DSGVO Artikel 5: Schlüsselprinzipien und 6 Best Practices zur Einhaltung

Was ist Artikel 5 der DSGVO?

Artikel 5 der DSGVO legt die wichtigsten Grundsätze der Datenschutz-Grundverordnung (DSGVO) fest, dem wichtigsten Datenschutzrahmen der Europäischen Union. Diese Grundsätze betonen, wie Organisationen mit personenbezogenen Daten umgehen sollten, um eine ethische und rechtmäßige Nutzung zu gewährleisten.

Artikel 5 dient Organisationen als Leitfaden für die angemessene Verarbeitung personenbezogener Daten. Er stellt sicher, dass der Datenerhebungsprozess die Privatsphäre des Einzelnen nur minimal gefährdet. Seine Grundsätze sollen die Rechte des Einzelnen an seinen personenbezogenen Daten schützen und den Datenschutz zu einem zentralen Bestandteil der Geschäftspraktiken machen.

Zu Ihrer Information finden Sie nachstehend die wichtigen Bestimmungen von Artikel 5 der DSGVO:

„Personenbezogene Daten sind:

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person transparenten Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Erreichung des Zwecks der Verarbeitung erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, sofern die personenbezogenen Daten ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden und die geeigneten technischen und organisatorischen Maßnahmen dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person getroffen werden („Speicherbegrenzung“);

(f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).“

Erfahren Sie mehr über die Auswirkungen von KI auf die Cybersicherheit: KI-Cybersicherheit: Schutz von KI-Systemen vor Cyberbedrohungen.

Grundprinzipien von Artikel 5

Rechtmäßigkeit, Fairness und Transparenz

Rechtmäßigkeit, Fairness und Transparenz sind miteinander verbundene Grundsätze, die die Art und Weise der Verarbeitung personenbezogener Daten bestimmen:

• Rechtmäßigkeit bedeutet, dass die Datenverarbeitungsaktivitäten auf einer Rechtsgrundlage gemäß der DSGVO beruhen müssen.
• Fairness bedeutet, dass verarbeitete Daten nicht irreführend verwendet werden oder Einzelpersonen schaden dürfen.
• Transparenz erfordert, dass die betroffenen Personen umfassend darüber informiert werden, wie ihre Daten verwendet werden, wer sie verwendet und zu welchen Zwecken. So wird sichergestellt, dass keine versteckten Absichten dahinterstecken.

Das Prinzip der Transparenz ist entscheidend für den Aufbau und Erhalt von Vertrauen. Verantwortliche müssen klare und zugängliche Informationen über die Datenverarbeitung bereitstellen. Dazu gehört die detaillierte Angabe der erhobenen Datenarten, der Zwecke der Datenerhebung und der Verarbeitungsmethoden. Transparenz erleichtert zudem Audits und behördliche Kontrollen.

Zweckbindung

Zweckbindung bedeutet, dass personenbezogene Daten ausschließlich für eindeutige, legitime und festgelegte Zwecke erhoben werden dürfen. Organisationen dürfen nicht von den ursprünglich festgelegten Zielen abweichen, für die die Daten erhoben wurden, ohne erneut die Einwilligung der betroffenen Personen einzuholen. Dieses Prinzip verhindert, dass Daten für sekundäre, nicht autorisierte Zwecke verwendet werden, die möglicherweise gegen die Rechte des Einzelnen verstoßen.

Die Umsetzung der Zweckbindung erfordert regelmäßige Überprüfungen, um sicherzustellen, dass die Datennutzung den erklärten Zwecken entspricht. Jede Änderung des beabsichtigten Zwecks sollte dokumentiert werden, und es sollten geeignete Maßnahmen ergriffen werden, um die betroffenen Personen zu informieren und gegebenenfalls eine neue Einwilligung einzuholen.

Datenminimierung

Datenminimierung bedeutet, nur die Daten zu sammeln, die für die angegebenen Zwecke erforderlich sind. Sie verhindert, dass Organisationen übermäßige oder irrelevante Informationen sammeln, die zusätzliche Risiken für die Privatsphäre von Einzelpersonen darstellen können.

Durch die Minimierung des Umfangs der erhobenen Daten soll der potenzielle Schaden durch Datenschutzverletzungen oder -missbrauch gemindert werden. Dieses Prinzip ist mit den Konzepten „Privacy by Design“ und „Privacy by Default“ verknüpft und stellt sicher, dass der Datenschutz von Anfang an integriert ist.

Die Einhaltung der Datenminimierung umfasst Datenmapping und Audits, um die wesentlichen Daten zu identifizieren. Unternehmen müssen sicherstellen, dass Formulare und Prozesse zur Datenerfassung die Erfassung unnötiger Informationen vermeiden. Darüber hinaus sind konsequentes Monitoring und regelmäßige Evaluierungen erforderlich, um sich an veränderte Geschäftsanforderungen anzupassen und gleichzeitig die Datenerfassung auf das absolute Minimum zu beschränken.

Genauigkeit

Der Grundsatz der Richtigkeit besagt, dass personenbezogene Daten korrekt und, falls erforderlich, aktuell sein müssen. Organisationen sind dafür verantwortlich, ungenaue oder unvollständige Daten umgehend zu korrigieren. Um die Richtigkeit zu gewährleisten, müssen Organisationen Mechanismen zur regelmäßigen Aktualisierung und Überprüfung personenbezogener Daten einrichten.

Um die Genauigkeit zu gewährleisten, ist die Implementierung eines Datenmanagementsystems mit Validierungsprüfungen und Diskrepanzberichten erforderlich. Unternehmen können dies erleichtern, indem sie den Datensubjekten die einfache Aktualisierung ihrer Informationen ermöglichen. Regelmäßige Audits und Feedbackschleifen sind ebenfalls unerlässlich, um Ungenauigkeiten rechtzeitig zu erkennen und zu korrigieren.

Speicherbeschränkung

Die Speicherbegrenzung besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Nach Ablauf dieser Frist müssen die Daten gelöscht oder anonymisiert werden, um die Privatsphäre des Einzelnen zu schützen. Dieses Prinzip zielt darauf ab, die mit einer längeren Datenspeicherung verbundenen Risiken, wie unbefugten Zugriff oder Missbrauch, zu minimieren.

Die Einhaltung der Speicherbeschränkung erfordert die Festlegung klarer Richtlinien zur Datenaufbewahrung, die Aufbewahrungsfristen für verschiedene Datentypen festlegen. Es ist wichtig, gespeicherte Daten regelmäßig zu überprüfen und nicht mehr benötigte Informationen zu entfernen oder zu anonymisieren. Automatisierte Systeme können diesen Prozess optimieren und die konsequente Durchsetzung von Aufbewahrungsfristen erleichtern.

Integrität und Vertraulichkeit

Integritäts- und Vertraulichkeitsprinzipien schreiben vor, dass personenbezogene Daten so verarbeitet werden müssen, dass ihre Sicherheit gewährleistet ist. Integrität bezieht sich auf die Richtigkeit und Vollständigkeit der Daten, während Vertraulichkeit den Schutz der Daten vor unbefugtem Zugriff und Verletzungen beinhaltet. Unternehmen müssen sowohl technische als auch organisatorische Maßnahmen zum Schutz ihrer Daten ergreifen, wie z. B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.

Um Integrität und Vertraulichkeit zu gewährleisten, sollten Unternehmen Sicherheitsprotokolle etablieren und ihre Mitarbeiter regelmäßig schulen. Dazu gehört die Sensibilisierung für bewährte Sicherheitspraktiken und die Aktualisierung von Systemen und Software, um potenzielle Bedrohungen zu bekämpfen. Darüber hinaus sollten Notfallpläne vorhanden sein, um Sicherheitsverletzungen schnell zu beheben.

6 Best Practices zur Einhaltung von Artikel 5 der DSGVO

1. Identifizieren und dokumentieren Sie eine Rechtsgrundlage für jede Verarbeitungsaktivität

Um Artikel 5 der DSGVO zu erfüllen, müssen Unternehmen für jede Datenverarbeitungsaktivität eine legitime Rechtsgrundlage ermitteln und dokumentieren. Dazu muss der Zweck der Datenerhebung bewertet und sichergestellt werden, dass dieser mit einer der in der DSGVO festgelegten Rechtsgrundlagen übereinstimmt, z. B. Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigte Interessen.

Eine effektive Umsetzung erfordert die Führung detaillierter Aufzeichnungen, die die Rechtsgrundlagen der Datenverarbeitungsaktivitäten darlegen. Diese Aufzeichnungen sollten leicht zugänglich sein und bei Bedarf aktualisiert werden, um Änderungen der Datenverarbeitungszwecke oder rechtlichen Anforderungen Rechnung zu tragen.

2. Stellen Sie klare und zugängliche Informationen zu Datenverarbeitung bereit

Organisationen müssen klare und zugängliche Informationen über ihre Datenverarbeitungsaktivitäten bereitstellen, um die Einhaltung von Artikel 5 der DSGVO zu gewährleisten. Eine klare Kommunikation trägt zum Aufbau von Vertrauen bei und stellt sicher, dass die betroffenen Personen sich ihrer Rechte und der Pflichten der Organisation bewusst sind.

Eine effektive Kommunikation kann durch Datenschutzhinweise, Geschäftsbedingungen und benutzerfreundliche Oberflächen erreicht werden, die Details der Datenverarbeitung hervorheben. Diese sollten in einfacher Sprache verfasst und auf der Website des Unternehmens oder über andere Kommunikationskanäle leicht zugänglich sein. Darüber hinaus sollten Unternehmen diese Informationen regelmäßig aktualisieren, um Änderungen der Datenverarbeitungsaktivitäten zu berücksichtigen.

3. Richten Sie Verfahren ein, um die Genauigkeit und Aktualität Personenbezogene Daten zu gewährleisten

Um die Richtigkeit personenbezogener Daten und die Einhaltung von Artikel 5 der DSGVO zu gewährleisten, sollten Unternehmen Verfahren zur Aktualisierung der Daten einrichten. Dazu gehören regelmäßige Audits und Validierungsprozesse zur Überprüfung der Datengenauigkeit und -vollständigkeit. Unternehmen sollten außerdem Mechanismen bereitstellen, mit denen betroffene Personen ihre personenbezogenen Daten einfach aktualisieren oder korrigieren können.

Unternehmen können automatisierte Systeme zur Datenvalidierung und Diskrepanzberichterstattung einsetzen, um die Aufrechterhaltung präziser Daten zu optimieren. Regelmäßige Schulungen für Mitarbeiter zur Bedeutung präziser Daten und die Erstellung klarer Richtlinien für die Aktualisierung von Informationen sind ebenfalls unerlässlich.

4. Richtlinien zur Datenaufbewahrung entwickeln und durchsetzen

Die Entwicklung und Durchsetzung von Richtlinien zur Datenaufbewahrung ist für die Einhaltung der DSGVO unerlässlich. Diese Richtlinien legen fest, wie lange personenbezogene Daten gespeichert werden sollen, und liefern Kriterien für die Festlegung der erforderlichen Aufbewahrungsfristen. Nach Ablauf der festgelegten Frist sollten die Daten gelöscht oder anonymisiert werden. Angemessene Richtlinien zur Datenaufbewahrung tragen dazu bei, die mit einer längeren Datenspeicherung verbundenen Risiken wie Datenschutzverletzungen oder unbefugten Zugriff zu minimieren.

Unternehmen sollten regelmäßig Überprüfungen und Audits der gespeicherten Daten durchführen, um die Einhaltung der Aufbewahrungsrichtlinien sicherzustellen. Die Implementierung automatisierter Systeme kann die konsequente Durchsetzung dieser Richtlinien unterstützen, indem sie nach Ablauf der Aufbewahrungsfristen Datenlösch- oder Anonymisierungsprozesse auslösen. Eine klare Dokumentation der Datenaufbewahrungsverfahren ist zudem entscheidend, um die Einhaltung der Vorschriften bei Audits und behördlichen Prüfungen nachzuweisen.

5. Implementieren Sie geeignete technische und organisatorische Sicherheitsmaßnahmen

Um Artikel 5 der DSGVO einzuhalten, müssen Unternehmen geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen. Dazu gehören Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen, um unbefugten Zugriff und Datenschutzverletzungen zu verhindern.

Regelmäßige Schulungen und Sensibilisierungsprogramme für Mitarbeiter zu bewährten Datenschutzpraktiken sind für die Aufrechterhaltung einer starken Sicherheitslage unerlässlich. Unternehmen sollten außerdem über einen Notfallplan verfügen, um potenzielle Verstöße schnell beheben zu können.

6. Überprüfen Sie Legacy-Systeme und stellen Sie die ordnungsgemäße Datenlöschung sicher

Viele Organisationen verfügen über ältere Systeme, die personenbezogene Daten auf eine Weise speichern, die möglicherweise nicht den aktuellen DSGVO-Standards entspricht. Eine gründliche Prüfung dieser Systeme ist notwendig, um nicht mehr benötigte gespeicherte Daten zu identifizieren und Verfahren für deren sichere Löschung zu etablieren.

Um eine ordnungsgemäße Datenlöschung zu gewährleisten, müssen Mechanismen eingerichtet werden, um veraltete oder redundante Daten dauerhaft aus allen Systemen, einschließlich Backups, zu entfernen. Unternehmen sollten automatisierte Datenlöschprozesse implementieren, um sicherzustellen, dass die Richtlinien zur Datenaufbewahrung plattformübergreifend einheitlich angewendet werden. Regelmäßige Audits und Überwachungen sollten durchgeführt werden, um sicherzustellen, dass Legacy-Systeme Daten nicht versehentlich über ihren vorgesehenen Lebenszyklus hinaus speichern.

7. Schulen Sie Ihre Mitarbeiter in der Bedeutung der Erfassung minimaler Daten

Die Schulung der Mitarbeiter zur Bedeutung der Datenminimierung ist für die Einhaltung der DSGVO von entscheidender Bedeutung. Dabei geht es darum, die Mitarbeiter über den Grundsatz aufzuklären, nur die für bestimmte Zwecke notwendigen Daten zu erheben. Durch das Verständnis der Bedeutung der Datenminimierung können Mitarbeiter fundierte Entscheidungen darüber treffen, welche Daten erhoben werden sollen, und so die Risiken einer übermäßigen Datenerfassung reduzieren.

Organisationen können regelmäßige Schulungen und Workshops durchführen, um das Konzept der Datenminimierung zu stärken. Die Bereitstellung klarer Richtlinien und Best Practices für die Datenerfassung kann den Mitarbeitern ebenfalls bei der Umsetzung dieses Prinzips helfen.

DSGVO-Konformität mit Exabeam

Exabeam unterstützt Unternehmen dabei, sowohl die technologischen als auch die betrieblichen Anforderungen der DSGVO zu erfüllen, darunter:

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt maschinelles Lernen und Verhaltensanalysen, um ungewöhnliche Aktivitäten zu identifizieren, die auf den Versuch eines Angreifers hindeuten könnten, Daten zu finden und darauf zuzugreifen. Die Bedrohungszeitleisten Exabeam kombinieren Ereignisse aus Anomalien und Korrelationsregeln, um Ereignisse nach Benutzer oder Gerät zu gruppieren.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenzielle Vorfälle zu erkennen, die zu Datendiebstahl führen könnten. Ideale Protokollquellen, die Anwendungsfällen zugeordnet sind, und das MITRE ATT&CK ^Ⓡ-Framework zeigen, welche Tools im Sicherheitsarsenal kombiniert werden können, um ein klares Bild der Ereignisse zu zeichnen.

Visualisierung und Dashboards: Exabeam bietet klare, Compliance-basierte DSGVO-Dashboards zum einfachen Herunterladen, Exportieren oder regelmäßigen Versenden per E-Mail zur Unterstützung der DSGVO-Vorgaben und der Anforderungen des Datenschutzbeauftragten.