Icon Datenschutzbeauftragter
Datenschutz

Datenschutzprinzipien vs. Verfahrens-Vorgaben der DSGVO

Andre Schilkowski
Verfasst von: André Schilkowski
Berater für Datenschutz und Informationssicherheit

Oft wird man als Datenschutzberater von Klienten gefragt, wo genau die eine oder andere Verfahrensweise im Umfeld des Datenschutzes eigentlich konkret in der Datenschutz-Grundverordnung (DSGVO) zu finden ist. Fast ebenso oft lautet die Antwort, dass sie sich aus den dort formulierten Prinzipien ableiten lässt. Was aber bedeutet das anschaulich?


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Datenschutzprinzipien

Die DSGVO ist geprägt von einigen Prinzipien: den Grundsätzen für die Verarbeitung personenbezogener Daten. Dazu zählen die Rechtmäßigkeit der Verarbeitung, die Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht.

Verfahrens-Vorgaben der DSGVO

Dort finden sich auch einige konkrete Anforderungen, die zu erfüllen sind. Dazu zählt die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten, die Pflicht zur Benennung eines Datenschutzbeauftragten, die Rechte bzw. korrespondierenden Pflichten im Zusammenhang mit Betroffenenrechten und der oft notwendige Abschluss von Auftragsverarbeitungsverträgen (AV-Verträgen).

Verfahrens-Vorgaben als Konkretisierung der Prinzipien

Die Anforderungen an die Ausgestaltung der Organisation des Datenschutzes lassen sich aus den Datenschutz-Prinzipien herleiten. Im Falle des Verzeichnisses von Verarbeitungstätigkeiten ist dies vor allem die Rechenschaftspflicht – sie zu führen ist also kein Selbstzweck. AV-Verträge verfolgen das hehre Ziel, dem Verantwortlichen eine Auslagerung von Datenverarbeitungstätigkeiten zu ermöglichen und dabei trotzdem eine Kontrolle über die Daten zu gewährleisten. Verfahrens-Vorgaben der DSGVO dienen also der Umsetzung der Datenschutzprinzipien.

Aufwendige Umsetzung der DSGVO-Vorgaben

Die alltägliche Umsetzung der Vorgaben der DSGVO ist nicht selten geprägt von Ressourcenknappheit und widerstrebenden Interessen. Das für Datenschutz zur Verfügung stehende Budget ist in aller Regel begrenzt – es fehlt an Geld und an Zeit. Projekte sollen durch den Datenschutz nicht (vermeintlich) verkompliziert werden. Und in einer solchen Situation soll bzw. muss sich noch gewissenhaft um Verzeichnisse von Verarbeitungstätigkeiten und AV-Verträge gekümmert werden. Das eigentliche Anliegen der DSGVO, die Einhaltung der Datenschutz-Prinzipien, kann da aus dem Fokus geraten.

Umsetzung durch Verfahren und Richtlinien

Zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten ist es notwendig, Verfahren und Richtlinien einzuführen, die die Einhaltung ebendieser Grundsätze befördern. Ein prominentes Beispiel ist die in vielen Betrieben notwendige, regelmäßig Kontrolle des Führerscheines. Es wird (bzw. sollte) hier eine Sichtkontrolle durchgeführt und lediglich vermerkt werden, dass diese stattgefunden hat. Eine Kopie des Führerscheins ist nicht notwendig, stellte sie doch ohnehin nur eine Momentaufnahme dar. Diese Vorgehensweise leitet sich vor allem aus dem Prinzip der Datenminimierung ab. Der Zweck ist, zu prüfen, ob zu einem bestimmten Zeitpunkt eine Fahrerlaubnis vorhanden ist; dafür ist es nicht notwendig, den Führerschein zu kopieren. Das Dokumentieren der (erfolgreichen) Prüfung reicht zum Erreichen des Zweckes völlig aus.

Umsetzung durch Verinnerlichung von Datenschutzprinzipien

Doch nicht alle Situationen lassen sich im Detail durch Richtlinien abbilden. Und Regeln werden erfahrungsgemäß besser und bereitwilliger befolgt, wenn sie nachvollzogen und unterstützt werden können. Es ist daher wichtig, dass die Datenschutz-Prinzipien in der Breite der Belegschaft verinnerlicht werden. Die Grundsätze für die Verarbeitung bieten den Kompass für die alltägliche Arbeit mit personenbezogenen Daten. Doch wie lassen sich die Datenschutz-Prinzipien in die Belegschaft tragen? Hier bieten sich regelmäßige Schulungen und Sensibilisierungen an, wobei besonders bei hoher Personalfluktuation auf eine ausreichende Schulungs- bzw. Sensibilisierungsfrequenz geachtet werden sollte.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.