Die acht Grundsätze des Datenschutzes

data protection
@Adobe @ipopba

1. Fair und rechtmäßig

Ihre Organisation muss legitime Gründe für die Erhebung der Daten haben, und sie dürfen keine negativen Auswirkungen auf die Person haben oder in einer Weise verwendet werden, die sie nicht erwarten würden. Organisationen sind verpflichtet, volle Transparenz darüber zu gewährleisten, wie sie die Daten verwenden wollen, und sicherzustellen, dass ihre Daten nur so verwendet werden, wie es die Kunden erwarten würden. Die genaue Angabe, wofür die Informationen eines Verbrauchers verwendet werden, ermöglicht es ihm, eine informierte Entscheidung darüber zu treffen, ob er bestimmte persönliche Informationen weitergeben will.

Änderungen unter GDPR

Nach GDPR muss die Durchführung von Strafregisterprüfungen bei Mitarbeitern gesetzlich gerechtfertigt sein. So ist es beispielsweise viel wahrscheinlicher, dass eine Schule solche Kontrollen bei ihren Lehrern durchführen darf als ein Restaurant, das Küchenpersonal einstellt.

2. Spezifisch für ihren Zweck

Organisationen müssen offen über ihre Gründe für die Beschaffung von persönlichen Daten und darüber, wofür sie diese zu verwenden gedenken, sprechen. Sie sollten die persönlichen Daten nur für den Zweck verwenden, für den sie ursprünglich gesagt haben, dass sie verwendet werden sollen. Das bedeutet, dass ein Unternehmen die Daten nicht dazu verwenden sollte, andere Unternehmen an ihre Kunden zu vermarkten, es sei denn, der Einzelne hat dem zugestimmt. Wenn beispielsweise ein örtliches Spielwarengeschäft beginnt, Kinderfahrräder zu verkaufen, ist es wahrscheinlich in Ordnung, wenn es die Fahrräder an bestehende Kunden vermarktet. Allerdings kann der Spielzeugladen die Daten seiner Kunden nicht zur Werbung für andere Unternehmen verwenden, es sei denn, sie haben dem zugestimmt. Sie sollten auch die Daten ihrer Kunden nicht an Dritte weitergeben, es sei denn, sie haben bereits eingewilligt.

Änderungen unter GDPR

Genetische und biometrische Informationen gelten heute als sensible Daten, was bedeutet, dass Organisationen solche Informationen nur dann anfordern dürfen, wenn sie für einen relevanten Zweck benötigt werden. Eine Gesundheitsklinik beispielsweise sollte solche Informationen verlangen,um die bestmögliche Versorgung ihrer Patienten zu gewährleisten.

3. Angemessen sein und nur für das Erforderliche

Die Daten, die Sie über Ihre Kunden besitzen, sollten für den Zweck, für den Sie die Informationen besitzen, angemessen sein. Sie sollten es vermeiden, mehr Informationen als nötig für Ihre Kunden zu speichern. Die beste Praxis ist die Berechnung der Informationen, die Sie zur Erreichung Ihrer Zielebenötigen, eine Praxis, die als "Minimierung" bekannt ist. Ein Beispiel dafür wäre, wenn eine Person sich von einem Dienst abmeldet. In diesem Fall sollte das Unternehmen nur die Mindestinformationen behalten, die für die Speicherung von Aufzeichnungen über frühere Kunden erforderlich sind.

Änderungen unter GDPR

Datenschutzerklärungen oder Anleitungen zur "Verwendung Ihrer Informationen" müssen jetzt klarerals bisher sein. Das bedeutet, dass die bloße Zustimmung nicht ausreicht; der Einzelne muss genau darüber informiert werden, wofür seine Daten verwendet werden. Außerdem müssen Organisationen die Person über ihr Recht informieren, ihre Einwilligung jederzeit zu widerrufen.

4. Korrekt und auf dem neuesten Stand

Es müssen angemessene Schritte unternommen werden, um die Informationen auf dem neuesten Stand zu halten und sie zu ändern, wenn sie ungenau sind. Wenn ein Kunde die Informationen, die ein Unternehmen über ihn besitzt, aktualisiert, muss die Organisation die Kontaktaufnahme mit der Person unter Verwendung der zuvor angegebenen Details einstellen. Darüber hinaus sollten Organisationen nicht einfach darauf warten, dass Einzelpersonen sich mit ihnen in Verbindung setzen, um ihre Informationen zu aktualisieren, sondern sie sollten aktiv dafür sorgen, dass sie über die richtigen Informationen über eine Person verfügen.

Ein Unternehmen, das zum Beispiel Bücher online an Einzelpersonen verkauft, muss nicht regelmäßigüberprüfen, ob sie die richtigen Informationen über die Person haben. Wenn ein Unternehmen einem Mitarbeiter jedoch eine Gehaltserhöhung gewährt, sollten seine Angaben und sein Gehalt überprüft und gegebenenfalls aktualisiert werden.

5. Nicht länger als nötig aufbewahren

Organisationen müssen regelmäßig überprüfen, wie lange sie Daten über Einzelpersonen aufbewahren. Nur wenn die Daten für die erforderliche Zeit aufbewahrt werden, wird die VerwaltungIhrer Daten und die Bereitstellung persönlicher Informationen für Kunden, die diese anfordern, erleichtert. Daten, die veraltet oder nicht mehr notwendig sind, müssen ordnungsgemäß vernichtet oder gelöscht werden. Ein Kunde kontaktiert zum Beispiel ein Musikgeschäft, um ihm mitzuteilen, dass er keine Marketinginformationen mehr erhalten möchte, und um seine Daten aus seinen Unterlagen zu entfernen. Das Unternehmen sollte genügend Informationen über die Person aufbewahren, um sicherzustellen, dass sie von ihren Marketinglisten entfernt werden können.

6. Die Rechte der Personen berücksichtigen

Die Menschen haben das Recht, auf ihre persönlichen Daten zuzugreifen, ihre Verwendung zu unterbinden, wenn sie Ärger verursachen, ihre Verwendung für Direktmarketing zu verhindern, ungenaue Daten ändern zu lassen und Schadenersatz für schädliche Datenverletzungen zu fordern. Inbestimmten Fällen haben Kunden das Recht, die Löschung oder Vernichtung bestimmter Daten zu verlangen. Kunden sollten nur Informationen anfordern, die für sie selbst relevant sind. Die Organisation ist dafür verantwortlich, festzustellen, ob die von Kunden angeforderten Informationen für die Person, die sie anfordert, relevant sind.

Kunden können auch die Einsicht in die über sie gespeicherten Informationen verlangen, indem sie einen Antrag auf Zugang zum Thema stellen. Diese Anfrage wird in der Regel per E-Mail, Fax oder Post verschickt. Organisationen können zwar ein Online-Formular ausstellen, mit dem Einzelpersonen beantragen können, dass sie keine Informationen mehr über sie besitzen, aber sie sollten dies nicht als einzige Möglichkeit verlangen, dies zu tun.

Änderungen unter GDPR

Ein neues "Recht, vergessen zu werden" im GDPR bedeutet, dass jemand beantragen kann, dass Online-Inhalte aus der Datenbank einer Organisation entfernt werden. Das Gesetz über die Übertragbarkeit von Daten bedeutet, dass eine Person die kostenlose Übertragung aller ihrer persönlichen Daten in ein anderes System beantragen kann. So kann sie beispielsweise die Übertragung aller ihrer Fotos von einem sozialen Netzwerk in ein anderes wünschen.

7. Sicher und geschützt aufbewahrt

Ein angemessenes physisches und technisches Sicherheitssystem muss eingesetzt werden, um persönliche Informationen sicher zu verwahren und nicht unangemessenen Sicherheitsrisiken auszusetzen. Es ist ratsam, das Personal Ihrer Organisation in Sachen Datenschutz und Cybersicherheit zu schulen. Außerdem sollte Ihr Informationssicherheitssystem für die Art Ihres Unternehmens und die Daten, die Sie über Ihre Kunden besitzen, relevant sein. Eine Bank sollte beispielsweise ein höheres Informationssicherheitssystem haben als eine lokale Buchhandlung. Dies liegt daran, daß die potentiellen Auswirkungen einer Datenverletzung viel höher sind als bei der Buchhandlung.

8. Nicht außerhalb des EWR übertragen werden

Daten sollten nicht in andere Länder übertragen werden, die nicht das gleiche Datenschutzniveau haben. Die EU hat zum Beispiel mit den USA einen "Privacy Shield", für den sich amerikanische Unternehmen anmelden können, um Daten legal über den Atlantik zu schicken. Die Übermittlung von Daten innerhalb des EWR und einiger anderer spezifizierter Länder ist erlaubt.

Änderungen unter GDPR

Organisationen müssen die ausdrückliche Zustimmung ihrer Kunden erhalten, damit ihre persönlichen Daten außerhalb des EWR übertragen werden dürfen. GDPR kann ein Unternehmen auch dann noch haftbar machen, wenn die Daten in ein anderes Land übertragen wurden. Diese Änderungen bedeuten, dass Unternehmen die Auswirkungen berücksichtigen müssen, die GDPR auf ihre internationalen Datentransfers haben könnte.

Erinnern Sie sich an die 8 Grundsätze des Datenschutzes

Datenschutzbeauftragte, Risikomanager und diejenigen, die an der Verarbeitung und Verteilung von Daten beteiligt sind, sollten sich mit diesen Grundsätzen vertraut machen, um sicherzustellen, dass ihre Organisation konform ist.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen