Einer der wichtigsten Grundsätze ist das Verbot mit Erlaubnisvorbehalt. Jede Verarbeitung personenbezogener Daten ist unzulässig, wenn keine Ausnahmeregelung vorliegt. Die Verarbeitung personenbezogener Daten darf nur dann erfolgen, wenn eine Einwilligung des Betroffenen vorliegt oder eine gesetzliche Ausnahmeregelung besteht. Die gesetzlichen Ausnahmeregelungen sind

  • Erfüllung vertraglicher Pflichten
  • Erfüllung rechtlicher Verpflichtungen
  • Schutz lebenswichtiger Interessen

Von besonderer Bedeutung ist auch Art. 5 DSGVO. Die Grundsätze für die Verarbeitung personenbezogener Daten.

Transparenzgrundsatz (Art. 5 Abs. 1 a DSGVO)

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Grundsatz der Zweckbindung (Art. 5 Abs. 1 b DSGVO)

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Einschränkungen bestehen hier für die bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

Grundsatz der Datenminimierung (Art. 5 Abs. 1 c DSGVO)

Personenbezogene Daten müssen dem Zweck angemessen sein.

Grundsatz der Richtigkeit (Art. 5 Abs. 1 d DSGVO)

Personenbezogene Daten müssen sachlich und auf dem neusten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO)

Personenbezogene Daten müssen in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange zulässt, wie es für den Zweck der Verarbeitung erforderlich ist. Eine längere Speicherung ist nur dann zulässig, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen (kurz: ToM), die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.

Grundsatz der Integrität (Art. 5 Abs. 1 f DSGVO)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen ein.

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.