{"id":6450,"date":"2021-06-08T15:54:45","date_gmt":"2021-06-08T15:54:45","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/?p=6450"},"modified":"2026-06-16T12:02:23","modified_gmt":"2026-06-16T12:02:23","slug":"die-grundprinzipien-der-dsgvo","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/de\/fachgebiete\/technik-und-digital\/datenschutz-daten-und-cybersicherheit\/die-grundprinzipien-der-dsgvo\/","title":{"rendered":"Die Grundprinzipien der DSGVO"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

Die Grundprinzipien der Datenschutz-Grundverordnung bilden den tragenden normativen Rahmen f\u00fcr jede Verarbeitung personenbezogener Daten, die rechtlich tragf\u00e4hig, administrativ erkl\u00e4rbar und operativ verteidigungsf\u00e4hig sein muss. Sie bestimmen nicht nur die Voraussetzungen, unter denen Daten erhoben, verwendet, weitergegeben, gespeichert oder gel\u00f6scht werden d\u00fcrfen, sondern auch den Sorgfaltsma\u00dfstab, der von einer Organisation verlangt wird, wenn digitale Prozesse, kommerzielle Zielsetzungen, technische Systeme und Abh\u00e4ngigkeiten innerhalb von Wertsch\u00f6pfungs- und Lieferketten zusammentreffen. In einem Umfeld, in dem Daten fortlaufend erzeugt, angereichert, verkn\u00fcpft, analysiert und \u00fcbermittelt werden, setzen diese Prinzipien eine notwendige Grenze gegen\u00fcber unspezifischer Datenerhebung, unzureichend begr\u00fcndeter Weiterverwendung, mangelhafter Sicherheit und administrativer Bequemlichkeit. Ihre Bedeutung reicht daher weit \u00fcber Datenschutz-Compliance im engeren Sinne hinaus. Sie ber\u00fchren Governance, Risikosteuerung, digitale Integrit\u00e4t, Informationsmanagement, Vertragsgestaltung, Aufsicht, Incident Response und die Art und Weise, wie eine Organisation ihre institutionelle Vertrauensw\u00fcrdigkeit in einer datengetriebenen Wirklichkeit praktisch ausgestaltet.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken erhalten die Grundprinzipien der Datenschutz-Grundverordnung zudem eine weitergehende strategische Funktion. Digitale Kriminalit\u00e4tsrisiken wie Identit\u00e4tsbetrug, Konto\u00fcbernahme, Phishing, Datenschutzverletzungen, Kompromittierung von Zugangsdaten, Business Email Compromise und unbefugter Zugriff auf Systeme entstehen h\u00e4ufig dort, wo Datenfl\u00fcsse unzureichend beherrscht werden, Zwecke nicht hinreichend abgegrenzt sind, Zugriffsrechte zu weit ausgestaltet werden oder Verantwortlichkeitslinien zu schwach entwickelt sind. In dieser Hinsicht stellen die Prinzipien der Datenschutz-Grundverordnung nicht lediglich einen rechtlichen Referenzrahmen dar, sondern auch ein administratives, organisatorisches und forensisches Bewertungsinstrument. Sie machen sichtbar, an welchen Stellen Datenverarbeitung verwundbar wird, wo digitale Abh\u00e4ngigkeiten nicht ausreichend gerechtfertigt sind und wo technische M\u00f6glichkeiten drohen, normative Grenzen zu verdr\u00e4ngen. Eine Organisation, die diese Prinzipien ernst nimmt, behandelt Datenschutz nicht als abschlie\u00dfende Kontrolle im Nachhinein, sondern als leitende Pr\u00e4misse f\u00fcr Gestaltung, Entscheidungsfindung, Dokumentation, Sicherheit und die Beherrschung digitaler Kriminalit\u00e4t.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

Rechtm\u00e4\u00dfigkeit, Verarbeitung nach Treu und Glauben und Transparenz<\/h4>\n

Rechtm\u00e4\u00dfigkeit, Verarbeitung nach Treu und Glauben und Transparenz bilden gemeinsam den ersten und grundlegendsten Bewertungsrahmen f\u00fcr die Verarbeitung personenbezogener Daten. Rechtm\u00e4\u00dfigkeit verlangt, dass jeder Verarbeitungsvorgang auf einer g\u00fcltigen Rechtsgrundlage beruht, etwa auf Einwilligung, Vertragserf\u00fcllung, Erf\u00fcllung einer rechtlichen Verpflichtung, Schutz lebenswichtiger Interessen, Wahrnehmung einer Aufgabe im \u00f6ffentlichen Interesse oder einem berechtigten Interesse, das sorgf\u00e4ltig abgewogen wurde. Diese Rechtsgrundlage darf nicht nachtr\u00e4glich konstruiert werden, um eine bereits bestehende Praxis zu rechtfertigen, sondern muss vor Beginn der Verarbeitung bestimmt, dokumentiert und mit einem konkreten Zweck verbunden sein. In einem digitalen Kontext, in dem Organisationen h\u00e4ufig mehrere Datenquellen, Plattformen, Anwendungen, Dienstleister und Analysewerkzeuge nutzen, gen\u00fcgt ein allgemeiner Verweis auf Gesch\u00e4ftsinteressen, Effizienz oder Kundenbeziehungen nicht. Ma\u00dfgeblich bleibt stets, welche Daten verarbeitet werden, zu welchem Zweck, auf welcher Rechtsgrundlage, innerhalb welcher Grenzen und mit welchen Folgen f\u00fcr die betroffene Person.<\/p>\n

Die Verarbeitung nach Treu und Glauben f\u00fcgt der Rechtm\u00e4\u00dfigkeit eine eigenst\u00e4ndige normative Dimension hinzu. Ein Verarbeitungsvorgang kann formal auf einer Rechtsgrundlage beruhen und dennoch problematisch sein, wenn die Art der Verarbeitung irref\u00fchrend, unausgewogen, unerwartet, unverh\u00e4ltnism\u00e4\u00dfig oder unzureichend sorgf\u00e4ltig ist. Dieses Prinzip verlangt daher besondere Aufmerksamkeit f\u00fcr Kontext, Machtverh\u00e4ltnisse, berechtigte Erwartungen, Informationsposition der betroffenen Person und m\u00f6gliche nachteilige Wirkungen. Dies gilt insbesondere in Situationen, in denen personenbezogene Daten f\u00fcr Profiling, Risikoselektion, Betrugserkennung, Marketingsegmentierung, Zugriffsverwaltung oder automatisierte Entscheidungsfindung verwendet werden. In solchen F\u00e4llen kann eine scheinbar neutrale Datenverarbeitung zu Ausschluss, fehlerhafter Risikobewertung, Reputationssch\u00e4den oder Kontrollverlust \u00fcber pers\u00f6nliche Informationen f\u00fchren. Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken ist die Verarbeitung nach Treu und Glauben deshalb eng mit Integrit\u00e4tsaufsicht verbunden: Es geht nicht nur darum, ob eine Verarbeitung stattfinden darf, sondern auch darum, ob diese Verarbeitung in eine sorgf\u00e4ltige, verh\u00e4ltnism\u00e4\u00dfige und erkl\u00e4rbare digitale Risikostrategie passt.<\/p>\n

Transparenz macht diese normative Bewertung \u00fcberpr\u00fcfbar. Betroffene Personen m\u00fcssen verstehen k\u00f6nnen, welche personenbezogenen Daten verarbeitet werden, warum dies geschieht, wie lange die Daten gespeichert werden, mit wem sie geteilt werden, welche Rechte bestehen und wie diese Rechte ausge\u00fcbt werden k\u00f6nnen. Transparenz verlangt klare, zug\u00e4ngliche und sachlich richtige Informationen, nicht lediglich standardisierte juristische Formulierungen, die die tats\u00e4chliche Verarbeitung verdecken. Datenschutzhinweise, interne Mitteilungen, Cookie-Informationen, Vertragsklauseln und Prozessdokumentationen m\u00fcssen mit den tats\u00e4chlichen Datenfl\u00fcssen innerhalb der Organisation \u00fcbereinstimmen. Wenn eine Organisation nach au\u00dfen Einfachheit und Kontrolle verspricht, intern jedoch mit fragmentierten Datenbanken, undurchsichtigen Dienstleisterketten oder schwer nachvollziehbaren Analysewerkzeugen arbeitet, entsteht ein erhebliches Governance-Risiko. Transparenz ist daher keine kommunikative Formalit\u00e4t, sondern ein Nachweis von Beherrschung: Sie zeigt, ob die Organisation ihre eigene Verarbeitung personenbezogener Daten tats\u00e4chlich kennt, erkl\u00e4ren und verantworten kann.<\/p>\n

Zweckbindung<\/h4>\n

Die Zweckbindung verlangt, dass personenbezogene Daten f\u00fcr festgelegte, eindeutige und legitime Zwecke erhoben werden. Dieses Prinzip zwingt die Organisation dazu, im Voraus zu bestimmen, weshalb Daten erforderlich sind und welche Verarbeitungsvorg\u00e4nge unter diesen Zweck fallen. Ein allgemeiner Verweis auf Unternehmensf\u00fchrung, Kundenmanagement, Sicherheit, Innovation oder Risikosteuerung reicht nicht aus. Der Zweck muss so konkret sein, dass beurteilt werden kann, welche Daten erforderlich sind, welche Speicherfrist angemessen ist, welcher Zugriff gerechtfertigt ist, welche Sicherheitsma\u00dfnahmen erforderlich sind und ob eine sp\u00e4tere Weiterverwendung mit dem urspr\u00fcnglichen Zweck vereinbar ist. Ohne klare Zweckbestimmung verliert die Datenverarbeitung ihre administrative Steuerung. Daten k\u00f6nnen dann leicht von der Leistungserbringung zur Analyse, von der Analyse zur kommerziellen Nutzung, von der kommerziellen Nutzung zur Risikoselektion und von der Risikoselektion zur Entscheidungsfindung verschoben werden, ohne dass die normative Grundlage erneut gepr\u00fcft wird.<\/p>\n

In digitalen Organisationen ist die Zweckbindung h\u00e4ufig verletzlich, weil Daten gleichzeitig an mehreren Stellen genutzt werden. Ein Datensatz, der urspr\u00fcnglich f\u00fcr die Kundenadministration erhoben wurde, kann sp\u00e4ter f\u00fcr Marketing, Kreditbewertung, Betrugsmonitoring, Produktentwicklung oder das Training algorithmischer Systeme attraktiv erscheinen. Eine solche Entwicklung ist nicht von vornherein verboten, verlangt jedoch eine sorgf\u00e4ltige Bewertung von Vereinbarkeit, Verh\u00e4ltnism\u00e4\u00dfigkeit, berechtigten Erwartungen der betroffenen Personen, Art der Daten, m\u00f6glichen Folgen und verf\u00fcgbaren Garantien. Das Risiko liegt insbesondere im sogenannten Function Creep: der schrittweisen Ausweitung von Verarbeitungszwecken ohne ausdr\u00fcckliche Neubewertung der rechtlichen und ethischen Grundlage. Die Zweckbindung wirkt daher als Grenze gegen\u00fcber administrativer Bequemlichkeit und technischem Opportunismus. Sie verlangt, dass Weiterverwendung nicht durch die blo\u00dfe Verf\u00fcgbarkeit von Daten legitimiert wird, sondern durch nachweisbare Erforderlichkeit, tats\u00e4chliche Vereinbarkeit und verantwortliche Entscheidungsfindung.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken hat die Zweckbindung unmittelbare Bedeutung f\u00fcr die Beherrschung digitaler Kriminalit\u00e4t. Betrugspr\u00e4vention, Cybersicherheit, Monitoring, Incident Investigation und Zugriffskontrolle k\u00f6nnen legitime Zwecke darstellen, d\u00fcrfen jedoch nicht zu unbegrenzter \u00dcberwachung, dauerhafter Profilbildung oder unklar definierten Datensammlungen f\u00fchren. Eine Organisation muss unterscheiden k\u00f6nnen, welche Daten f\u00fcr Sicherheit erforderlich sind, welche Daten f\u00fcr Compliance ben\u00f6tigt werden, welche Daten f\u00fcr forensische Untersuchungen notwendig sind und welche Daten au\u00dferhalb des zul\u00e4ssigen Rahmens liegen. Diese Unterscheidung ist wesentlich bei Protokollierung, Threat Intelligence, E-Mail-Monitoring, Nutzeranalyse, Erkennung verd\u00e4chtiger Transaktionen und Untersuchung von Datenschutzverletzungen. Die Zweckbindung verhindert, dass Sicherheitsargumente als allgemeine Erm\u00e4chtigung f\u00fcr umfangreiche Verarbeitung personenbezogener Daten verwendet werden. Die St\u00e4rke des Prinzips liegt in der Verpflichtung, digitale Widerstandsf\u00e4higkeit mit rechtlichen Grenzen, administrativer Pr\u00e4zision und nachweisbarer Verh\u00e4ltnism\u00e4\u00dfigkeit zu verbinden.<\/p>\n

Datenminimierung<\/h4>\n

Die Datenminimierung bestimmt, dass nur solche personenbezogenen Daten verarbeitet werden d\u00fcrfen, die dem Zweck angemessen und erheblich sowie auf das f\u00fcr den jeweiligen Verarbeitungszweck notwendige Ma\u00df beschr\u00e4nkt sind. Dieses Prinzip steht der Tendenz vieler digitaler Systeme entgegen, m\u00f6glichst viele Daten zu erfassen, weil Speicherung kosteng\u00fcnstig erscheint, sp\u00e4tere Analysen n\u00fctzlich sein k\u00f6nnten und k\u00fcnftige kommerzielle oder operative Anwendungen noch nicht feststehen. Die Datenschutz-Grundverordnung verlangt jedoch einen anderen Ansatz. Nicht der potenzielle k\u00fcnftige Wert von Daten ist entscheidend, sondern ihre Erforderlichkeit im Verh\u00e4ltnis zum festgelegten Zweck. Datenminimierung verlangt daher eine kritische Pr\u00fcfung zu Beginn: Welche Daten sind tats\u00e4chlich erforderlich, welche Daten sind lediglich praktisch, welche Daten erh\u00f6hen vor allem das Risiko und welche Daten k\u00f6nnen weggelassen, aggregiert, pseudonymisiert oder fr\u00fcher gel\u00f6scht werden.<\/p>\n

Die Bedeutung der Datenminimierung nimmt zu, je sensibler, umfangreicher oder leichter kombinierbar Daten werden. Einzelne Datenpunkte k\u00f6nnen in Verbindung mit anderen Datens\u00e4tzen ein tiefgreifendes Profil \u00fcber Verhalten, Pr\u00e4ferenzen, Standort, finanzielle Situation, Gesundheit, Verletzlichkeit oder soziale Beziehungen ergeben. Dadurch kann eine Organisation mehr wissen, als f\u00fcr ihre Dienstleistung oder Risikosteuerung erforderlich ist. Dies erh\u00f6ht nicht nur Datenschutzrisiken, sondern auch Haftungsrisiken, Sicherheitsaufwand und Schadensumfang im Falle eines Vorfalls. Eine Datenschutzverletzung, die begrenzte und sorgf\u00e4ltig ausgew\u00e4hlte Informationen betrifft, hat ein anderes Risikoprofil als eine Datenschutzverletzung, bei der \u00fcberfl\u00fcssige historische Daten, Ausweisdokumente, Kommunikationsdateien oder Verhaltensdaten verf\u00fcgbar geblieben sind. Datenminimierung ist daher zugleich eine Sicherheitsma\u00dfnahme: Was nicht erhoben oder nicht l\u00e4nger gespeichert wird, kann schwerer missbraucht, offengelegt, kopiert oder herausverlangt werden.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken ist Datenminimierung ein wichtiges Instrument gegen unn\u00f6tige Exposition gegen\u00fcber digitalen Kriminalit\u00e4tsrisiken. \u00dcberm\u00e4\u00dfige Datenerhebung erh\u00f6ht die Attraktivit\u00e4t einer Organisation f\u00fcr Cyberkriminelle, vergr\u00f6\u00dfert die Auswirkungen von Ransomware und Datenschutzverletzungen und verst\u00e4rkt das Risiko, dass gestohlene Daten f\u00fcr Phishing, Identit\u00e4tsbetrug, Social Engineering oder Konto\u00fcbernahme genutzt werden. Zugleich muss Datenminimierung mit Augenma\u00df angewandt werden, weil bestimmte Sicherheits- und Untersuchungsprozesse Protokolle, Erkennungsdaten und Audit Trails erfordern. Entscheidend ist daher nicht minimale Information um jeden Preis, sondern erforderliche Information innerhalb eines klaren Zwecks, verbunden mit angemessenen Speicherfristen, Zugriffsbeschr\u00e4nkungen und Sicherheitsma\u00dfnahmen. Datenminimierung verlangt Disziplin bei Systemkonfiguration, Formulargestaltung, Onboarding-Prozessen, Kundenannahme, Monitoring, Berichterstattung und Incident Response. Sie macht deutlich, dass wirksame Beherrschung digitaler Kriminalit\u00e4t nicht aus unbegrenzter Datensammlung entsteht, sondern aus einer gezielten, verh\u00e4ltnism\u00e4\u00dfigen und beherrschbaren Informationsposition.<\/p>\n

Richtigkeit der Daten<\/h4>\n

Das Prinzip der Richtigkeit der Daten verlangt, dass personenbezogene Daten sachlich zuverl\u00e4ssig, aktuell und f\u00fcr den Zweck verwendbar sind, f\u00fcr den sie verarbeitet werden. Unrichtige, veraltete, unvollst\u00e4ndige oder falsch interpretierte Daten k\u00f6nnen erhebliche Folgen f\u00fcr betroffene Personen haben, insbesondere wenn sie f\u00fcr Entscheidungsfindung, Risikobewertung, Zugriffsverwaltung, finanzielle Bewertung, Durchsetzung von Ma\u00dfnahmen, Screening oder Betrugserkennung verwendet werden. Eine falsche Adresse, eine unrichtige Registrierung, ein veralteter Status, eine fehlerhaft verkn\u00fcpfte Akte oder ein unvollst\u00e4ndiger Kontext k\u00f6nnen zu Ablehnung, Sperrung, Untersuchung, Eskalation oder Reputationsschaden f\u00fchren. Die Datenschutz-Grundverordnung verlangt daher, dass Organisationen angemessene Ma\u00dfnahmen treffen, um Daten aktuell zu halten und Fehler erforderlichenfalls zu berichtigen oder zu l\u00f6schen. Richtigkeit ist somit kein administratives Detail, sondern eine Voraussetzung f\u00fcr verl\u00e4ssliche Entscheidungsfindung.<\/p>\n

In komplexen digitalen Umgebungen ist Richtigkeit schwieriger zu gew\u00e4hrleisten als in einfachen Registern. Daten werden h\u00e4ufig von mehreren Abteilungen eingegeben, aus externen Quellen \u00fcbernommen, durch Systeme angereichert, mit Dienstleistern geteilt und in automatisierten Arbeitsabl\u00e4ufen verwendet. Fehler k\u00f6nnen sich dadurch schnell ausbreiten und in mehreren Systemen fortbestehen. Eine Korrektur in einem Quellsystem bedeutet nicht automatisch, dass auch abgeleitete Datens\u00e4tze, Berichte, Exporte, Backups, Risikomodelle oder Kundenprofile angepasst wurden. Dies verlangt klare Datenverantwortlichkeit, Nachvollziehbarkeit von Quellen, Berichtigungsverfahren, Qualit\u00e4tskontrollen und technische Mechanismen, durch die Korrekturen tats\u00e4chlich wirksam werden. Ohne eine solche Beherrschung entsteht eine Situation, in der Berichtigungsersuchen formal bearbeitet werden, w\u00e4hrend der Fehler in der digitalen Umgebung der Organisation weiter zirkuliert.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken ist die Richtigkeit der Daten auch f\u00fcr die Qualit\u00e4t der Risikoerkennung und der Untersuchung von Vorf\u00e4llen von Bedeutung. Unzuverl\u00e4ssige Daten f\u00fchren zu falschen Warnmeldungen, unbegr\u00fcndeten Verdachtsmomenten, \u00fcbersehenen Vorf\u00e4llen oder unverh\u00e4ltnism\u00e4\u00dfigen Ma\u00dfnahmen. Bei digitalen Kriminalit\u00e4tsrisiken kann dies besonders sch\u00e4dlich sein. Eine falsch zugeordnete IP-Adresse, eine unrichtige Nutzeridentit\u00e4t, eine veraltete Berechtigungsrolle oder ein unvollst\u00e4ndiger Logeintrag kann eine Untersuchung zu Phishing, Konto\u00fcbernahme, Datenschutzverletzungen oder internem Betrug erheblich verzerren. Richtigkeit verlangt daher nicht nur Abhilfe gegen\u00fcber betroffenen Personen, sondern auch forensische Zuverl\u00e4ssigkeit: Daten m\u00fcssen so verwaltet werden, dass Schlussfolgerungen, Warnungen, Eskalationen und Berichte \u00fcberpr\u00fcfbar bleiben. Die Organisation muss erkl\u00e4ren k\u00f6nnen, woher Informationen stammen, wie sie verarbeitet wurden, welche Unsicherheiten bestehen und welche Ma\u00dfnahmen zur Vermeidung oder Berichtigung von Fehlern getroffen wurden.<\/p>\n

Speicherbegrenzung<\/h4>\n

Die Speicherbegrenzung verlangt, dass personenbezogene Daten nicht l\u00e4nger gespeichert werden, als es f\u00fcr den Zweck erforderlich ist, f\u00fcr den sie erhoben wurden oder f\u00fcr den sie rechtm\u00e4\u00dfig weiterverarbeitet werden. Dieses Prinzip zwingt Organisationen dazu, Speicherfristen nicht als technische Standardeinstellungen oder gro\u00dfz\u00fcgige Sicherheitsmargen zu behandeln, sondern als rechtlich und administrativ begr\u00fcndete Entscheidungen. Jede Datenkategorie muss mit einem konkreten Zweck, einer angemessenen Speicherfrist, einem L\u00f6schzeitpunkt und einer verantwortlichen Prozessgestaltung verbunden werden. Dabei ist zwischen operativen Daten, Vertragsdaten, gesetzlichen Aufbewahrungspflichten, Auditinformationen, Sicherheitsprotokollen, Incident-Dokumentation und Daten zu unterscheiden, die f\u00fcr die Geltendmachung, Aus\u00fcbung oder Verteidigung von Rechtsanspr\u00fcchen erforderlich sein k\u00f6nnen. Eine allgemeine Praxis, Daten unbegrenzt verf\u00fcgbar zu halten, weil deren L\u00f6schung organisatorisch aufwendig ist, erf\u00fcllt die Anforderungen eines sorgf\u00e4ltigen Datenschutzes nicht.<\/p>\n

Speicherbegrenzung steht in unmittelbarem Zusammenhang mit Risiko, Verh\u00e4ltnism\u00e4\u00dfigkeit und digitaler Beherrschbarkeit. Je l\u00e4nger Daten gespeichert werden, desto gr\u00f6\u00dfer ist die Wahrscheinlichkeit, dass sie veralten, au\u00dferhalb ihres Kontexts verwendet werden, zu breiten Nutzergruppen zug\u00e4nglich bleiben oder von Vorf\u00e4llen betroffen sind. Alte Kundendaten, Bewerbungsunterlagen, Kopien von Ausweisdokumenten, E-Mail-Archive, Logdateien und Untersuchungsakten k\u00f6nnen im Laufe der Zeit ihren urspr\u00fcnglichen Nutzen verlieren, w\u00e4hrend das Risiko des Missbrauchs bestehen bleibt oder sogar zunimmt. Eine Organisation ohne wirksamen Zyklus f\u00fcr Aufbewahrungsrichtlinien schafft ein wachsendes digitales Erbe, in dem historische Daten zur Quelle rechtlicher Unsicherheit, Sicherheitsrisiken und Reputationssch\u00e4den werden. Speicherbegrenzung verlangt daher nicht nur Richtlinien auf dem Papier, sondern auch technische Umsetzung: automatische L\u00f6schung, soweit m\u00f6glich, regelm\u00e4\u00dfige \u00dcberpr\u00fcfung, soweit erforderlich, Ausnahmemanagement, Registrierung von Speicherfristen und nachweisbare Vernichtung oder Anonymisierung.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken ist Speicherbegrenzung ein wesentlicher Bestandteil der Beherrschung digitaler Kriminalit\u00e4t. Unn\u00f6tig gespeicherte Daten erh\u00f6hen den Schaden durch Ransomware, Datenschutzverletzungen, Insider-Bedrohungen, unbefugte Exporte und Kompromittierung von Zugangsdaten. Zugleich k\u00f6nnen bestimmte Daten vor\u00fcbergehend f\u00fcr Sicherheit, Protokollierung, Untersuchung und Beweisf\u00fchrung erforderlich sein. Die Herausforderung liegt darin, ein verteidigungsf\u00e4higes Gleichgewicht zu finden: ausreichend Daten zu speichern, um Vorf\u00e4lle erkennen, untersuchen und rekonstruieren zu k\u00f6nnen, ohne ein unn\u00f6tig weitreichendes Informationsrisiko zu schaffen. Dies verlangt vorab festgelegte Speicherfristen f\u00fcr Sicherheitsprotokolle, Incident-Akten, Zugriffsregister, Meldungen, forensische Kopien und Kommunikation mit Aufsichtsbeh\u00f6rden. Speicherbegrenzung zeigt damit, ob die Organisation ihre digitale Informationsposition beherrscht oder lediglich wachsen l\u00e4sst. Ein sorgf\u00e4ltiger Aufbewahrungsrahmen sch\u00fctzt betroffene Personen, begrenzt die Auswirkungen von Vorf\u00e4llen und st\u00e4rkt die Verteidigungsf\u00e4higkeit von Entscheidungen unter Aufsicht, im Streitfall und in Krisensituationen.<\/p>\n

Integrit\u00e4t und Vertraulichkeit<\/h4>\n

Integrit\u00e4t und Vertraulichkeit verlangen, dass personenbezogene Daten vor unbefugter oder unrechtm\u00e4\u00dfiger Verarbeitung, Verlust, Zerst\u00f6rung, Besch\u00e4digung, Ver\u00e4nderung, Offenlegung und unbefugtem Zugriff gesch\u00fctzt werden. Dieses Prinzip bildet den sicherheitsbezogenen Kern der Datenschutz-Grundverordnung, darf jedoch nicht auf technische Informationssicherheit allein reduziert werden. Es handelt sich um eine integrierte Verpflichtung, in der rechtliche Verantwortung, administrative Steuerung, technische Sicherheit, organisatorische Ma\u00dfnahmen, vertragliche Garantien und operative Disziplin zusammenkommen. Angemessene Sicherheit verlangt daher eine risikobasierte Bewertung der Art der Daten, des Verarbeitungskontexts, der Bedrohungen, der m\u00f6glichen Folgen f\u00fcr betroffene Personen und der tats\u00e4chlichen Schwachstellen innerhalb von Systemen, Prozessen und operativen Ketten. Verschl\u00fcsselung, Zugriffsmanagement, Protokollierung, Segmentierung, Backup-Richtlinien, Patch-Management, Monitoring, Lieferantenkontrolle, Incident-Verfahren und Berechtigungsmodelle sind keine isolierten Sicherheitsinstrumente, sondern Bestandteile eines einheitlichen, koh\u00e4renten Schutzniveaus.<\/p>\n

Vertraulichkeit setzt voraus, dass nur diejenigen Personen, Systeme und Parteien Zugriff auf personenbezogene Daten erhalten, die diesen Zugriff f\u00fcr eine klar definierte Aufgabe oder einen klar definierten Zweck tats\u00e4chlich ben\u00f6tigen. In vielen Organisationen entstehen Risiken dadurch, dass Zugriffsrechte schrittweise ausgeweitet werden, tempor\u00e4re Berechtigungen aktiv bleiben, fr\u00fchere Rollen nicht rechtzeitig entzogen werden, gemeinsam genutzte Postf\u00e4cher unzureichend kontrolliert werden oder externe Dienstleister einen weitergehenden Zugriff erhalten, als funktional erforderlich ist. Solche Schwachstellen sind nicht blo\u00df technischer Natur, sondern betreffen unmittelbar Governance und nachweisbare Rechenschaftspflicht. Eine Organisation, die nicht pr\u00e4zise erkl\u00e4ren kann, wer Zugriff auf welche personenbezogenen Daten hat, weshalb dieser Zugriff besteht, wie lange er andauert und wie Missbrauch erkannt wird, verf\u00fcgt nicht \u00fcber ausreichende Kontrolle \u00fcber die Vertraulichkeit. Integrit\u00e4t verlangt dar\u00fcber hinaus, dass Daten nicht unbemerkt ver\u00e4ndert, manipuliert oder korrumpiert werden k\u00f6nnen. Dies ist besonders bedeutsam f\u00fcr Kundenakten, Finanzdaten, medizinische oder sozialhilferechtliche Daten, Risikosignale, Compliance-Aufzeichnungen, technische Protokolle und Beweismittel in Incident-Untersuchungen.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken bilden Integrit\u00e4t und Vertraulichkeit eine zentrale S\u00e4ule der Beherrschung digitaler Kriminalit\u00e4t. Viele digitale Kriminalit\u00e4tsrisiken entstehen, wenn kriminelle Akteure Zugriff auf personenbezogene Daten, Zugangsdaten, Kommunikationsmuster oder Informationen \u00fcber interne Prozesse erlangen und diese Informationen anschlie\u00dfend f\u00fcr Phishing, Spear-Phishing, Kompromittierung gesch\u00e4ftlicher E-Mail-Kommunikation, Identit\u00e4tsbetrug, Konto\u00fcbernahme, Ransomware oder Social Engineering nutzen. Der Schutz personenbezogener Daten ist daher nicht nur eine Verpflichtung aus dem Datenschutzrecht, sondern auch eine unmittelbare Verteidigungslinie gegen digitale Kriminalit\u00e4t. Eine Organisation, die personenbezogene Daten sorgf\u00e4ltig segmentiert, Zugriffe begrenzt, auff\u00e4lliges Verhalten erkennt, Vorf\u00e4lle z\u00fcgig untersucht und Datenfl\u00fcsse kontrollierbar h\u00e4lt, reduziert nicht nur das Risiko von Verst\u00f6\u00dfen gegen die Datenschutz-Grundverordnung, sondern auch das Risiko, dass personenbezogene Informationen in kriminellen Vorteil umgewandelt werden. Integrit\u00e4t und Vertraulichkeit zeigen damit, dass Datenschutz und die Beherrschung digitaler Kriminalit\u00e4t einander verst\u00e4rken: Daten zu sch\u00fctzen bedeutet, Personen, Prozesse, Reputation und institutionelles Vertrauen zu sch\u00fctzen.<\/p>\n

Nachweisbare Rechenschaftspflicht<\/h4>\n

Die nachweisbare Rechenschaftspflicht verlangt, dass der Verantwortliche die Grundprinzipien der Datenschutz-Grundverordnung nicht nur einh\u00e4lt, sondern auch nachweisen kann, dass diese Einhaltung tats\u00e4chlich besteht. Dieses Prinzip verwandelt die Datenschutz-Grundverordnung von einem rein normativen Rahmen in ein nachweisbares Governance-Modell. Gute Absichten, allgemeine Grundsatzerkl\u00e4rungen oder vereinzelte Compliance-Dokumente reichen nicht aus, wenn nicht dargelegt werden kann, wie Entscheidungen getroffen wurden, welche Risiken bewertet wurden, welche Ma\u00dfnahmen ergriffen wurden, wer verantwortlich ist, welche Kontrollen stattfinden und wie Abweichungen korrigiert werden. Nachweisbare Rechenschaftspflicht verlangt, dass Datenverarbeitung nachvollziehbar, erkl\u00e4rbar und \u00fcberpr\u00fcfbar ist. Dies bedeutet unter anderem, dass Verzeichnisse von Verarbeitungst\u00e4tigkeiten aktuell sein m\u00fcssen, Rechtsgrundlagen dokumentiert werden, Interessenabw\u00e4gungen festgehalten werden, Beziehungen zu Auftragsverarbeitern kontrolliert werden, Sicherheitsma\u00dfnahmen begr\u00fcndet werden und Antr\u00e4ge betroffener Personen sorgf\u00e4ltig rekonstruiert werden k\u00f6nnen.<\/p>\n

Die praktische Bedeutung der nachweisbaren Rechenschaftspflicht tritt besonders bei Beschwerden, Datenschutzverletzungen, Untersuchungen von Aufsichtsbeh\u00f6rden, Audits, Streitigkeiten und Incident Response hervor. In solchen Situationen geht es nicht nur darum, ob eine Organisation behauptet, sorgf\u00e4ltig gehandelt zu haben, sondern darum, ob die Akte diese Behauptung tr\u00e4gt. Eine Aufsichtsbeh\u00f6rde, ein Gericht, eine Vertragspartei oder eine betroffene Person wird \u00fcberpr\u00fcfen wollen, welche Erw\u00e4gungen ber\u00fccksichtigt wurden, welche Alternativen gepr\u00fcft wurden, weshalb bestimmte Daten erforderlich waren, weshalb eine Speicherfrist als angemessen angesehen wurde, weshalb ein bestimmtes Sicherheitsniveau als ausreichend galt und wie die Organisation auf Risikosignale reagiert hat. Nachweisbare Rechenschaftspflicht verlangt daher administrative Disziplin, bei der Dokumentation nicht nachtr\u00e4glich erstellt wird, um eine bestehende Praxis zu verteidigen, sondern vor und w\u00e4hrend des Prozesses als Entscheidungsinstrument dient. Daraus entsteht eine Organisation, die nicht von m\u00fcndlichen Erl\u00e4uterungen, individuellen Erinnerungen oder isoliertem Fachwissen abh\u00e4ngig ist, sondern \u00fcber eine nachweisbare Verantwortlichkeitslinie verf\u00fcgt.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken hat die nachweisbare Rechenschaftspflicht besondere Bedeutung, weil sich digitale Kriminalit\u00e4tsrisiken h\u00e4ufig in Situationen verwirklichen, in denen Geschwindigkeit, Unsicherheit und Beweisposition unter Druck stehen. Bei einer Datenschutzverletzung, einem Ransomware-Angriff, einer Phishing-Kampagne oder dem Verdacht unbefugten Zugriffs muss festgestellt werden k\u00f6nnen, welche Daten betroffen sind, welche Systeme involviert sind, welche Sicherheitsma\u00dfnahmen aktiv waren, welche Meldepflichten gelten, welche betroffenen Personen informiert werden m\u00fcssen und welche Abhilfema\u00dfnahmen erforderlich sind. Ohne nachweisbare Rechenschaftspflicht fehlt die Grundlage f\u00fcr eine glaubw\u00fcrdige Reaktion auf den Vorfall. Die Organisation kann dann nicht \u00fcberzeugend darlegen, dass Risiken im Voraus bewertet wurden, dass Ma\u00dfnahmen angemessen waren, dass Signale ernst genommen wurden und dass Eskalation geordnet stattgefunden hat. Nachweisbare Rechenschaftspflicht ist daher keine administrative Last, sondern eine strategische Verteidigungsposition. Sie erm\u00f6glicht es, unter Druck koh\u00e4rent, \u00fcberpr\u00fcfbar und rechtlich tragf\u00e4hig zu handeln.<\/p>\n

Datenschutz durch Gestaltung und durch datenschutzfreundliche Voreinstellungen<\/h4>\n

Datenschutz durch Gestaltung verlangt, dass Datenschutz bereits in der Anfangsphase der Konzeption von Prozessen, Systemen, Dienstleistungen, Produkten und Kooperationsmodellen integriert wird. Datenschutz darf nicht erst als korrigierende Ma\u00dfnahme hinzugef\u00fcgt werden, nachdem kommerzielle Entscheidungen, technische Konfigurationen und operative Arbeitsabl\u00e4ufe bereits festgelegt sind. Das Prinzip verlangt, dass bei jeder neuen digitalen Anwendung im Voraus bewertet wird, welche personenbezogenen Daten erforderlich sind, welche Rechtsgrundlage gilt, welche Risiken entstehen, welche Rechte betroffener Personen ber\u00fchrt werden k\u00f6nnen, welches Sicherheitsniveau erforderlich ist und wie Datenfl\u00fcsse begrenzt werden k\u00f6nnen. Dies erfordert eine enge Abstimmung zwischen rechtlicher Analyse, Produktentwicklung, Informationssicherheit, Data Governance, Beschaffung, Compliance und administrativer Entscheidungsfindung. Wird Datenschutz erst in einer sp\u00e4ten Phase des Prozesses einbezogen, sind Systeme h\u00e4ufig bereits auf umfassende Datenerhebung, weitreichende Zugriffe, lange Speicherfristen oder unklare Verbindungen zu Dritten ausgerichtet. Korrekturen werden dann kostspielig, langsam und h\u00e4ufig unvollst\u00e4ndig.<\/p>\n

Datenschutz durch datenschutzfreundliche Voreinstellungen erg\u00e4nzt dieses Prinzip, indem verlangt wird, dass Standardeinstellungen die Privatsph\u00e4re sch\u00fctzen. Die betroffene Person darf nicht von komplexen Auswahlentscheidungen, verborgenen Einstellungen oder aktiven Opt-out-Mechanismen abh\u00e4ngig gemacht werden, um Schutz zu erhalten. Standardm\u00e4\u00dfig d\u00fcrfen nur diejenigen personenbezogenen Daten verarbeitet werden, die f\u00fcr den konkreten Zweck erforderlich sind. Dies gilt f\u00fcr Online-Formulare, Kundenportale, Anwendungen, Cookies, Marketingpr\u00e4ferenzen, Nutzerprofile, Standortdaten, Kommunikationseinstellungen, Berechtigungen und interne Arbeitsabl\u00e4ufe. Das Prinzip verhindert, dass Organisationen Schutz formal anbieten, ihn aber praktisch durch Komplexit\u00e4t, unklare Sprache oder lenkende Interface-Entscheidungen erschweren. Datenschutzfreundliche Voreinstellungen sind daher auch eine Verhaltensnorm f\u00fcr digitale Interaktion: Der Nutzer soll Schutz nicht erst durch Aufmerksamkeit, technische Kompetenz oder juristisches Wissen erwerben m\u00fcssen, sondern darf erwarten, dass ein Grundschutz standardm\u00e4\u00dfig vorhanden ist.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken sind Datenschutz durch Gestaltung und datenschutzfreundliche Voreinstellungen unverzichtbar f\u00fcr eine nachhaltige Beherrschung digitaler Kriminalit\u00e4t. Systeme, die bereits in der Konzeption mit begrenzter Datenerhebung, klaren Rollen, starker Authentifizierung, getrennten Umgebungen, Protokollierung, Datenklassifizierung, sicheren Standardeinstellungen und kontrollierbaren Datenfl\u00fcssen arbeiten, sind widerstandsf\u00e4higer gegen Missbrauch. Demgegen\u00fcber erh\u00f6hen Systeme, in denen umfassender Zugriff, standardm\u00e4\u00dfige Weitergabe, dauerhafte Speicherung und unzureichende Segmentierung von Anfang an angelegt sind, die Auswirkungen von kompromittierten Zugangsdaten, Insider-Bedrohungen, Datenschutzverletzungen und Ransomware. Datenschutz durch Gestaltung und datenschutzfreundliche Voreinstellungen bringen Datenschutz und Sicherheit durch Gestaltung praktisch zusammen. Sie gew\u00e4hrleisten, dass digitale Innovation nicht auf maximaler Datenverf\u00fcgbarkeit beruht, sondern auf Erforderlichkeit, Verh\u00e4ltnism\u00e4\u00dfigkeit, Kontrollierbarkeit und Schutzf\u00e4higkeit. Datenverarbeitung wird dadurch nicht nur widerstandsf\u00e4higer gegen\u00fcber der Pr\u00fcfung nach der Datenschutz-Grundverordnung, sondern auch resilienter gegen\u00fcber digitaler Kriminalit\u00e4t.<\/p>\n

Die Rechte betroffener Personen als praktische Auspr\u00e4gung der Grundprinzipien<\/h4>\n

Die Rechte betroffener Personen bilden die konkrete operative \u00dcbersetzung der Grundprinzipien der Datenschutz-Grundverordnung. Auskunft, Berichtigung, L\u00f6schung, Einschr\u00e4nkung der Verarbeitung, Daten\u00fcbertragbarkeit, Widerspruch und Schutz vor ausschlie\u00dflich automatisierten Entscheidungen geben betroffenen Personen Instrumente an die Hand, um Kontrolle, Korrektur und Begrenzung durchzusetzen. Diese Rechte lassen sich nicht von den Prinzipien trennen. Transparenz gewinnt Bedeutung, weil eine betroffene Person Auskunft verlangen kann. Richtigkeit gewinnt Bedeutung, weil Berichtigung verlangt werden kann. Speicherbegrenzung gewinnt Bedeutung, weil L\u00f6schung unter bestimmten Umst\u00e4nden durchgesetzt werden kann. Zweckbindung und Datenminimierung gewinnen Bedeutung, weil gegen bestimmte Formen der Verarbeitung Widerspruch erhoben werden kann. Nachweisbare Rechenschaftspflicht gewinnt Bedeutung, weil die Organisation erkl\u00e4ren k\u00f6nnen muss, wie ein Antrag bewertet wurde, welche Daten gefunden wurden, welche Ausnahmen gelten und weshalb bestimmte Informationen bereitgestellt oder nicht bereitgestellt werden.<\/p>\n

In der Praxis zeigen die Rechte betroffener Personen h\u00e4ufig, ob eine Organisation ihre Datenumgebung tats\u00e4chlich beherrscht. Ein Auskunftsersuchen mag einfach erscheinen, verlangt jedoch Klarheit dar\u00fcber, wo sich personenbezogene Daten befinden, welche Systeme relevant sind, welche Dritten Daten verarbeiten, welche Ausnahmen gelten k\u00f6nnen, welche Informationen \u00fcber andere Personen gesch\u00fctzt werden m\u00fcssen und wie das Ergebnis verst\u00e4ndlich dargestellt werden kann. Ein L\u00f6schungsersuchen verlangt Kenntnis dar\u00fcber, welche Aufbewahrungspflichten bestehen, welche Daten weiterhin erforderlich sind, welche Daten sich bei Auftragsverarbeitern befinden und wie die L\u00f6schung tats\u00e4chlich umgesetzt wird. Ein Antrag auf Einschr\u00e4nkung oder ein Widerspruch verlangt, dass Systeme Verarbeitung aussetzen oder isolieren k\u00f6nnen, ohne dass Daten unkontrolliert durch automatisierte Prozesse weiterflie\u00dfen. Die Rechte betroffener Personen wirken daher als operativer Stresstest f\u00fcr Data Governance, Prozessgestaltung, Lieferantenmanagement, Dokumentation und interne Verantwortung.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken sind diese Rechte auch f\u00fcr Vertrauen und die Beherrschung digitaler Kriminalit\u00e4t relevant. Personen, die unzureichende Informationen \u00fcber Verarbeitung, Berichtigung oder L\u00f6schung erhalten, verlieren leichter das Vertrauen in digitale Dienste und werden nach einem Vorfall anf\u00e4lliger f\u00fcr Unsicherheit. Bei Datenschutzverletzungen, Identit\u00e4tsbetrug, Konto\u00fcbernahme oder unrechtm\u00e4\u00dfiger Offenlegung kann die wirksame Aus\u00fcbung von Rechten zur Schadensbegrenzung, Wiederherstellung und Kl\u00e4rung beitragen. Gleichzeitig m\u00fcssen Organisationen diese Rechte sorgf\u00e4ltig gegen Sicherheitsinteressen, Betrugspr\u00e4vention, laufende Untersuchungen, gesetzliche Verpflichtungen und Rechte Dritter abw\u00e4gen. Dies verlangt Verfahren, die zugleich zug\u00e4nglich und rechtlich pr\u00e4zise sind. Eine Organisation muss nicht nur fristgerecht reagieren, sondern auch inhaltlich erl\u00e4utern, gezielt suchen, Ausnahmen begr\u00fcnden und die Umsetzung \u00fcberpr\u00fcfen. Die Rechte betroffener Personen sind daher keine administrative Verpflichtung am Rand eines Datenschutzprogramms, sondern ein unmittelbarer Ma\u00dfstab f\u00fcr die Verl\u00e4sslichkeit digitaler Prozesse.<\/p>\n

Die Grundprinzipien der Datenschutz-Grundverordnung als Fundament strategischer digitaler Integrit\u00e4tssteuerung<\/h4>\n

Zusammengenommen bilden die Grundprinzipien der Datenschutz-Grundverordnung das Fundament strategischer digitaler Integrit\u00e4tssteuerung. Sie schaffen Koh\u00e4renz zwischen Rechtm\u00e4\u00dfigkeit, Verh\u00e4ltnism\u00e4\u00dfigkeit, Transparenz, Datenqualit\u00e4t, Sicherheit, Speicherpolitik, nachweisbarer Rechenschaftspflicht und Rechtsschutz. Daraus entsteht ein Rahmen, mit dem digitale Prozesse nicht nur technisch oder kommerziell, sondern auch normativ, rechtlich und administrativ bewertet werden k\u00f6nnen. In einem datengetriebenen Umfeld besteht ein st\u00e4ndiger Druck, mehr Daten zu erheben, sie l\u00e4nger zu speichern, umfassender zu analysieren und schneller miteinander zu verkn\u00fcpfen. Die Prinzipien der Datenschutz-Grundverordnung stellen diesem Druck eine andere Pr\u00e4misse entgegen: Datenverarbeitung muss erforderlich, zweckgebunden, erkl\u00e4rbar, sicher, begrenzt und nachweisbar beherrscht sein. Diese Pr\u00e4misse ist wesentlich f\u00fcr jede Organisation, die digitale Innovation mit Vertrauen, Legitimit\u00e4t und administrativer Verl\u00e4sslichkeit verbinden will.<\/p>\n

Strategische digitale Integrit\u00e4tssteuerung verlangt, dass die Prinzipien der Datenschutz-Grundverordnung nicht isoliert angewandt werden. Rechtm\u00e4\u00dfigkeit ohne Transparenz bleibt verletzlich. Zweckbindung ohne Datenminimierung verliert an Pr\u00e4zision. Sicherheit ohne Speicherbegrenzung l\u00e4sst unn\u00f6tige Risiken bestehen. Nachweisbare Rechenschaftspflicht ohne tats\u00e4chliche Prozesskontrolle wird zu einer blo\u00df dokumentarischen Verteidigung. Die Rechte betroffener Personen ohne verl\u00e4ssliches Dateninventar bleiben formal, praktisch jedoch unzureichend. Die St\u00e4rke der Prinzipien liegt daher in ihrer wechselseitigen Wirkung. Sie verpflichten dazu, Datenverarbeitung als administratives Ganzes zu betrachten, in dem Rechtsgrundlage, operative Umsetzung, technische Konfiguration, Lieferantenkette, Risikobewertung und Aufsichtsbest\u00e4ndigkeit zusammenkommen. Datenschutz verschiebt sich dadurch von einer separaten Compliance-Funktion zu einem zentralen Bestandteil digitaler Entscheidungsfindung.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4tsrisiken besitzt dieses Fundament besonderen Wert, weil digitale Kriminalit\u00e4tsrisiken und Datenschutzrisiken zunehmend dieselben Schwachstellen betreffen. Unbegrenzte Datenerhebung erh\u00f6ht den Schaden durch Datenschutzverletzungen. Unklare Zwecke machen Monitoring und Untersuchungen schwer verteidigungsf\u00e4hig. Schwache Zugriffskontrolle erh\u00f6ht das Risiko von Konto\u00fcbernahme und internem Missbrauch. Unzureichende Transparenz beeintr\u00e4chtigt das Vertrauen nach Vorf\u00e4llen. Fehlende nachweisbare Rechenschaftspflicht schw\u00e4cht die Position gegen\u00fcber Aufsichtsbeh\u00f6rden, Kunden, Vertragspartnern und betroffenen Personen. Die Grundprinzipien der Datenschutz-Grundverordnung bieten daher nicht nur Regeln f\u00fcr den Datenschutz, sondern auch einen strategischen Rahmen f\u00fcr die Beherrschung digitaler Kriminalit\u00e4t. Sie helfen zu bestimmen, welche Informationen erforderlich sind, wie diese Informationen gesch\u00fctzt werden m\u00fcssen, wann ihre Nutzung zu begrenzen ist, wie Verantwortung nachweisbar wird und wie digitale Systeme auf einem rechtlich, ethisch und administrativ verteidigungsf\u00e4higen Kurs bleiben.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Pr\u00e4vention\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Erkennung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Untersuchung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Reaktion\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Beratung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Prozessf\u00fchrung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Verhandlung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Die Grundprinzipien der Datenschutz-Grundverordnung bilden den tragenden normativen Rahmen f\u00fcr jede Verarbeitung personenbezogener Daten, die rechtlich tragf\u00e4hig, administrativ erkl\u00e4rbar und operativ verteidigungsf\u00e4hig sein muss. Sie bestimmen nicht nur die Voraussetzungen, unter denen Daten erhoben, verwendet, weitergegeben, gespeichert oder gel\u00f6scht werden d\u00fcrfen, sondern auch den Sorgfaltsma\u00dfstab, der von einer Organisation verlangt wird, wenn digitale Prozesse, kommerzielle Zielsetzungen, technische Systeme und Abh\u00e4ngigkeiten innerhalb von Wertsch\u00f6pfungs- und Lieferketten zusammentreffen. In einem Umfeld, in dem Daten fortlaufend erzeugt, angereichert, verkn\u00fcpft, analysiert und \u00fcbermittelt werden, setzen diese Prinzipien eine notwendige Grenze gegen\u00fcber unspezifischer Datenerhebung, unzureichend begr\u00fcndeter Weiterverwendung, mangelhafter Sicherheit und administrativer Bequemlichkeit. Ihre Bedeutung reicht<\/p>\n","protected":false},"author":2,"featured_media":34736,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[184],"tags":[],"class_list":["post-6450","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz-daten-und-cybersicherheit"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6450","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/comments?post=6450"}],"version-history":[{"count":25,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6450\/revisions"}],"predecessor-version":[{"id":34790,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6450\/revisions\/34790"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media\/34736"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media?parent=6450"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/categories?post=6450"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/tags?post=6450"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}