Jeder Mitarbeiter muss sich verpflichten, die datenschutzrechtlichen Anforderungen der DSGVO einzuhalten. (Art. 5 DSGVO)
Personenbezogene Daten müssen
- auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Das heißt im Klartext:
- Jeder darf nur dann die persönlichen Daten eines anderen verwenden, wenn es gesetzlich erlaubt ist und man auch erklären kann, warum die Daten benötigt werden.
- Ich muss begründen, warum ich die Daten brauche und den Zweck ganz genau beschreiben. Dann darf ich die Daten aber auch nur ganz genau für diesen Zweck verwenden.
Wenn ich beispielsweise die Erlaubnis habe, Emails für die Versendung meiner Rechnungen zu speichern und zu verwenden, darf ich die Email-Adressen nicht an jemanden weitergeben, der seinen Newsletter an die Adresse versenden möchte. - Ich darf nur die Daten speichern, die ich wirklich benötige. Um jemandem ein Angebot für eine Dachreparatur zu machen, brauche ich sicherlich Name und Kontaktdaten. Vielleicht noch das Geburtsdatum, um mich zu vergewissern, dass mein Kunde geschäftsfähig ist. Aber ganz bestimmt brauche ich weder seine Nationalität oder die Religion, der er angehört.
- Ich muss dafür sorgen, dass die Daten richtig sind und sie aktuell halten. Falsche Daten muss ich korrigieren oder löschen.
- Ich muss die Daten so speichern oder aufbewahren, dass die Person, die hinter den Daten steckt, nur so lange über die Informationen identifiziert werden kann, wie es tatsächlich für den Zweck nötig ist, für den ich die Daten brauche.
- und sie müssen so geschützt werden, dass niemand Einblick in die Daten erhält, sie verändern oder löschen kann, der es nicht darf. Sie müssen auch so sicher aufbewahrt werden, dass sie auch nicht versehentlich verloren gehen, beschädigt oder zerstört werden können.