Wer als Verantwortlicher personenbezogene Daten verarbeitet, muss die Grundsätze der DSGVO befolgen. Zudem muss er deren Einhaltung im Zweifel auch auf Anfrage der Aufsichtsbehörde nachweisen können:
Datenminimierung
Nach Art. 5 Abs. 1 lit. c) DSGVO und damit dem Grundsatz der Datenminimierung müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
Zweckbindung
Der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO schreibt vor, dass die Zwecke der Datenverarbeitung bereits bei der Erhebung festgelegt, eindeutig und legitim sein müssen. Diese Zweckbindung findet sich in Art. 6 Abs. 4 DSGVO bei der Prüfung einer möglichen Zweckänderung wieder.
Transparenz
Der Grundsatz der Transparenz ist in Art. 5 Abs. 1 lit. a) DSGVO soll gewährleisten, dass betroffene Personen im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.
Richtigkeit
Nach dem Grundsatz der Richtigkeit müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Art. 5 Abs. 1 lit. d) DSGVO). Das Recht auf Berichtigung nach Art. 16 DSGVO gestaltet diesen Grundsatz aus.
Speicherbegrenzung
Nach Art. 5 Abs. 1 lit. e) DSGVO dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Die Rechte auf Einschränkung der Verarbeitung und auf Löschung (Art. 17 und 18 DSGVO) gestalten diese Anforderung aus.
Rechenschaftspflicht
Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO verantwortlich und muss deren Einhaltung nachweisen können (Art. 5 Abs. 2 DSGVO).
Integrität & Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Hierfür sind geeignete technische und organisatorische Maßnahmen zu implementieren (Art. 5 Abs. 1 lit. f) DSGVO). Art. 25 und 32 DSGVO konkretisieren die Pflicht auf Datenschutz durch Technikgestaltung und Organisation.
Rechtmäßigkeit
Nach Art. 5 Abs. 1 lit. a) DSGVO ist die Verarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn eine der in Art. 6 Abs. 1 lit. a) bis lit. f) DSGVO genannten Voraussetzungen erfüllt ist.
Treu und Glauben
Eine Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung der eigenen personenbezogenen Daten informiert zu werden.