Art. 5 - DSGVO - Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten
|
Stand: 25.01.2012 |
Stand: 12.03.2014 |
Stand: 15.06.2015 | Stand: 27.04.2016 |
Grundsätze in Bezug auf Verarbeitung
|
Grundsätze für die Verarbeitung
|
Grundsätze in Bezug auf die Verarbeitung
|
Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten |
|
Personenbezogene Daten müssen |
Personenbezogene Daten müssen |
Personenbezogene Daten müssen |
1. Personenbezogene Daten müssen |
|
a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden; |
a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz); |
(keine Änderung) |
a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"); |
|
b) für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; |
b) für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung); |
b) für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche, statistische oder historische Zwecke gilt gemäß Artikel 83 nicht als unvereinbar mit den ursprünglichen Zwecken; |
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ("Zweckbindung");
|
|
c) dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein; sie dürfen nur verarbeitet werden, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können; |
c) dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein; sie dürfen nur verarbeitet werden, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können (Datenminimierung); |
c) dem Verarbeitungszweck entsprechen, sachlich relevant und in Bezug auf die Zwecke, für die sie verarbeitet werden, verhältnismäßig sein (...); |
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung"); |
|
d) sachlich richtig und auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden; |
d) sachlich richtig und, wenn nötig, auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit); |
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden; |
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit"); |
|
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, jedoch höchstens so lange, wie es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, wenn die Daten ausschließlich zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke im Einklang mit den Vorschriften und Modalitäten des Artikels 83 verarbeitet werden und die Notwendigkeit ihrer weiteren Speicherung in regelmäßigen Abständen überprüft wird; |
e) in einer Form gespeichert werden, die die direkte oder indirekte Identifizierung der betroffenen Personen ermöglicht, jedoch höchstens so lange, wie es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, wenn die Daten ausschließlich zu historischen oder statistischen Zwecken oder für ea) in einer Weise verarbeitet werden, die es den betroffenen Personen erlaubt, wirksam ihre Rechte wahrzunehmen (Wirksamkeit); eb) in einer Weise verarbeitet werden, die vor unbefugter oder unrechtmäßiger Verarbeitung und vor zufälligem Verlust, zufälliger Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen schützt (Integrität); |
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, jedoch höchstens so lange, wie es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, wenn die Daten vorbehaltlich der Durchführung angemessener technischer und organisatorischer Maßnahmen, die von der Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche, statistische oder historische Zwecke (...) gemäß Artikel 83 verarbeitet werden (...);
ea) so verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist; |
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ("Speicherbegrenzung");
|
|
f) unter der Gesamtverantwortung des für die Verarbeitung Verantwortlichen verarbeitet werden, der dafür haftet, dass bei jedem Verarbeitungsvorgang die Vorschriften dieser Verordnung eingehalten werden, und der den Nachweis hierfür erbringen muss. |
f) unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der dafür zu sorgen hat, dass die Vorschriften dieser Verordnung eingehalten werden, und in der Lage sein muss, den Nachweis hierfür zu erbringen (Rechenschaftspflicht). |
f) (entfällt) |
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit");
|
|
2. Der für die Verarbeitung Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich. |
2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht").
|
Erwägungsgründe: 39 Äquivalent BDSG: §4.I, §28, §3a BDSG
Änderungsanträge: Website des Europäischen Parlaments Bewertungen: LobbyPlag
Art. 5 der EU-DSGVO setzt die übergeordneten Prinzipien der Datenverarbeitung. Die Begrifflichkeiten Rechtmäßigkeit, Verarbeitung nach treu und Glauben und Transparenz (Abs. 1) werden – sofern überhaupt – erst in folgenden Artikel konkretisiert und bleiben hier im Ungefähren.
Die Prinzipen der Zweckbindung, Richtigkeit und Datenminimierung bzw. Speicherbegrenzung (bisher: Datensparsamkeit) sind bereits bekannt.
Insbesondere Datensparsamkeit und Zweckbindung wurden im Entwicklungsprozess der Verordnung hart umkämpft. Grund war u.a. die Behindung von möglichen Big-Data-Geschäftsmodellen, z.B. im medizinischen Bereich. Dies mag der Grund sein, warum wissenschaftliche oder historische Forschungszwecke als Ausnahme definiert wurde.
Art. 5 Abs. 2 EU-DSGVO führt für Verantwortliche wie auch Auftragsverarbeiter die Pflicht zum Nachweis der Datenschutz-Compliance ein (Rechenschaftspflicht bzw. „accountability“). Der Nachweis wird schwer zu führen sein, am ehesten durch den Nachweis geeigenter Verfahren und Prozesse. Dies kommt der Pflicht zur Einführung eines Datenschutz-Managementsystems mit konkret definierten Verantwortlichkeiten für die Datenschutz-Compliance und Einbindungsverpflichteten des Datenschutz-Beauftragten oder -koordinators.
Darf ich künftig in einem Unternehmen Mitarbeitergespräche inhaltlich in einer Datenbank dokumentieren?
Muss der Mitarbeiter der Datennutzung zustimmen, da die Gespräche ja mit seinem Namen, Personalnummer etc. verknüpft sind?
Wer darf auf die Datenbank zugreifen?
Datenschutz bezieht sich ja nicht nur auf die Nutzung elektronischer Daten. Was ist mit den personenbezognen Daten, die von Menschen z. B. zwecks Anmeldung im Einwohnermeldeamt oder in einem Standesamt etc. in Großraumbüros mündlich preisgegeben werden (müssen), wenn jeder in der Nähe sitzende Bedienstete oder andere Bürger/innen mithören können? So etwas gibt es noch allzu häufig.
Wie sieht es denn mit der Art/Form der Datenspeicherung aus? Wie muss diese gestaltet sein? Verschlüsselt? auf einem besonderen Rechner(system)?
Und kan der Datenschutzbeauftragte (z.B. bei einem Ein-Mann-Unternehmen) auch der Inhaber sein oder muss hier eine speziell ausgebildete Person dies übernehmen?
Der letzte Satz ergibt leider keinen Sinn.
Der beste Datenschutz ist, erst gar keine Daten zu erheben und JEDE Auskunft über einen Bürger bedarf zuerst der Zustimmung durch diesen! Alles andere ist Augenwischerei…
@Morgentau
So etwas funktioniert nur leider in der Geschäftswelt nicht. Man kommt in vielen Bereichen gar nicht drum herum, solche Daten zu erheben und zu verarbeiten. Das fängt bei Banken/Versicherungen an und hört bei Dienstleistungsunternehmen aller Art auf.
Als Sie Ihren Kommentar hier gespeichert haben wurde z.B. Ihre Mailadresse vom Betreiber verarbeitet.
Was genau sind „personenbezogene Daten“ ? Handelt es sich hier um Informationen wie Alter, Geschlecht, Beziehungsstand, Gehalt, … oder sind auch „geschäftliche“ Informationen, wie die auf einer Visitenkarte „personenbezogene Daten“ (und ich muss mit den Besitzern meiner Visitenkarten spezielle Vereinbarungen treffen …) ?
Ihre Begriffserklärung hilft hier leider nicht weiter …
Könnten Sie Beispiele und genauere Definitionen liefern ?
Anmerkung:
Ich bin Interessierter Betroffener (Auftragsdatenverarbeitung, Daten Anonymisierung) und kein Fachmann.
Personenbezogene Daten gemäß Art.4 Abs1. EUDSGVO beziehen sich auf Zitat „…einem oder mehreren besonderen Merkmalen …, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind…“
Eine Visitenkarte enthält in der Regel keine dieser Datentypen. Wenn doch, so hat sie der Eigentümer und Herausgeber der Karte willentlich darauf hinterlegt.
Somit hat er seine ausdrückliche Zustimmung zur Nutzung dieser / seiner Daten durch die Übergabe dieser Karte erteilt.
Auch die in der Öffentlichkeit genannten Ansprechpartner von Firmen, Behörden und Institutionen werden in der Regel nur mit den Daten aufgeführt, die notwendig sind, um ihre Arbeit zu tun bzw es anderen zu ermöglichen, sie ihrer Rolle gemäß zu kontaktieren.
Eine Visitenkarte oder jeder andere wissentlich veröffentlichte Kombination aus Namen, Orten, Telefonnummern etc. erlaubt die Nutzung der Daten im Rahmen der vorgesehenen Nutzung.
Der Eintrag meiner Adresse und Telefonnummer im Telefonbuch z.B. erlaubt aber keineswegs ohne weiteres die Nutzung dieser Daten durch Dritte.
Allein der Name einer natürlichen Person stellt personenbezogene Daten dar. Deshalb frage ich mich wie man im täglichen Arbeitsleben damit umgehen soll, dass z.B. auf Rechnungen von Firmen der bearbeitende Sachbearbeiter inkl. Kontaktdaten genannt ist. Im Prinzip müsste ich dann auch hierfür wieder ein Verfahren in mein Verzeichnis aufnehmen oder nicht?
Genauso das Problem mit den Visitenkarten. Definitiv handelt es sich um personenbezogene Daten auf der Karte. Das alleinige herausgeben der Karte stellt aber keine nachweisliche Einwilligung der Verarbeitung dar.
Wie soll das in der Praxis gehandhabt werden?
Keiner wird mit einem Stapel Einwilligungen auf einer Messe rumlaufen.
Eine Visitenkarte enthält personenbezogene Daten gemäß Art.4 Abs1. EUDSGVO, z.B. die Berufsbezeichnung (z.B. Sachbearbeiter) oder die Position (z.B. Fachabteilungsleiter) sowie den Arbeitgeber.
Eine Zustimmung durch Herausgabe kann nicht a priori unterstellt werden.
Personenbezogene Daten sind alle Daten, durch die eine Person direkt oder indirekt identifizierbar ist. Direkt identifizierbar sind Sie durch Ihren Namen oder durch ein Foto. Indirekt identifizierbar sind Sie z. B. durch das Nummernschild Ihres Autos oder eine Personalnummer.
Besondere personenbezogene Daten sind abschließend Daten über Ihre Herkunft, Meinung, Organisation (z. B. Gewerkschaftsmitgliedschaft), Genetik, Biometrik, Gesundheit und das Sexualleben. Ihre Verarbeitung unterliegt besonderen Vorschriften und muss in Ihrem Sinne erfolgen.
S.F
Das sehe ich nicht so. Die Übergabe einer Visitenkarte impliziert keineswegs Zustimmung zu beliebiger weiterer Verwendung. Nur der (direkte persönliche) Empfänger der Visitenkarte erhält Informationen damit er z.B. Namen richtig erfährt und schreibt, etc. Weiter nichts.
Gibt es irgendwo eine Liste von Beispielen von „personenbezogene Daten“ ?
Sind z.B. geschäftliche Kontakt-Daten, also die Visitenkarte, „personenbezogene Daten“ ?
Personenbezogene Daten sind alle Daten, durch die eine konkrete Person direkt oder indirekt identifiziert werden kann. Das sind alle Angaben, die konkret eine Person bezeichnen. Entweder direkt (Name, Adresse, Beruf, Stellung, Fotos oder Kombinationen davon) oder indirekt (Kfz-Kennzeichen, Fotos, Sozialversicherungsnummer etc.). Indirekt bedeutet „unter Zuhilfenahme von Verzeichnissen“, also etwa Kfz-Kennzeichen + Kfz-Register = indirekte Identifizierung.
So wurde uns das in einem Seminar erklärt.
Der Link „Artikel 89 Absatz 1“ funktioniert nicht.
Danke für den Hinweis. Haben wir korrigiert!