Was sind die 7 Grundsätze der DSGVO?

Die 7 Grundsätze nach Art. 5 DSGVO sind: (1) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, (2) Zweckbindung, (3) Datenminimierung, (4) Richtigkeit, (5) Speicherbegrenzung, (6) Integrität und Vertraulichkeit (Datensicherheit), sowie (7) Rechenschaftspflicht des Verantwortlichen.

Welche Rechtsgrundlagen gibt es nach Art. 6 DSGVO?

Art. 6 Abs. 1 DSGVO nennt 6 Rechtsgrundlagen: (a) Einwilligung der betroffenen Person, (b) Vertragserfüllung oder vorvertragliche Maßnahmen, (c) rechtliche Verpflichtung, (d) lebenswichtige Interessen, (e) öffentliches Interesse oder Ausübung öffentlicher Gewalt, (f) berechtigte Interessen des Verantwortlichen.

Was sind besondere Datenkategorien nach Art. 9 DSGVO?

Art. 9 DSGVO nennt besonders schützenswerte Datenkategorien: rassische und ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung. Diese dürfen grundsätzlich nicht verarbeitet werden — es sei denn, eine Ausnahme nach Art. 9 Abs. 2 greift.

Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?

Der Verantwortliche (Art. 4 Nr. 7 DSGVO) ist die natürliche oder juristische Person, die über Zweck und Mittel der Verarbeitung entscheidet. Der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) verarbeitet Daten im Auftrag und nach Weisung des Verantwortlichen. Zwischen beiden muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden.

Was gilt als personenbezogene Daten nach DSGVO?

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Name, Adresse, E-Mail, IP-Adresse, Standortdaten, Cookies, aber auch indirekte Identifikatoren wie Kfz-Kennzeichen oder Kundennummern.

DSGVO Grundlagen einfach erklärt — Die 7 Grundsätze für Datenschutzbeauftragte

Die 7 Datenschutzprinzipien nach Art. 5 DSGVO, die 6 Rechtsgrundlagen nach Art. 6 und die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter — kompakt erklärt für die DSB-Zertifizierungsprüfung.

Jetzt DSGVO üben Zu den 7 Grundsätzen ↓

Personenbezogene Daten — Was zählt dazu? (Art. 4 Nr. 1 DSGVO)

Die DSGVO schützt alle Informationen über identifizierte oder identifizierbare natürliche Personen. Dazu zählen offensichtliche Daten wie Name, Adresse und E-Mail-Adresse, aber auch digitale Identifikatoren:

Name, Geburtsdatum, Adresse, Telefonnummer
E-Mail-Adresse, IP-Adresse, Cookie-Kennungen
Standortdaten, Kfz-Kennzeichen, Kundennummern
Fotos, Audioaufnahmen, biometrische Daten
Gesundheitsdaten, genetische Daten

Wichtig: Juristische Personen (GmbH, AG) sind nicht geschützt — nur natürliche Personen. Verstorbene Personen fallen grundsätzlich nicht unter die DSGVO, können aber durch nationale Regelungen (§§ 35 ff. BDSG) geschützt sein.

Die 7 Grundsätze nach Art. 5 DSGVO

Art. 5 DSGVO enthält die fundamentalen Datenschutzprinzipien. Sie sind in fast jeder DSB-Prüfung präsent — merke sie dir mit dem Kürzel R-Z-D-R-S-I-R (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Rechenschaftspflicht):

Rechtmäßigkeit, Transparenz & Treu und Glauben

Art. 5 Abs. 1 lit. a

Daten nur auf Basis einer Rechtsgrundlage; Betroffene müssen informiert werden.

Zweckbindung

Art. 5 Abs. 1 lit. b

Daten nur für festgelegte, eindeutige und legitime Zwecke erheben; keine zweckfremde Nutzung.

Datenminimierung

Art. 5 Abs. 1 lit. c

Nur die für den Zweck erforderlichen Daten erheben — nicht „auf Vorrat".

Richtigkeit

Art. 5 Abs. 1 lit. d

Daten müssen sachlich richtig und aktuell sein; unrichtige Daten sind zu korrigieren oder löschen.

Speicherbegrenzung

Art. 5 Abs. 1 lit. e

Daten nicht länger speichern als für den Zweck notwendig — Löschkonzepte erforderlich.

Integrität & Vertraulichkeit

Art. 5 Abs. 1 lit. f

Angemessene Sicherheit durch TOMs — Schutz vor unbefugtem Zugriff, Verlust und Zerstörung.

Rechenschaftspflicht

Art. 5 Abs. 2

Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können — Dokumentationspflicht.

Prüfungsfalle — Grundsatz Nr. 7: Die Rechenschaftspflicht (Accountability) steht in Art. 5 Abs. 2, nicht in Abs. 1. Sie ist ein Querschnittsgrundsatz — der Verantwortliche muss die Einhaltung aller anderen 6 Grundsätze aktiv belegen können.

Die 6 Rechtsgrundlagen nach Art. 6 DSGVO

Ohne Rechtsgrundlage ist jede Datenverarbeitung verboten (Verbot mit Erlaubnisvorbehalt). Art. 6 Abs. 1 DSGVO listet abschließend 6 Erlaubnistatbestände auf:

Einwilligung: Freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person. Muss jederzeit widerrufbar sein — Widerruf gilt für die Zukunft.
Vertragserfüllung: Verarbeitung zur Erfüllung eines Vertrags oder für vorvertragliche Maßnahmen auf Anfrage der betroffenen Person (z.B. Bestellabwicklung, Bewerbungsverfahren).
Rechtliche Verpflichtung: Verarbeitung zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen (z.B. Steuergesetze, Arbeitsrecht, Sozialversicherungsrecht).
Lebenswichtige Interessen: Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person — Notfallsituationen (sehr enge Auslegung).
Öffentliches Interesse / öffentliche Gewalt: Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt — hauptsächlich für Behörden und öffentliche Einrichtungen.
Berechtigte Interessen: Überwiegen die berechtigten Interessen des Verantwortlichen oder Dritter die Interessen der betroffenen Person? Interessenabwägung erforderlich — bei Kindern besonders restriktiv.

Häufiger Prüfungsfehler: Die Einwilligung ist NICHT die wichtigste oder primäre Rechtsgrundlage — alle 6 Tatbestände sind gleichrangig. Die Einwilligung ist oft sogar die schwächste Grundlage, da sie jederzeit widerrufen werden kann.

Besondere Datenkategorien — Art. 9 DSGVO

Art. 9 DSGVO enthält ein grundsätzliches Verarbeitungsverbot für besonders sensible Daten. Eine Verarbeitung ist nur bei ausdrücklicher Ausnahme (Art. 9 Abs. 2) erlaubt:

Rassische / ethnische Herkunft

Politische Meinungen

Religiöse Überzeugungen

Gewerkschaftszugehörigkeit

Genetische Daten

Biometrische Daten (ID-Zweck)

Gesundheitsdaten

Sexualleben / sexuelle Orientierung

Ausnahmen Art. 9 Abs. 2 DSGVO (Auswahl): Ausdrückliche Einwilligung, Arbeitsrecht und Sozialschutz, lebenswichtige Interessen, Tätigkeiten von Gewerkschaften/Vereinigungen, Gesundheitsversorgung, Forschung/Archiv/Statistik.

Verantwortlicher vs. Auftragsverarbeiter

Diese Abgrenzung ist ein Kernthema in der DSB-Prüfung und wird regelmäßig mit Fallszenarien geprüft:

Verantwortlicher (Art. 4 Nr. 7)

Entscheidet über Zweck und Mittel der Verarbeitung. Trägt die volle datenschutzrechtliche Verantwortung. Beispiele: Arbeitgeber (bzgl. Mitarbeiterdaten), Online-Shop (bzgl. Kundendaten), Arztpraxis.

Auftragsverarbeiter (Art. 4 Nr. 8)

Verarbeitet Daten im Auftrag und nach Weisung des Verantwortlichen. Beispiele: Cloud-Anbieter, Lohnbuchhaltungsdienstleister, IT-Dienstleister, Call-Center.

Zwischen Verantwortlichem und Auftragsverarbeiter muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden. Fehlt der AVV, liegt ein bußgeldfähiger Verstoß vor.

Tipp für die Prüfung: Gemeinsam Verantwortliche (Art. 26 DSGVO) sind eine dritte Kategorie — wenn zwei oder mehr Verantwortliche gemeinsam über Zweck und Mittel entscheiden (z.B. Konzernmutter + Tochtergesellschaft). Sie müssen eine transparente Vereinbarung schließen.

Weiterführende Seiten

DSB

Was ist ein Datenschutzbeauftragter? →

Aufgaben, Bestellungspflicht und Stellung im Unternehmen

Prüfung

Alle 10 Prüfungskapitel →

DSGVO, BDSG, TOMs, Betroffenenrechte und mehr

DSGVO Grundlagen für die Prüfung festigen

Übungsfragen zu allen 7 Grundsätzen, den 6 Rechtsgrundlagen und den besonderen Datenkategorien — kostenlos, direkt im Browser.

Kostenlos registrieren