• Rechtmäßigkeit
  Gesetz, Einwilligung, Vertrag, Dienst- oder Betriebsvereinbarung
• Zweckbindung
  Verwendung nur für Erhebungszweck
• Datenminimierung und Speicherbegrenzung
  Verarbeitung nur soweit für Erhebungszweck erforderlich
• Transparenz und Betroffenenrechte
  Unterrichtung über Verwendung, Auskunfts-/Berichtigungs-/Löschrechte
• Datensicherheit und Richtigkeit
  Technische und organisatorische Maßnahmen, Integrität und Vertraulichkeit
• Kontrolle
  Interner / externer Datenschutzbeauftragter; Audit

Datenverarbeitung ist nur (!) rechtmäßig, wenn:

• Einwilligung
• Vertragserfüllung
• Erfüllung rechtlicher Verpflichtung
• Lebenswichtige Interessen
• Ausübung öffentliche Gewalt
• Wahrung berechtigter Interessen (sofern Interessen des Betroffenen nicht überwiegen)

• Die Einwilligung muss informiert und freiwillig erfolgen.
• Die Einwilligung muss nicht mehr schriftlich sein.
• Die Einwilligung ist mit Wirkung für die Zukunft widerruflich.

• Muster-Vorlage der DSK
• Kurzpapier der DSK zum Thema
• Hinweise der DSK

Maßnahmen sind im Verzeichnis von Verarbeitungstätigkeiten Verantwortlicher zu dokumentieren.

• Hinweise dazu in „Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO“ der DSK, Ziffer 6.7
• Standard-Datenschutzmodell
• Leitlinien und Orientierungshilfen der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und der Artikel-29-Arbeitsgruppe
• bestehende nationale und internationale Standards (BSI-Grundschutz, ISO-Standards…)

Ist bei der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zu erwarten, hat die Bestimmung der Maßnahmen bereits im Rahmen einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO zu erfolgen.

• Positionspaper BfDI

• Darf keinen Interessenkonflikt haben, sonst Bußgeld.¹⁾