5. Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) | auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 nach Treu und Glauben, Transparenz“);

b) | für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) | dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 notwendige Maß beschränkt sein („Datenminimierung“);

d) | sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. DSGVO Artikel 4 Paragraph 1, die im Hinblick auf die Zwecke ihrer Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) | in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. DSGVO Artikel 4 Paragraph 1 dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) | in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Erwägungsgründe

Erwägungsgrund 39

Jede Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. DSGVO Artikel 4 Paragraph 1 erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 und sonstige Informationen, die eine faire und transparente Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. DSGVO Artikel 4 Paragraph 1 verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. DSGVO Artikel 4 Paragraph 1 auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. DSGVO Artikel 4 Paragraph 2 nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. DSGVO Artikel 4 Paragraph 1 gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Häufig gestellte Fragen die diesen DSGVO Artikel betreffen:

Verhängte Strafen basierend auf diesem Artikel

Vorfall	Land	Betroffene Datensätze	verhängte Geldstrafe
Unerlaubte Aufnahmen auf Toilettenanlage	Österreich	unbekannt	25,000 €
Aufzeichnung von Dashcam in Straßenverkehr	Deutschland	unbekannt	0 €
Unsachgemäße Entsorgungung von Kundendaten und unrechtmäßige Videoüberwachung	Deutschland	unbekannt	6,500 €
Gesundheitsdaten einer Kindergärtnerin	Österreich	1	600 €
Verarbeitung sensibler Daten von Mietinteressenten ohne Rechtsgrundlage	Deutschland	9500	1,900,000 €
972.191 Dateien verschlüsselt nach Ransomware-Angriff	Vereinigtes Königreich	972191	117,295 €
Zweckwidrige Nutzung von Listen zur Kontaktnachverfolgung	Deutschland	unbekannt	170 €
Audio- und Videoüberwachung von Beschäftigten, zu lange Speicherung, inadäquate Sicherheitsmaßnahmen	Deutschland	unbekannt	16,000 €
POLAS-Abfrage zu einem Online-Verkäufer für private Zwecke	Deutschland	1	400 €
Abfragen aus polizeilichen Informationssystemen zu Kollegen	Deutschland	1	500 €
Nutzung des EWO-Systems, um die Adresse der Ex-Partnerin zu ermitteln	Deutschland	1	600 €
Abfragen aus polizeilichen Systemen zu Personen im familiären Umfeld	Deutschland	unbekannt	1,800 €
unverschlüsselte Daten	Italien	unbekannt	40,000 €
40 Supermärkte mit Gesichtserkennung	Spanien	unbekannt	2,520,000 €
Speicherfrist überschritten	Frankreich	mehrere Millionen	1,750,000 €
unrechtmäßige Übermittlungen an Hausärzte	Italien	48	120,000 €
Zu detaillierte Videoüberwachung	Luxemburg	unbekannt	12,500 €
E-Mail Daten frei zugänglich	Großbritannien	550	29,183 €
Übermittlung von Kundendaten trotz Widerspruch	Deutschland	unbekannt	12,500 €
Zahnarzt verweigert Untersuchung	Italien	1	20,000 €
Erstellung von Videoaufnahmen von junger Frauen und Mädchen ohne Rechtsgrundlage	Deutschland	unbekannt	5,000 €
Datenschutzstrafe gegen Vfb Stuttgart	Deutschland	70000	300,000 €
Übermittlung eines Gesundheitsdatums eines Beschäftigten an über 3.000 Kunden ohne Rechtsgrundlage	Deutschland	1	10,110 €
Strafe gegen Computer-Versandhandel	Deutschland	unbekannt	10,400,000 €
Geldstrafe gegen italienische Gemeinde	Italien	1	4,000 €
Ticketmaster UK Limited – Hackerangriff	Großbritannien	9400000	1,392,525 €
DSGVO Geldstrafe nach Facebook-Posting	Österreich	unbekannt	600 €
Allseas MARINE S.A. – 15.000 Euro Bußgeld	Griechenland	unbekannt	15,000 €
Eni gas e luce SpA – 11,5 Mio. Bußgeld	Italien	7200	11,500,000 €
SC Enel Energie SA – 6000 Euro Geldstrafe	Rumänien		6,000 €
Entirly Shipping & Trading SRL – 10.000 Euro Bußgeld	Rumänien		10,000 €
Hora Credit IFN SA – 14.000 Euro Bußgeld	Rumänien	unbekannt	14,000 €
Österreichische Post: 18 Millionen DSGVO-Strafe	Österreich	3 Mio.	18,000,000 €
DSGVO Strafe für neuen Eigentümer von Delivery Hero	Deutschland	unbekannt	195,407 €
DSGVO Strafe für Händler	Belgien	unbekannt	10,000 €
Strafe wegen Verarbeitung von Personaldaten	Griechenland	unbekannt	150,000 €
Strafe gegen Finanzinstitut in Bulgarien	Bulgarien	unbekannt	5,100 €
Italien: Strafe für Facebook	Italien	57	1,000,000 €
Strafe gegen rumänische Bank	Rumänien	337 042	130,000 €
Deutschland: DSGVO Strafe für Polizist	Deutschland	1	1,400 €
Spanien: Fußball-App spioniert Fans aus	Spanien	unbekannt	250,000 €
Strafe wegen fehlender Löschfristen	Dänemark	385000	201,000 €
Belgien: Bürgermeister verstößt gegen DSGVO für Wahlkampf	Belgien	unbekannt	2,000 €
Strafe gegen Immobilienkanzlei	Frankreich	29440	400,000 €
Litauen: Datenschutzverletzung bei Zahlungsdienstleister	Litauen	9.000	61,500 €
Polen: DSGVO Strafe für Sportverband	Polen	585	12,950 €
Strafe gegen Zeitung auf Zypern	Zypern	5	3,000 €
Geldstrafe gegen Bounty Limited	Großbritannien	34 267 889	465,000 €
Strafe gegen True Vision Productions	Großbritannien	1990	140,000 €
Strafe gegen Arztpraxis	Bulgarien	1	500 €
Italien: Energiefirma verstößt gegen DSGVO	Italien	unbekannt	2,018,000 €
Geldstrafe gegen Bisnode Polska	Polen	5 700 000	220,000 €
Strafe gegen bulgarische Beratungsfirma	Bulgarien	1	5,000 €
Strafe gegen Jusos Baden-Württemberg	Deutschland	168	2,500 €
Erste DSGVO Strafe in Dänemark	Dänemark	8873333	161,000 €
Strafe wegen verweigerter Datenauskunft	Ungarn	1	3,200 €
Datenfriedhof: 14.5 Millionen Euro Strafe	Deutschland	unbekannt	14,500,000 €
Strafe gegen Telefonanbieter	Bulgarien	1	27,000 €
Strafe gegen Privatperson	Deutschland	160	2,628 €
Strafe gegen Autovermietung	Tschechien	unbekannt	1,200 €
Strafe wegen fehlender Aktenschredderung	Tschechien	300	1,200 €
CNIL verhängt Strafe von 50 Millionen über Google	Frankreich	unbekannt	50,000,000 €
Strafe für Carphone Warehouse wegen mangelnden Datenschutz	Großbritannien	3 348 869	460,000 €
Strafe wegen irrtümlicher Veröffentlichung von Gesundheitsdaten	Deutschland	unbekannt	80,000 €
Strafe wegen unzulässiger Videoüberwachung	Österreich	unbekannt	2,200 €
Strafe gegen bulgarische Bank	Bulgarien	1	500 €
Strafe gegen Uber	Großbritannien	2 700 000	440,000 €
Frankreich: DSGVO Verstoß in Beratungsbüro	Frankreich	unbekannt	20,000 €
Strafe gegen Privatperson wegen Dashcam	Österreich	unbekannt	330 €
Unzulässige Videoüberwachung auf Firmengelände	Zypern	unbekannt	5,000 €
Strafe gegen britische Bibelgesellschaft	Großbritannien	417 000	115,000 €
Zypern: DSGVO Strafe für Infocredit	Zypern	unbekannt	25,000 €

Kapitel II Grundsätze