Was sind die 7 Grundsätze des Datenschutzes?
Februar 2026
Art. 5 DSGVO formuliert die wesentlichen Grundsätze für die Verarbeitung personenbezogener Daten. Diese sieben Grundsätze bilden das Fundament des europäischen Datenschutzrechts und gelten für jede Verarbeitung personenbezogener Daten in Ihrem Unternehmen: egal ob es um Kundendaten, Mitarbeiterinformationen oder Bewerbungsunterlagen geht.
Die Verarbeitung muss rechtmäßig, nach Treu und Glauben, nachvollziehbar, zweckgebunden, auf das notwendige Maß beschränkt, auf der Basis richtiger Daten und die Integrität und Vertraulichkeit wahrend stattfinden. Hinzu kommt die Rechenschaftspflicht, die Sie als Unternehmen verpflichtet, die Einhaltung dieser Grundsätze nachzuweisen.
Diese Grundsätze sind nicht abstrakte Theorie, sondern haben konkrete Auswirkungen auf Ihre tägliche Arbeit. Wer sie missachtet, riskiert empfindliche Bußgelder und Reputationsschäden.
Grundsatz 1: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Rechtmäßigkeit bedeutet: Sie benötigen eine Rechtsgrundlage für jede Datenverarbeitung. Art. 6 Abs. 1 DSGVO listet sechs mögliche Rechtsgrundlagen auf:
Die betroffene Person hat ihre Einwilligung gegeben;
die Verarbeitung ist für die Erfüllung eines Vertrags (wichtig: mit der betroffenen Person) erforderlich;
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
die Verarbeitung ist für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich; oder
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.
In der Praxis bedeutet das: Wenn Sie Newsletter versenden, benötigen Sie in der Regel eine Einwilligung. Wenn Sie Kundendaten zur Rechnungsstellung speichern, ist die Rechtsgrundlage die Vertragserfüllung. Wenn Sie Bewerberdaten auswerten, kann entweder die vorvertragliche Beziehung oder Ihr berechtigtes Interesse als Arbeitgeber die Rechtsgrundlage sein. In jedem Fall müssen Sie die Rechtsgrundlage stets ermitteln und dokumentieren.
Verarbeitung nach Treu und Glauben verlangt redliches Handeln: Sie dürfen betroffene Personen nicht täuschen oder übervorteilen. Heimliche Datenerhebung oder intransparente Weitergaben an Dritte verstoßen gegen diesen Grundsatz.
Transparenz fordert klare Kommunikation: Betroffene müssen verstehen können, was mit ihren Daten geschieht, wer sie verarbeitet, zu welchem Zweck und wie lange sie gespeichert werden. In der Praxis wird diese Transparenz hergestellt, indem man der betroffenen Person erklärt, wie mit ihren Daten umgegangen wird: Die Datenschutzerklärung.
Wichtig ist daher: Datenschutzerklärungen müssen vollständig sein und verständlich formuliert sein, nicht in juristischem Fachjargon.
Grundsatz 2: Zweckbindung bei der Datenverarbeitung
Die Zwecke der Datenverarbeitung müssen bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein. Der Zweck der Datenverarbeitung legt fest, warum die Daten verarbeitet werden.Eine spätere Verarbeitung zu anderen Zwecken ist nur unter engen Voraussetzungen erlaubt.
Ein paar Praxisbeispiele: Wenn Sie Bewerberdaten für die Personalauswahl erheben, dürfen Sie diese nicht später für Marketingzwecke nutzen. Wenn Sie Website-Besucherdaten für Sicherheitszwecke speichern, dürfen Sie diese nicht für Werbezwecke analysieren.
Der Zweck muss vor der Erhebung festgelegt werden, nicht nachträglich. Dokumentieren Sie daher klar, wozu Sie welche Daten erheben. Diese Dokumentation ist nicht nur rechtlich geboten, sondern hilft Ihnen auch, Ihre Datenverarbeitung intern zu organisieren.
Grundsatz 3: Datenminimierung in der Praxis
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
Fragen Sie also nur ab, was Sie wirklich brauchen. Die Frage, welche Daten benötigt werden, hängt stark mit dem gerade festgelegten Zweck zusammen. Stellen Sie sich die Frage, ob der Zweck auch (gleich gut) erreicht werden kann, ohne das jeweilige Datum zu erfassen.
Ein paar Beispiele: Wenn Sie für die Rechnungsstellung nur Name und Adresse benötigen, benötigen Sie nicht zusätzlich Geburtsdatum, Telefonnummer oder Familienstand. Wenn Sie ein Kontaktformular auf Ihrer Website anbieten, fragen Sie nicht nach Informationen, die für die Kontaktaufnahme irrelevant sind.
Datenminimierung reduziert nicht nur rechtliche Risiken, sondern auch die Angriffsfläche bei Datenpannen. Je weniger Daten Sie speichern, desto geringer ist der potenzielle Schaden bei einem Cyberangriff oder technischen Fehler. Zudem sinken Ihre Speicher- und Verwaltungskosten.
Grundsatz 4: Richtigkeit der Daten sicherstellen
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. es müssen angemessene Maßnahmen getroffen werden, damit unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
Wenn ein Kunde Ihnen mitteilt, dass seine Adresse veraltet ist, müssen Sie diese aktualisieren. Wenn Sie feststellen, dass Mitarbeiterdaten fehlerhaft sind, besteht Handlungspflicht. Wenn ein Bewerber Sie darauf hinweist, dass in seinen Unterlagen ein Fehler enthalten ist, müssen Sie diesen korrigieren.
Regelmäßige Datenqualitätsprüfungen sind daher keine Kür, sondern Pflicht. Implementieren Sie Prozesse, die sicherstellen, dass veraltete oder fehlerhafte Daten erkannt und korrigiert werden. Das kann beispielsweise ein jährlicher Review-Prozess für Kundendaten oder eine automatische Abfrage bei längerer Inaktivität sein.
Diesen Grundsatz einzuhalten ist aber schon aus Eigennutz sinnvoll: Je aktueller und damit richtiger Daten sind, desto mehr Nutzen haben diese auch für das Unternehmen selbst.
Grundsatz 5: Speicherbegrenzung und Löschpflichten
Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht oder die Identifizierung der betroffenen Person aufgehoben werden (also die Daten anonymisiert).
Bewerbungsunterlagen abgelehnter Kandidaten dürfen nicht jahrelang aufbewahrt werden. Als Faustregel gilt hier: maximal sechs Monate nach Abschluss des Bewerbungsverfahrens, sofern keine Einwilligung zur längeren Speicherung vorliegt. Kundendaten müssen nach Vertragsende gelöscht werden, sobald keine gesetzlichen Aufbewahrungsfristen mehr bestehen und etwaige Verjährungsfristen abgelaufen sind. Auch die Speicherdauer hängt also wieder vom Zweck ab. Wenn die Daten einem aktuellen Nutzen dienen, können sie gespeichert werden. Ist der Nutzen abgelaufen, ist eine Speicherung nur noch bei Dokumentationspflichten zulässig.
Implementieren Sie Löschkonzepte und dokumentieren Sie Aufbewahrungsfristen für verschiedene Datenkategorien. Erstellen Sie eine Übersicht, aus der klar hervorgeht: Welche Daten werden wie lange gespeichert? Welche gesetzlichen Fristen gelten? Wann erfolgt die automatische oder manuelle Löschung?
Grundsatz 6: Integrität und Vertraulichkeit durch Datensicherheit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten.
Technische Schutzmaßnahmen umfassen unter anderem Verschlüsselung, Zugangskontrollen, Firewalls und regelmäßige Backups. Auch organisatorische Maßnahmen wie Mitarbeiterschulungen, klare Zugriffsberechtigungen und Datenschutz-Richtlinien gehören dazu.
Konkret bedeutet das: Verschlüsseln Sie sensible Daten bei der Übertragung und Speicherung. Beschränken Sie Zugriffsrechte auf das notwendige Maß. Führen Sie regelmäßige Sicherheitsupdates durch. Schulen Sie Ihre Mitarbeiter im Umgang mit personenbezogenen Daten. Erstellen Sie Notfallpläne für den Fall einer Datenpanne.
Die Angemessenheit der Sicherheitsmaßnahmen richtet sich nach dem Stand der Technik, den Implementierungskosten und der Art, dem Umfang und den Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für die betroffenen Personen. Auf gut Deutsch: Was aktuell ist, ändert sich mit der Zeit und sollte daher regelmäßig überprüft werden.
Grundsatz 7: Rechenschaftspflicht und Dokumentation
Der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO nachweisen können, dass er die genannten Datenschutzgrundsätze einhält.
Es reicht nicht, die Grundsätze zu befolgen. Sie müssen dies auch belegen können. Wenn die Aufsichtsbehörde anfrägt, müssen Sie dokumentieren, welche Rechtsgrundlagen Sie nutzen, welche technischen Maßnahmen implementiert sind, wie Sie Löschfristen einhalten und wie Sie die Richtigkeit der Daten sicherstellen.
Unverzichtbare Werkzeuge sind:
Verarbeitungsverzeichnisse nach Art. 30 DSGVO, die alle Verarbeitungstätigkeiten dokumentieren;
Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen;
Dokumentationen zu technisch-organisatorischen Maßnahmen, die Ihre Sicherheitskonzepte beschreiben;
Datenschutzverträge, zum Beispiel Auftragsverarbeitungsverträge, mit allen externen Dienstleistern;
Einwilligungsnachweise, wenn Sie Daten auf Basis einer Einwilligung verarbeiten.
Die Rechenschaftspflicht bedeutet auch: Führen Sie interne Audits durch. Überprüfen Sie regelmäßig, ob Ihre Prozesse den Grundsätzen entsprechen. Dokumentieren Sie Entscheidungen und Abwägungen, insbesondere wenn Sie sich auf Ihr berechtigtes Interesse stützen.
Warum diese Grundsätze für Ihr Unternehmen entscheidend sind
Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten können Bußgelder, Schadensersatz oder sowie Maßnahmen der Aufsichtsbehörde nach sich ziehen.
Doch es geht nicht nur um die Vermeidung von Strafen. Unternehmen, die diese Grundsätze konsequent umsetzen, signalisieren Professionalität und schaffen Vertrauen bei Kunden, Geschäftspartnern und Mitarbeitern. In einem Marktumfeld, in dem Datenschutzverstöße regelmäßig in den Schlagzeilen landen, wird bewährte Compliance zum messbaren Wettbewerbsvorteil.
Kunden achten zunehmend darauf, wie Unternehmen mit ihren Daten umgehen. Eine transparente, verantwortungsvolle Datenverarbeitung kann zum Unterscheidungsmerkmal werden, das Sie von Wettbewerbern abhebt. Gleichzeitig schützen Sie sich vor den erheblichen Kosten, die eine Datenpanne oder ein behördliches Verfahren nach sich ziehen können.
Sie möchten die sieben Datenschutzgrundsätze rechtssicher in Ihrem Unternehmen umsetzen? MAINLY unterstützt Sie mit pragmatischen Lösungen: von der Implementierung technischer und organisatorischer Maßnahmen über die vollständige Dokumentation Ihrer Compliance bis zur strategischen Beratung bei komplexen Datenverarbeitungen.
