Im meiner Basics-Reihe erläutere ich Begriffe aus den Grundlagen des Datenschutzes mit Bezug zu Ärzten.

"Datenschutzprinzipien"

Sie wissen nun was personenbezogene Daten sind, Sie kennen die für die Verarbeitung dieser Daten notwendigen Rechtsgrundlagen. In einem nächsten Schritt geht es darum zu erfahren, nicht welche Daten Sie verarbeiten und ob Sie die Daten verarbeiten dürfen, sondern wie die Verarbeitung der Daten durchzuführen ist. Dieses wie der Datenverarbeitung wird mit dem Begriff „Grundprinzipien der Verarbeitung personenbezogener Daten“ beschrieben.

Die Grundprinzipien sind in Erwägungsgrund 38 der DSGVO benannt:

• Datenminimierung
• Verbot mit Erlaubnisvorbehalt
• Richtigkeit
• Treu und Glauben
• Speicherbegrenzung
• Zweckbindung
• Integrität und Vertraulichkeit

Datenminimierung oder Datensparsamkeit bedeutet, dass es das Ziel einer Verarbeitung sein muss, dass so wenig personenbezogene Daten wie möglich verarbeitet werden. Also dürfen nur die Daten überhaupt erheben werden, die tatsächlich für den Zweck der Verarbeitung notwendig sind. Beispielsweise nicht notwendig für ein eMail-Newsletter sind der Name und die Anrede einer Person.

Das Verbot mit Erlaubnisvorbehalt bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer es liegt ein Erlaubnistatbestand vor. Als Erlaubnistatbestand sind Rechtsgrundlagen gemeint.

Richtigkeit zielt darauf ab, dass bei der Verarbeitung personenbezogener Daten sicherzustellen ist, dass sie richtig und auf dem neusten Stand sind. Falsche personenbezogene Daten sind unverzüglich zu berichtigen oder zu löschen.

Nach Treu und Glauben soll jede Verarbeitung personenbezogener Daten rechtmäßig erfolgen. Ergänzend dazu setzt das Transparenzgebot voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sind.

Die Speicherbegrenzung fordert, dass die Speicherfrist für personenbezogene Daten unbedingt erforderliche Mindestmaß zu beschränken ist. Zum Beispiel sind Bewerberdaten 6 Monaten nach Absage des Bewerbers aufzubewahren und danach zu löschen: Zwei Monate nach § 15 AGG zuzüglich drei Monate nach § 61b Abs. 1 ArbGG und zuzüglichem einem Monat Toleranz ergibt 6 Monate.

Die Zweckbindung bestimmt, dass die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein müssen und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Eine Weiterverarbeitung zu anderen Zwecken ist nicht zulässig.

Abschließend das Datenschutzprinzip der „Integrität und Vertraulichkeit“, dass personenbezogene Daten durch technisch-organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung und beispielsweise Verlust geschützt werden.