Welche Daten können unter welchen Umständen verarbeitet werden?

Antwort

Die Art und Anzahl der personenbezogenen Daten, die ein Unternehmen/eine Organisation verarbeiten kann, hängt vom Grund ihrer Verarbeitung (rechtlicher Grund) und der beabsichtigen Nutzung ab. Das Unternehmen/die Organisation muss mehrere wesentliche Vorschriften beachten, unter anderem:

• müssen personenbezogene Daten auf rechtmäßige und nachvollziehbare Weise verarbeitet werden, und gegenüber den Personen, deren Daten verarbeitet werden, muss Fairness gewährleistet sein („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
• müssen bestimmte Zwecke für die Verarbeitung der Daten festgelegt sein und diese Zwecke den Personen, deren Daten Sie erheben, mittgeteilt werden; ein Unternehmen/eine Organisation darf personenbezogene Daten nicht zu unbestimmten Zwecken erheben („Zweckbindung“);
• das Unternehmen/die Organisation darf ausschließlich jene personenbezogenen Daten erheben und verarbeiten, die zur Erfüllung dieses Zwecks erforderlich sind („Datenminimierung“);
• das Unternehmen/die Organisation muss sicherstellen, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand hinsichtlich der Zwecke sind, für die sie verarbeitet werden, und sie berichtigen, wenn dies nicht der Fall ist („Richtigkeit“);
• das Unternehmen/die Organisation darf die personenbezogenen Daten nicht für andere Zwecke nutzen, die nicht mit dem ursprünglichen Zweck der Erhebung vereinbar sind;
• das Unternehmen/die Organisation muss sicherstellen, dass personenbezogene Daten nicht länger als für die Zwecke, für die sie erhoben wurden, erforderlich gespeichert werden („Speicherbegrenzung“);

• das Unternehmen/die Organisation muss angemessene technische und organisatorische Garantien einbauen, mit denen die Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung gewährleistet wird („Integrität und Vertraulichkeit“).

Beispiel

Ihr Unternehmen/Ihre Organisation betreibt ein Reisebüro. Wenn Sie die personenbezogenen Daten Ihrer Kunden erhalten, müssen Sie in einer klaren und einfachen Sprache erklären, weshalb Sie die Daten benötigen, wie Sie sie nutzen und wie lange Sie beabsichtigen, diese aufzubewahren. Die Verarbeitung sollte so angepasst werden, dass die wesentlichen Datenschutzgrundsätze eingehalten werden.

Referenzen

• Artikel 5 Absatz 1; Erwägungsgrund 39
• Stellungnahme 03/2013 der Artikel-29-Datenschutzgruppe zur Zweckbindung (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)