Technologie & Rechte

​Was sind die 7 Grundprinzipien der GDPR?

Kennst du die 7 Grundprinzipien der Datenschutz-Grundverordnung und weißt du, warum sie so wichtig sind? Hier erfährst du, was wir alle über diese Grundsätze wissen sollten.

von Chiara Arena

Würdest du in ein Haus mit durchsichtigen Wänden ziehen? Würdest du es zulassen, dass alle deine Gespräche belauscht werden, auch die, die du mit deinem besten Freund oder deiner Therapeutin führst? Wohl kaum. Trotzdem ist die Wahrscheinlichkeit ziemlich hoch, dass du genau so etwas Grunde schon längst tust.


In der heutigen Welt bewegen sich immer mehr Menschen im digitalen Raum und hinterlassen dabei eine Spur aus Informationshäppchen. Die Protagonisten der datenbasierten Industrie leben von diesen Krümeln. Sie erschnüffeln, was für Informationen du im Internet suchst, welche Artikel du liest und sie versuchen, deine Interessen, deine Religion, deine Sexualität, deinen Gesundheitszustand und deine Einkommensklasse herauszufinden. Auf der Grundlage dieser Daten versuchen sie dann, dir etwas zu verkaufen. Oder sie versuchen, dich an jemanden zu verkaufen (d.h. sie verkaufen deine Daten an Unternehmen oder Organisationen).

Um deine Rechte und deine Interessen zu schützen, hat die EU die DSGVO (Datenschutzgrundverordnung) eingeführt. Die DSGVO basiert auf 7 Grundprinzipien und soll moderne Internetnutzer*innen auf ihren Online-Entdeckungsreisen schützen und den Websites, die ihre persönlichen Daten abgreifen, Grenzen auferlegen.

Was sind die 7 Grundprinzipien der GDPR?

Artikel 5 der DSGVO legt 7 Grundregeln fest, wie unsere Daten erhoben, organisiert, strukturiert und gespeichert werden dürfen. Sie sind als grundlegende übergreifende Prinzipien zu verstehen, die den für die Datenverarbeitung Verantwortlichen (Data Controller) und den Auftragsverarbeitern (Data Processor) eine Orientierung geben, welche Pflichten sie in Bezug auf die von ihnen verarbeiteten Daten haben. Im Folgenden wollen wir uns diese Grundsätze und ihre Bedeutung genauer ansehen:

1. Gesetzmäßigkeit, Fairness, Transparenz

Der erste Grundsatz ist relativ selbstverständlich: Personen oder Organisationen, die mit personenbezogenen Daten umgehen, müssen sicherstellen, dass ihre Datenerhebungspraktiken nicht gegen das Gesetz verstoßen, dass sie nichts mit den Daten machen, was du nicht erwarten würdest, und dass sie nichts Wichtiges vor dir verheimlichen.

Rechtmäßigkeit bedeutet für Auftragsverarbeiter zwei Dinge: eine angemessene Rechtsgrundlage für den Umgang mit deinen Daten zu identifizieren und dabei illegale Aktivitäten zu vermeiden. Das klingt ziemlich banal, ist aber nicht immer der Fall. Auftragsverarbeiter können zwischen sechs alternativen Rechtsgrundlagen wählen: Zustimmung, Vertragserfüllung, berechtigtes Interesse, vitales Interesse, gesetzliche Anforderungen und öffentliches Interesse. Jede dieser Rechtsgrundlagen hat ihre eigenen Regeln, Vor- und Nachteile für den Auftragsverarbeiter.

Fairness bedeutet, dass Auftragsverarbeiter die Menschen nicht absichtlich darüber in die Irre führen dürfen, wie ihre Daten verarbeitet werden, und dass sie die Datenverarbeitung rechtfertigen können, sollte sie sich nachteilig auf die betroffene Person auswirken.

Das Konzept der Transparenz erfordert eine klare Mitteilung, d.h. bei der Erhebung von Daten muss klar dargelegt werden, warum und für welche Verwendung die Daten erhoben werden.

Wenn ein Unternehmen dich bittet, ihm alle möglichen Informationen über dich zu geben (oder gar nicht erst danach fragt), ohne dir zu sagen, was es warum damit vorhat - dann verstößt es gegen die Datenschutzgrundverordnung.

2. Zweckbindung

Mit einem Wort: Sei konkret. Unternehmen müssen einen spezifischen und legitimen Grund für die Verarbeitung deiner personenbezogenen Daten haben. Datenverarbeiter müssen ihre Ziele in ihrer Dokumentation festhalten, und wenn sie die Einwilligung als Rechtsgrundlage wählen, müssen sie ihre Absichten eindeutig mitteilen. Wenn sie irgendwann merken, dass die Daten auch für andere Zwecke nützlich wären, ist das Pech. Ein Beispiel: Nehmen wir an Bäcker Heinz, bittet seine Kunden um ihr Einverständnis, ihre E-Mail-Adressen speichern zu dürfen, um ihnen wöchentlich einen E-Mail-Newsletter zu den aktuellen Angeboten seiner Bäckerei zu schicken. Vielleicht möchte er sie später auch noch darüber informieren, dass sein neues Steakhaus eröffnet wird, aber dafür hat er keine Zustimmung. Die Kunden haben nicht zugestimmt, alle möglichen E-Mails von Heinz zu erhalten, sondern nur E-Mails über die Angebote in seiner Bäckerei.

3. Datenminimierung

Nach der DSGVO müssen personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein." Folglich ist die DSGVO darauf ausgerichtet, die Datenerhebung auf das unbedingt erforderliche Minimum zu beschränken. Das bedeutet, dass Unternehmen und ihre für die Datenverarbeitung verantwortlichen Organe nur das Minimum an Daten speichern sollten, das für den jeweiligen Zweck erforderlich ist. Heinz soll zum Beispiel keine Informationen darüber sammeln, ob du deine Ersparnisse in bar oder auf einer Bank aufbewahrst, weil er diese Information einfach nicht braucht, um dich über deine wöchentlichen Verkäufe zu informieren. Das macht erstens Sinn, weil die Art und Weise, wie seine Kunden ihr Geld aufbewahren, Heinz nicht wirklich etwas angeht und zweitens weil: Je weniger Informationen nach außen dringen, wenn jemand Heinz Computer hackt, desto besser.

4. Richtigkeit

Die Richtigkeit der personenbezogenen Daten ist ein wesentlicher Bestandteil des Datenschutzes. Personenbezogene Daten müssen: "sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein". Das bedeutet, dass laut DSGVO alle angemessenen Schritte zu unternehmen sind, "damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden". Datenerhebende müssen systematische Kontrollen durchführen, um veraltete oder alte Kontakte und andere ungenaue oder unvollständige personenbezogene Daten zu korrigieren, zu aktualisieren oder zu löschen. Zur Veranschaulichung: Wenn eine von Heinz Kundinnen (oder Kunden) mit ihrer früheren Geschäftsadresse auf seiner Liste stand, sie aber den Arbeitsplatz gewechselt hat und Heinz bittet, ihre Adresse in seiner Liste zu ändern, ist er gesetzlich dazu verpflichtet, dies zu tun.

5. Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung ist eng mit der Datenminimierung verbunden und soll verhindern, dass die für die Datenverarbeitung Verantwortlichen personenbezogene Daten länger als nötig aufbewahren. Er besagt, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie es notwendig ist, und dass sie danach gelöscht werden müssen. Wenn du zum Beispiel einer Kneipe deine Telefonnummer gibst, damit sie dich benachrichtigen kann, wenn jemand deine verlorenen Schlüssel findet, darf sie deine Nummer nicht aufbewahren, nachdem die Schlüssel gefunden worden sind. Oder, um ein anderes Beispiel zu nennen, wenn Heinz seine Bäckerei schließt, um sich ganz auf sein neues Steakhaus zu konzentrieren, darf er die E-Mail-Adressen seiner ehemaligen Kunden nicht um der "alten Zeiten willen" behalten.

Natürlich sind viele Fälle nicht so eindeutig. Unternehmen müssen vielleicht einige persönliche Daten ihrer ehemaligen Kunden aufbewahren, um Kundenbeschwerden bearbeiten zu können. Banken können nicht alle deine Daten löschen, wenn du deine Konten auflöst, denn sie sind gesetzlich dazu verpflichtet, einige Daten aufzubewahren und sie auf (begründete) Anfrage mit den Behörden zu teilen. Hier geht es darum, dass Datenverantwortliche und -verarbeiter einige Daten möglicherweise länger aufbewahren müssen, aber sie sollten für jedes Häppchen Daten, welches sie gerade speichern, immer eine sehr gute Begründung parat haben.

6. Integrität und Vertraulichkeit

Die Kernaussage dieses Grundsatzes lautet: Bewahre unsere Daten sicher auf, denn deren Sicherheit steht an erster Stelle. Warum? Wie bereits erwähnt, soll Bäcker Heinz zum Beispiel keine irrelevanten und unnötigen Daten über dich sammeln. Wenn also jemand seinen Computer hackt, bleibt der mögliche Schaden für dich relativ gering. Das ist der Sinn der Datenminimierung. Aber selbst bei der Datenminimierung werden viele Unternehmen Daten verarbeiten, die dir schaden oder dich in Bedrängnis bringen können, wenn sie an die Öffentlichkeit gelangen. Denke nur an deine Kreditkartendaten. Oder stell dir vor, dass du politisch sehr aktiv bist und deine Adresse in die falschen Hände gerät. Um solche Probleme zu vermeiden, müssen die für die Datenverarbeitung Verantwortlichen erhebliche Anstrengungen unternehmen, um deine Daten zu schützen. Je gefährlicher diese Daten für dich sein können, desto mehr Aufwand müssen sie betreiben.

7. Rechenschaftspflicht

Der letzte Grundsatz, die Rechenschaftspflicht, kann als übergreifender Satz von Anforderungen gesehen werden, der mit den anderen sechs Grundsätzen zusammenhängt. Er macht deutlich, dass die Verantwortung für die Einhaltung der DSGVO bei denjenigen liegt, die mit den Daten umgehen. Unternehmen müssen das was sie tun ausreichend dokumentieren, um jederzeit nachzuweisen zu können, dass sie die Vorschriften einhalten. Daher ist eine gute Dokumentation der Schlüssel dazu, das Einhalten der Vorschriften zu beweisen, wenn dies von Behörden und Versicherungen verlangt wird. Dazu werden in der Regel verschiedene Maßnahmen ergriffen, z. B. all die kleinen Datenschutzhinweise, die beim Surfen im Internet auftauchen, interne Richtlinien zum Umgang mit Daten, die Aufforderung an Offline-Kunden, Datenschutzhinweise zu lesen und zu unterschreiben usw.

GDPR-Verstöße und Geldbußen

Eines der wichtigsten und meistdiskutierten Elemente der Datenschutzgrundverordnung ist die Möglichkeit der Aufsichtsbehörden, Unternehmen, die sich nicht an die Vorschriften halten, mit hohen Geldstrafen zu belegen. Verstöße gegen die oben beschriebenen Grundsätze können sehr kostspielig werden. Verstöße gegen die nachfolgenden Artikel der DSGVO können zu hohen Geldbußen führen (bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist), aber wenn die Verstöße gegen die Grundprinzipien gerichtet sind, kann ein Unternehmen mit bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr bestraft werdent.