5.8 Datenschutzfreundlichkeit

5.8.1 Bereits in der Konzeption sollte, ausgehend von den vorgesehenen Verarbeitungsvorgängen (Verzeichnis der Verarbeitungstätigkeiten), eine Datenschutzfolgenabschätzung (DSFA) gemäß Datenschutz-Grundverordnung (Art. 35 DSGVO) durchgeführt werden.

5.8.2 Es muss bereits bei der Konzeption ein Datenschutzkonzept entwickelt werden, das geeignete technische und organisatorische Maßnahmen festlegt, um die mit der Verarbeitung der Daten einhergehenden Risiken angemessen zu mindern.

5.8.3 Onlineservices und -portale müssen den Umfang der genutzten Daten auf das erforderliche Maß reduzieren.

BEISPIEL Die Prüfung, ob das Geschlecht der Person für die Bearbeitung des Antrags zwingend erforderlich ist, oder ausschließlich für die Begrüßungsformel Verwendung findet.

5.8.4 Onlineservices und -portale müssen die Prinzipien „Datenschutz durch Technikgestaltung” (en: „Data protection by design and by default” aus der DSGVO) und „datenschutzfreundliche Voreinstellungen” umsetzen.

5.8.5 Onlineservices und -portale müssen die betroffenen Personen transparent über die Verarbeitungen und Schnittstellen zu weiteren Onlineservices (3.16) informieren und die Betroffenenrechte sicherstellen.

5.8.6 Onlineservices und -portale müssen Aufbewahrungsfristen festlegen und personenbezogene Daten fristgerecht löschen.