In unserer Blogreihe zur DSGVO-Zertifizierung beleuchten wir heute das zweite Kapitel des Kriterienkatalogs– die Grundsätze. Diese bilden das Fundament für eine datenschutzkonforme Verarbeitung. Die Anforderungen greifen zentrale Prinzipien der DSGVO auf, die für jede Verarbeitungstätigkeit gelten. Das Kapitel gliedert sich in sieben Kriterien:
- P.2.1 Privacy-by-Design
- P.2.2 Privacy-by-Default
- P.2.3 Zweckbindung
- P.2.4 Datenminimierung
- P.2.5 Richtigkeit
- P.2.6 Speicherbegrenzung
- P.2.7 Treu und Glauben
P.2.1 – Privacy-by-Design
Im Rahmen einer Zertifizierung nach dem DSGVO – information privacy standard muss vom Antragsteller nachgewiesen werden, dass technische und organisatorische Maßnahmen (TOM) getroffen wurden, um Datenschutzgrundsätze von Beginn an und in jeder Phase der Verarbeitung zu berücksichtigen.
Es ist zu prüfen, ob ein Datenschutz-Managementsystem (DSMS) existiert, das regelmäßige Kontrollen (mind. jährlich und anlassbezogen) sicherstellt. Relevante Zielobjekte wie Prozesse, Applikationen, Infrastruktur und Dienstleister müssen dokumentiert und auf die Umsetzung der Prinzipien wie Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit überprüft werden.
Nachweis:
Der Antragsteller muss belegen, wie die TOM bereits im Design implementiert werden – z. B. durch Datenschutz-Folgenabschätzungen, Prozessbeschreibungen oder interne Richtlinien.
P.2.2 – Privacy-by-Default
Hier steht die datenschutzfreundliche Voreinstellung im Fokus. Verarbeitungsvorgänge dürfen standardmäßig nur so viele personenbezogene Daten erfassen, wie für den festgelegten Zweck erforderlich sind. Damit werden insbesondere die Grundsätze der Zweckbindung und Datenminimierung berücksichtigt.
Es ist zu überprüfen, ob Voreinstellungen von Applikationen und Prozessen auf Datensparsamkeit ausgerichtet sind. Dies betrifft Speicherfristen, Zugriffsrechte und Sichtbarkeiten. In bestimmten Fällen ist besonders auf den Schutz von Kindern und schutzbedürftigen Personen zu achten.
Nachweis:
Der Antragsteller muss darlegen, dass durch Voreinstellungen keine unnötige Offenlegung oder Verarbeitung erfolgt. Konfigurationsdokumentationen, Prüfprotokolle oder technische Handbücher dienen hier u. a. als Nachweis.
P.2.3 – Zweckbindung
Die Zweckbindung gilt als einer der zentralen Grundsätze des Datenschutzes. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Eine Weiterverarbeitung ist nur unter bestimmten Bedingungen zulässig.
Es wird geprüft, ob die Zwecke der Verarbeitung dokumentiert, analysiert und begrenzt sind. Eine Zweckänderung muss nachvollziehbar geregelt sein. Es muss ein Verfahren zur Bewertung der Vereinbarkeit von ursprünglichem und neuem Zweck vorliegen.
Nachweis:
Der Antragsteller muss eine Dokumentation vorlegen, aus der ersichtlich ist:
- welche Daten für welchen Zweck erhoben wurden,
- wie die Nichtverkettung technisch und organisatorisch sichergestellt ist,
- welche Regeln bei Zweckänderungen greifen
- und ob Maßnahmen wie Pseudonymisierung oder Verschlüsselung zur Risikominimierung eingesetzt werden.
Die Nichtverkettung meint hier die Sicherstellung, dass Daten(sätze) nicht für andere bzw. unterschiedliche Zwecke verarbeitet werden. Zudem ist der Bezug zu nationalem oder Unionsrecht bei gesetzlich festgelegten Verarbeitungszwecken darzustellen.
P.2.4 – Datenminimierung
Die Datenminimierung verlangt, dass nur solche Daten verarbeitet werden, die für den angegebenen Zweck erforderlich sind. Jede zusätzliche Verarbeitung ist zu vermeiden.
Es ist zu überprüfen, ob eine systematische Erforderlichkeitsprüfung für jede Datenkategorie vorliegt. Dies umfasst auch den Ausschluss unnötiger Informationen und die bewusste Entscheidung, Daten nicht zu erheben, wenn der Zweck es nicht verlangt.
Nachweis:
Der Antragsteller muss nachvollziehbar dokumentieren, dass jede verarbeitete Datenkategorie einer Erforderlichkeitsprüfung unterzogen wurde. Typische Nachweise sind:
- Datenverarbeitungskatalog mit Erforderlichkeitsvermerk,
- Protokolle zur Risikoprüfung bei Erhebung,
- Verbindung zur Löschregelung gemäß P.8.3.
Wenn keine Identifikation erforderlich ist, dürfen keine zusätzlichen Merkmale zur Identifikation gespeichert werden – das ist aktiv zu berücksichtigen.
P.2.5 – Richtigkeit
Die Daten müssen sachlich richtig und aktuell sein. Dies schließt auch ein, dass unrichtige Daten erkannt, berichtigt oder gelöscht werden können.
Es wird geprüft, ob geeignete Verfahren existieren, die eine zeitnahe Berichtigung oder Löschung unrichtiger Daten ermöglichen. Dies betrifft sowohl automatische Validierungsprozesse als auch die Umsetzung von Betroffenenrechten (siehe P.8.2 und P.8.3).
Nachweis:
Der Antragsteller muss durch Verfahrensbeschreibungen, Systemdokumentationen oder technische Umsetzungsnachweise darlegen, wie die Richtigkeit gewährleistet wird.
P.2.6 – Speicherbegrenzung
Daten dürfen nur so lange verarbeitet werden, wie es für die Zwecke erforderlich ist. Danach sind sie zu löschen oder zu anonymisieren.
Es wird geprüft, ob die Speicherdauer dokumentiert ist und mit dem Zweck der Verarbeitung übereinstimmt. Die Umsetzung eines Löschkonzepts ist verpflichtend.
Nachweis:
Der Antragsteller muss ein kontextsensitives Speicher- und Löschkonzept vorlegen, das auf rechtlichen Vorgaben, branchenspezifischer Praxis und dem Verhältnis zwischen Zweck und Speicherfrist basiert. Bei Auftragsverarbeitung müssen Weisungen des Verantwortlichen berücksichtigt werden.
Ausnahmen gelten für Archiv-, Forschungs- und Statistikzwecke gemäß Art. 89 DSGVO – diese müssen jedoch besonders abgesichert sein.
P.2.7 – Treu und Glauben
Der Grundsatz „Treu und Glauben“ verlangt eine faire, transparente und redliche Datenverarbeitung.
Es wird überprüft, ob der Antragsteller die Datenverarbeitung anständig, vertrauenswürdig und fair durchführt. Dies betrifft nicht nur die Inhalte der Verarbeitung, sondern auch das Verhalten gegenüber Betroffenen.
Nachweis:
Der Antragsteller muss eine interne Bewertungsmethodik oder Leitlinie zur Fairness darlegen. Entscheidungsprozesse und Kommunikation gegenüber Betroffenen sind auf Kohärenz, Fairness und Redlichkeit zu prüfen.
Fazit
Kapitel P.2 des Kriterienkatalogs verlangt vom Antragsteller nicht nur die Einhaltung, sondern auch die aktive Nachweisführung über die Umsetzung der Datenschutzgrundsätze. Diese sind nicht bloß formale Anforderungen, sondern müssen sich im Design, im Betrieb und in der kontinuierlichen Kontrolle der Verarbeitungsvorgänge widerspiegeln.
In unserem nächsten Beitrag beschäftigen wir uns mit dem Kapitel P.3: Pflichten des Kunden – und damit mit einem weiteren zentralen Baustein datenschutzkonformer Verarbeitung.