Das zeigen wir Ihnen anhand des Beispiels eines Steuerberaters, der Firmenkunden betreut. Er beschäftigt Angestellte für die Klientenbuchhaltung, Lohnverrechnung, Beratung und IT sowie an der Rezeption.

Die 6 Grundsätze der DSGVO

Über die Entstehung der DSGVO und Ihre Bedeutung haben wir Sie bereits informiert. In dem Artikel 5 der DSGVO werden nun 6 Grundsätze genannt, die vorschreiben, wie mit personenbezogenen Daten umzugehen ist. Das steckt dahinter:

#1 Rechtmäßigkeit & Nachvollziehbarkeit

Der erste Grundsatz schreibt vor, dass Sie mit personenbezogenen Daten rechtmäßig umgehen müssen. Laut DSGVO sollen Sie “nach Treu und Glauben”, also nach bestem Wissen und Gewissen handeln. Die Verarbeitung der Daten sollte für Ihre Kunden nachvollziehbar sein. Also seien Sie so transparent wie möglich, wenn es darum geht, sie darüber zu informieren, was mit den Daten passiert.

Beispiel:

Der Steuerberater sollte sicherstellen, dass eine vollständige Datenschutzerklärung auf seiner Webseite Klienten und Klientinnen über die Verarbeitung sowie die Löschung ihrer Daten informiert. Auch bei Vertragsabschluss sollte eine ausreichende Information über den Schutz der Daten kommuniziert werden

#2 Zweckbindung

Im zweiten Grundsatz geht es darum, wofür die gesammelten Daten genau verwendet werden. Der Zweck muss eindeutig sein, um die Verarbeitung der personenbezogenen Daten zu legitimieren. Die Daten dürfen für keine anderen Zwecke verwendet werden.

Beispiel:

Der Steuerberater darf die Adressdaten seiner Klienten und Klientinnen nur verwenden, um Rechnungen auszustellen. Sie dürfen beispielsweise nicht im Rahmen einer Marketingmaßnahme analysiert und ausgewertet werden.

#3 Datenminimierung

Sie dürfen im Rahmen des dritten Grundsatzes nur das Nötigste an Informationen von Ihren Nutzern sammeln. Fragen Sie innerhalb eines Kontaktformulars also nur die Informationen ab, die Sie wirklich für die Durchführung der Dienstleistung benötigen.

Beispiel:

Auf der Webseite des Steuerbüros können Klienten und Klientinnen einen Termin vereinbaren. Dafür sind Name, E-Mail-Adresse sowie Telefonnummer relevant, jedoch muss der Steuerberater nicht die Adresse der Nutzer erfahren.

#4 Richtigkeit & Aktualität

Personenbezogene Daten müssen laut dem vierten Grundsatz sachlich richtig und aktuell geführt werden. Stellen Sie also sicher, dass sich keine Fehler eingeschlichen haben und sollten Sie doch darauf hingewiesen werden, dass Daten nicht mehr stimmen, müssen Sie diese unverzüglich berichtigen oder löschen.

Beispiel:

Eine Klientin informiert Ihren Steuerberater über eine Änderung Ihrer Telefonnummer. Diese sollte unverzüglich im System aktualisiert werden. Seine Mitarbeiter sollten außerdem zur DSGVO geschult werden, damit ein Verzeichnis der Verarbeitungstätigkeiten ordnungsgemäß erstellt werden kann.

#5 Speicherbegrenzung

Der fünfte Grundsatz besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck erforderlich ist. Danach sollte eine Identifizierung der betroffenen Personen anhand dieser Daten nicht mehr möglich sein.

Beispiel:

Beendet ein Klient das Arbeitsverhältnis mit dem Steuerberater, muss sichergestellt werden, dass keine personenbezogenen Daten mehr auf dem Server des Steuerbüros gespeichert sind, die den Klienten persönlich identifizieren können. Mitarbeiter sollten sich außerdem im Rahmen einer Geheimhaltungserklärung verpflichten, keine vertraulichen Kundendaten weiterzugeben.

Ausnahmen der Speicherbegrenzung besteht bei Unternehmen die im öffentlichen Interesse, für Archivzwecke oder für wissenschaftliche und historische Forschungszwecke arbeiten.

#6 Integrität & Vertraulichkeit

Der sechste und letzte Grundsatz schreibt vor, dass personenbezogene Daten ausreichend geschützt werden müssen. Sie müssen eine angemessene Sicherheit der Daten garantieren, sodass Unbefugte darauf keinen Zugriff haben.

Beispiel:

Die IT-Abteilung des Steuerberaters sollte sicherstellen, dass die personenbezogenen Daten ausreichend durch Passwörter und Verschlüsselungen geschützt sind. Das Steuerbüro sollte ausschließlich lizenzierte Anwendungen und Programme verwenden und regelmäßige Scans der Sicherheitslücken durchführen.

Sie sind in der Rechenschaftspflicht

Artikel 5 der DSGVO gilt also nicht nur für Firmen, die tagtäglich große Mengen an personenbezogenen Daten verarbeiten, sondern ist auf jedes Unternehmen und Ihre Webseite anwendbar. Nehmen Sie die sechs Grundsätze ernst und stellen Sie sicher, dass Sie und Ihre Mitarbeiter über die rechtmäßige Verarbeitung personenbezogener Daten ausreichend Bescheid wissen. Im Rahmen der Verordnung müssen die Verantwortlichen nämlich nachweisen können, dass die Grundsätze eingehalten worden sind. Hier greifen die in der DSGVO festgelegten Rechenschaftspflichten.