Die DSGVO hat den Daten­schutz nicht neu ge­fun­den. Sie stützt sich auf die seit Jahr­zehn­ten be­währ­ten Grund­prin­zi­pi­en des Datenschutzes.
Die sieben Grund­sät­ze (des BDSG a. F.) waren:
Recht­mä­ßig­keit (Da­ten­ver­ar­bei­tungs­ver­bot mit Er­laub­nis­vor­be­halt), Zweck­bin­dung, Di­rekt­er­he­bung, Da­ten­ver­mei­dung und Da­ten­spar­sam­keit, Er­for­der­lich­keit, Trans­pa­renz und Kontrolle

Die DSGVO über­nahm diese Grund­sät­ze und er­wei­ter­te sie in Teilen. Fol­gen­de Grund­prin­zi­pi­en der DSGVO sind zu be­ach­ten:

Recht­mä­ßig­keit 
Die Ver­ar­bei­tung der Daten muss „recht­mä­ßig“ sein, d. h., es muss min­des­tens eine der Rechts­grund­la­gen i. S. d. Artt. 6 oder 9 (be­son­de­re Da­ten­ka­te­go­rien) oder Art. 10 (straf­recht­lich re­le­van­te Daten) DSGVO gegeben sein. Diese sind z. B. die (frei­wil­li­ge, in­for­mier­te) Ein­wil­li­gung, ein Vertrag, der zwi­schen den Par­tei­en ab­ge­schlos­sen ist/wird, eine recht­li­che Ver­pflich­tung des Ver­ar­bei­ters, le­bens­wich­ti­ge In­ter­es­sen der be­trof­fe­nen Person, öf­fent­li­che In­ter­es­sen oder ein über­wie­gend be­rech­tig­tes In­ter­es­se an der Verarbeitung.

Trans­pa­renz und In­for­ma­ti­on
Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten hat trans­pa­rent zu er­fol­gen. Die na­tür­li­chen Per­so­nen, deren Daten ver­ar­bei­tet werden, sollen Kennt­nis darüber haben, welche kon­kre­ten Da­ten­ka­te­go­rien von welchem Ver­ar­bei­ter für welchen Zweck ver­ar­bei­tet werden. Es sind daher um­fas­sen­de In­for­ma­ti­ons­pflich­ten bei der Er­he­bung und Ver­wen­dung von per­so­nen­be­zo­ge­nen Daten nor­miert. So ist z. B. bei der Ein­wil­li­gung darauf hin­zu­wei­sen, dass die be­trof­fe­ne Person das Recht hat, die Ein­wil­li­gung zu wi­der­ru­fen, und es ist über die Rechte der be­trof­fe­nen Per­so­nen – wie z. B. das Recht auf Aus­kunft, Lö­schung, Da­ten­por­ta­bi­li­tät – zu informieren.

Zweck­bin­dung 
Die Ver­ar­bei­tung der Daten muss einem ein­deu­ti­gen, fest­ge­leg­ten Zweck (Zweck­bin­dung) dienen. Die per­so­nen­be­zo­ge­nen Daten dürfen nur für diesen kon­kre­ten Zweck ver­wen­det werden.

Da­ten­mi­ni­mie­rung 
Da­ten­mi­ni­mie­rung be­deu­tet, dass nur die­je­ni­gen per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden dürfen, die für den kon­kre­ten Zweck er­for­der­lich sind.

Spei­cher­be­gren­zung 
Die Spei­cher­be­gren­zung schreibt vor, dass jeder Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter im Rahmen der ge­setz­li­chen An­for­de­run­gen fest­le­gen muss, wann die Daten zu löschen sind (sofern keine ge­setz­li­che Auf­be­wah­rungs­frist dem ent­ge­gen­steht), bzw. es dürfen per­so­nen­be­zo­ge­ne Daten nur so lange ge­spei­chert werden, wie dies für den Zweck er­for­der­lich ist.

Die steu­er­li­chen auf­be­wah­rungs­pflich­ti­gen Un­ter­la­gen jedes Steu­er­pflich­ti­gen sind in § 147 Ab­ga­ben­ord­nung (AO) auf­ge­lis­tet. Grund­sätz­lich sind sämt­li­che Bücher und Auf­zeich­nun­gen auf­zu­be­wah­ren, soweit diese für die Be­steue­rung von Be­deu­tung sind.

  • Eine zehn­jäh­ri­ge Auf­be­wah­rungs­frist (§ 147 Abs. 2 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG) gilt z. B. für Jah­res­ab­schlüs­se, In­ven­ta­re, Bu­chungs­be­le­ge und Rechnungen.
  • Eine sechs­jäh­ri­ge Auf­be­wah­rungs­frist gilt für alle anderen auf­be­wah­rungs­pflich­ti­gen Ge­schäfts­un­ter­la­gen wie z. B. emp­fan­ge­ne Handels- oder Ge­schäfts­brie­fe, Wie­der­ga­ben der ab­ge­sand­ten Handels- oder Ge­schäfts­brie­fe und sons­ti­ge Un­ter­la­gen, soweit diese für die Be­steue­rung von Be­deu­tung sind.
  • Ös­ter­reich – Auf­be­wah­rungs­fris­ten gemäß Bun­des­ab­ga­ben­ord­nung (BAO) :
    7 Jahre: Buch­hal­tungs­un­ter­la­gen und Auf­zeich­nun­gen (Konten, Belege, Ge­schäfts­pa­pie­re, Auf­stel­lung der Ein­nah­men und Aus­ga­ben etc.)
    12 Jahre: z.B. Un­ter­la­gen und Auf­zeich­nun­gen die Grund­stü­cke be­tref­fen, an­hän­gi­ge Abgaben- oder Gerichtsverfahren.

In­te­gri­tät und Ver­trau­lich­keit 
Dieses Prinzip er­for­dert, dass die In­te­gri­tät der Daten und auch deren Ver­trau­lich­keit zu schüt­zen sind.
In­te­gri­tät und Ver­trau­lich­keit sind Be­grif­fe aus der In­for­ma­ti­ons­si­cher­heit. Das Schutz­ziel In­te­gri­tät be­deu­tet ein durch­gän­gi­ges Funk­tio­nie­ren von IT-Sys­­te­­men sowie eine Voll­stän­dig­keit von Daten und In­for­ma­tio­nen. In­te­gri­tät ist das Ver­hin­dern von nicht ge­neh­mig­ten Ver­än­de­run­gen an wich­ti­gen In­for­ma­tio­nen (z. B. Ein­fü­gen oder Löschen von Zeichen). [1]

Die Grund­sät­ze des Da­ten­schutz­rechts sind er­hal­ten ge­blie­ben, auch wenn es im Detail er­heb­li­che Än­de­run­gen gegeben hat, z. B. der Wegfall der Di­rekt­er­he­bung, oder die Da­ten­rich­tig­keit. Die all­ge­mei­nen Leit­plan­ken des Da­ten­schutz­rechts sind jedoch auch nach der DSGVO im We­sent­li­chen die gleichen.

[1] Vgl. Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik: Leit­fa­den In­for­ma­ti­ons­si­cher­heit, auf: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf

(Autorin: Regina Mühlich berät als Da­ten­schutz­be­ra­te­rin und Com­pli­an­ce Officer na­tio­nal und in­ter­na­tio­nal tätige mit­tel­stän­di­sche Unternehmen.)

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.

09. April 2019

Related Posts

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!

Email schrei­ben
08142 4624920