„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“

Neben der Begründung der Verarbeitung auf einer der in Artikel 6 DSGVO genannten Rechtsgrundlagen, muss die Verarbeitung transparent "nach Treu und Glauben" erfolgen. Der Grundsatz der Transparenz schließt die Verpflichtung des Verantwortlichen mit ein, betroffene Personen umfangreich und verständlich in klarer und einfacher Sprache über die Verarbeitung zu informieren. Personen sollten über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre  Rechte diesbezüglich geltend machen können (siehe hierzu auch Erwägungsgrund 39 DSGVO).

„Zweckbindung“

Personenbezogene Daten müssen zweckgebunden verarbeitet werden. Die Zwecke der Verarbeitung müssen bereits zum Zeitpunkt der Erhebung feststehen und den betroffenen Personen kommuniziert werden. Die erhobenen Daten dürfen dann nur für diese festgelegten Zwecke verarbeitet werden. Wenn Sie von Teilnehmenden für die Durchführung eines Schulungsangebotes Daten erhoben haben, dürfen Sie diese Daten nicht einfach für andere Zwecke verwendet werden, zum Beispiel, um den Teilnehmenden Werbung zu schicken. 

„Datenminimierung“

Es sollen immer nur die Menge an personenbezogene Daten erfasst werden, die für den jeweiligen Zweck benötigt werden. Hinterfragen Sie immer, welche Daten Sie für den Anwendungsfall wirklich benötigen. Für den Versand eines Newsletters ist z.B. nur eine E-Mail-Adresse notwendig. In diesem Falle wäre die verpflichtende Angabe von Namen, Anschrift oder Geburtsdatum unzulässig. 

„Richtigkeit“

Der Verantwortliche muss sicherstellen, dass die von ihm erfassten Daten korrekt sind. Dies impliziert, dass betroffene Personen die Möglichkeit haben müssen, ihre Daten zu berichtigen. Unrichtige Daten müssen gelöscht werden. 

„Speicherbegrenzung“

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck der Verarbeitung gebraucht werden. Erlischt der Zweck, müssen sie gelöscht werden, es sei denn, es existieren weitere rechtliche Regelungen, die eine längere Aufbewahrung rechtfertigen oder erforderlich machen (z.B. nationale Gesetzgebungen).

Personenbezogene Daten von Teilnehmenden müssten nach dieser Regelung eigentlich nach Abschluss einer Fortbildung gelöscht werden. Allerdings kann es Gründe geben, die es dem Institut ermöglichen, die Daten weiter im System zu halten:

• Man möchte den Teilnehmenden ermöglichen, ein Schulungszertifikat erneut anzufordern. 
• Die Teilnehmenden haben einen persönlichen Zugang zu einer E-Learning-Plattform, über den sie weitere Kurse buchen können. 
• Das Institut benötigt die Daten der Teilnehmenden aus Rechenschaftspflicht gegenüber öffentlichen Behörden (z.B. bei öffentlich geförderten Fortbildungen). 

Das Institut ist hier in der Pflicht, für die jeweiligen Daten entsprechende Löschfristen zu definieren. Gegebenenfalls gibt es von staatlicher Seite unterschiedliche Aufbewahrungsfristen, so dass bestimmte Teile der Datensätze früher als andere gelöscht werden müssen. Hier ist das Institut in der Verantwortung, sich über entsprechende Regelungen zu informieren und diese umzusetzen. 

„Integrität und Vertraulichkeit“

Datenschutz heißt auch Datensicherheit. Wer personenbezogene Daten verarbeitet, ist auch für die Sicherheit dieser Daten verantwortlich. Das bedeutet in erster Linie Sicherheit vor unbefugtem Zugriff oder Übermittlung an Dritte. Der Verantwortliche muss hierbei für die Sicherheit der Verarbeitung sorgen.

„Rechenschaftspflicht“

Der Verantwortliche muss im Zweifel die Umsetzung der DSGVO nachweisen können. Er muss belegen können, dass geeignete und wirksame Maßnahmen umgesetzt wurden, um den Schutz der personenbezogenen Daten zu gewährleisten.