Die DSGVO hat den Datenschutz nicht neu gefunden. Sie stützt sich auf die seit Jahrzehnten bewährten Grundprinzipien des Datenschutzes.
Die sieben Grundsätze (des BDSG a. F.) waren:
Rechtmäßigkeit (Datenverarbeitungsverbot mit Erlaubnisvorbehalt), Zweckbindung, Direkterhebung, Datenvermeidung und Datensparsamkeit, Erforderlichkeit, Transparenz und Kontrolle
Die DSGVO übernahm diese Grundsätze und erweiterte sie in Teilen. Folgende Grundprinzipien der DSGVO sind zu beachten:
Rechtmäßigkeit
Die Verarbeitung der Daten muss „rechtmäßig“ sein, d. h., es muss mindestens eine der Rechtsgrundlagen i. S. d. Artt. 6 oder 9 (besondere Datenkategorien) oder Art. 10 (strafrechtlich relevante Daten) DSGVO gegeben sein. Diese sind z. B. die (freiwillige, informierte) Einwilligung, ein Vertrag, der zwischen den Parteien abgeschlossen ist/wird, eine rechtliche Verpflichtung des Verarbeiters, lebenswichtige Interessen der betroffenen Person, öffentliche Interessen oder ein überwiegend berechtigtes Interesse an der Verarbeitung.
Transparenz und Information
Die Verarbeitung personenbezogener Daten hat transparent zu erfolgen. Die natürlichen Personen, deren Daten verarbeitet werden, sollen Kenntnis darüber haben, welche konkreten Datenkategorien von welchem Verarbeiter für welchen Zweck verarbeitet werden. Es sind daher umfassende Informationspflichten bei der Erhebung und Verwendung von personenbezogenen Daten normiert. So ist z. B. bei der Einwilligung darauf hinzuweisen, dass die betroffene Person das Recht hat, die Einwilligung zu widerrufen, und es ist über die Rechte der betroffenen Personen – wie z. B. das Recht auf Auskunft, Löschung, Datenportabilität – zu informieren.
Zweckbindung
Die Verarbeitung der Daten muss einem eindeutigen, festgelegten Zweck (Zweckbindung) dienen. Die personenbezogenen Daten dürfen nur für diesen konkreten Zweck verwendet werden.
Datenminimierung
Datenminimierung bedeutet, dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die für den konkreten Zweck erforderlich sind.
Speicherbegrenzung
Die Speicherbegrenzung schreibt vor, dass jeder Verantwortliche und Auftragsverarbeiter im Rahmen der gesetzlichen Anforderungen festlegen muss, wann die Daten zu löschen sind (sofern keine gesetzliche Aufbewahrungsfrist dem entgegensteht), bzw. es dürfen personenbezogene Daten nur so lange gespeichert werden, wie dies für den Zweck erforderlich ist.
Die steuerlichen aufbewahrungspflichtigen Unterlagen jedes Steuerpflichtigen sind in § 147 Abgabenordnung (AO) aufgelistet. Grundsätzlich sind sämtliche Bücher und Aufzeichnungen aufzubewahren, soweit diese für die Besteuerung von Bedeutung sind.
- Eine zehnjährige Aufbewahrungsfrist (§ 147 Abs. 2 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG) gilt z. B. für Jahresabschlüsse, Inventare, Buchungsbelege und Rechnungen.
- Eine sechsjährige Aufbewahrungsfrist gilt für alle anderen aufbewahrungspflichtigen Geschäftsunterlagen wie z. B. empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe und sonstige Unterlagen, soweit diese für die Besteuerung von Bedeutung sind.
- Österreich – Aufbewahrungsfristen gemäß Bundesabgabenordnung (BAO) :
7 Jahre: Buchhaltungsunterlagen und Aufzeichnungen (Konten, Belege, Geschäftspapiere, Aufstellung der Einnahmen und Ausgaben etc.)
12 Jahre: z.B. Unterlagen und Aufzeichnungen die Grundstücke betreffen, anhängige Abgaben- oder Gerichtsverfahren.
Integrität und Vertraulichkeit
Dieses Prinzip erfordert, dass die Integrität der Daten und auch deren Vertraulichkeit zu schützen sind.
Integrität und Vertraulichkeit sind Begriffe aus der Informationssicherheit. Das Schutzziel Integrität bedeutet ein durchgängiges Funktionieren von IT-Systemen sowie eine Vollständigkeit von Daten und Informationen. Integrität ist das Verhindern von nicht genehmigten Veränderungen an wichtigen Informationen (z. B. Einfügen oder Löschen von Zeichen). [1]
Die Grundsätze des Datenschutzrechts sind erhalten geblieben, auch wenn es im Detail erhebliche Änderungen gegeben hat, z. B. der Wegfall der Direkterhebung, oder die Datenrichtigkeit. Die allgemeinen Leitplanken des Datenschutzrechts sind jedoch auch nach der DSGVO im Wesentlichen die gleichen.
[1] Vgl. Bundesamt für Sicherheit in der Informationstechnik: Leitfaden Informationssicherheit, auf: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf
(Autorin: Regina Mühlich berät als Datenschutzberaterin und Compliance Officer national und international tätige mittelständische Unternehmen.)
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
09. April 2019