hängig (d.h. Texte, Fotos, Audiodateien
etc.) und müssen weder wahr noch be-
wiesen sein. Unter besonderem Schutz
stehen zudem besondere Kategorien
personenbezogener Daten i.S.d. Art. 9
(Daten, aus denen die rassische und eth-
nische Herkunft, politische Meinung,
religiöse oder weltanschauliche Über-
zeugung, Gewerkschaftszugehörigkeit
hervorgehen, aber auch genetische und
biometrische Daten, Gesundheitsdaten
sowie Daten zur sexuellen Orientie-
rung) sowie personenbezogene Daten
über strafrechtliche Verurteilungen und
Straftaten i.S.d. Art. 10.
Zudem sind die in Art. 5 Abs. 1
dargestellten Grundsätze für die
Verarbeitung einzuhalten:
Daten müssen auf rechtmäßige
Weise, nach Treu und Glauben und
© RICHLEGG/ISTOCK
Die DSGVO
bezieht sich auf
die Verarbeitung
personenbezo-
gener Daten.
in einer für die betroffene Person
nachvollziehbaren Weise verarbeitet
werden (Grundsatz der Rechtmä-
ßigkeit, Verarbeitung nach Treu
und Glauben, Transparenz): dies
betrifft vor allem eine genaue Ana-
lyse der Rechtfertigungsgründe so-
wie Informationspflichten an die
betroffene Person.
Daten müssen für festgelegte, ein-
deutige und legitime Zwecke erho-
ben werden; eine außerhalb dieser
Grundsätze erfolgende Weiterver-
arbeitung ist unzulässig (Grundsatz
der Zweckbindung): hier sollte ins-
besondere dokumentiert werden, zu
welchen konkreten Zwecken (z.B.
Durchführung der Personalverrech-
nung) Daten erhoben und weiter-
verarbeitet werden. Ganz allgemein
gehaltene Zwecke (z.B. Unterneh-
mensbetrieb) reichen nicht aus.
Die Verarbeitung muss dem Zweck
angemessen sein und auf das not-
wendige Maß beschränkt werden
(Grundsatz der Datenminimie-
rung): es gilt daher genau zu analy-
sieren, welche Daten für den Zweck
der Verarbeitung unbedingt erfor-
derlich sind.
Daten müssen sachlich richtig und
falls erforderlich auf dem neuesten
Stand sein. Unrichtige Daten müs-
sen durch Einführung geeigneter
Maßnahmen gelöscht oder berich
tigt werden (Grundsatz der Richtig-
keit).
Daten müssen in einer Form gespei-
chert werden, die die Identifizierung
der betroffenen Person nur so lange
ermöglicht, wie es für die jeweiligen
Zwecke erforderlich ist (Grundsatz
der Speicherbegrenzung).
Daten dürfen nur in einer Weise
verarbeitet werden, die eine ange-
messene Sicherheit gewährleistet.
Dabei muss insbesondere durch
geeignete technische und organisa-
torische Maßnahmen sichergestellt
sein, dass die Daten vor unbefugter
oder unrechtmäßiger Verarbeitung,
vor unbeabsichtigtem Verlust, un-
beabsichtigter Zerstörung oder
unbeabsichtigter Schädigung ge-
schützt werden (Grundsatz der In-
tegrität und Vertraulichkeit).
Diese Grundsätze können schon bei
der Erstellung des Verzeichnisses
sämtlicher
Verarbeitungstätigkeiten
(Art. 30) herangezogen werden, um
derzeit bestehende Prozesse, Daten-
flüsse bzw. Zwecke der Verarbeitung
zu erfassen und ggf. adaptieren zu kön-
nen. Die in Abs. 5 leg. cit. genannte
Ausnahmebestimmung, wonach ein
derartiges Verzeichnis nicht von Un-
ternehmen mit weniger als 250 Mit-
arbeitern zu führen ist, wird auf Wirt-
schaftsprüfer und Steuerberater nicht
zutreffen, zumal diese idR eine nicht
nur gelegentliche Verarbeitung perso-
nenbezogener Daten durchführen. Ins-
besondere sollte daher schon auf Pla-
nungsebene eine Bestandanalyse des
Ist-Zustandes vorgenommen werden,
auf welche Rechtfertigungstatbestände
sich der jeweilige Verarbeitungsvor-
gang gründet, welche Informationen
(Datenschutzerklärungen) bisher ver-
öffentlicht wurden bzw. ob ggf. die
Notwendigkeit einer gesonderten Ein-
willigung besteht.
Die wichtigsten Rechtfertigungs-
gründe sind Einwilligung (Art. 6 Abs. 1
lit. a), Vertragserfüllung/-anbahnung
(lit. b), Erfüllung einer gesetzlichen
Verpflichtung (lit. c) sowie die Wah-
rung berechtigter Interessen (lit. f).
Während die Frage der Rechtmäßig-
keit mancher Verarbeitungsvorgänge
wohl eher einfach zu beantworten ist
(zumal die vertragskonforme und sorg-
fältige Durchführung einer Lohnver-
rechnung zwingend die Verarbeitung
der vom Mandanten zur Verfügung
gestellten Daten erfordert und dem-
nach wohl auf den Rechtfertigungs-
grund der Vertragserfüllung gestützt
werden kann), sind andere Verarbei-
tungsvorgänge (z.B. Zusendung eines
E-Mail-Newsletters, Veröffentlichung
Daten müssen auf rechtmäßige Weise,
nach Treu und Glauben und in einer für
die betroffene Person nachvollziehbaren
Weise verarbeitet werden (Grundsatz der
Rechtmäßigkeit, Verarbeitung nach Treu
und Glauben, Transparenz).
13
2/2018