Der Datenintermediär ist so konzipiert und betrieben, dass alle Verarbeitungsvorgänge personenbezogener Daten in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) erfolgen und die datenschutzrechtlichen Verantwortlichkeiten klar geregelt sind.
Alle personenbezogenen Daten werden ausschließlich auf Basis der DSGVO verarbeitet, wobei der EU Data Governance Act keine eigenständigen datenschutzrechtlichen Erlaubnistatbestände schafft, sondern die organisatorischen und governancebezogenen Rahmenbedingungen der Datenvermittlung ergänzt.
Die datenschutzrechtlichen Rollen, insbesondere Verantwortliche, gemeinsam Verantwortliche oder Auftragsverarbeiter, werden je nach Anwendungsfall eindeutig festgelegt und vertraglich dokumentiert, sodass jederzeit klar ist, wer für welche Verarbeitung verantwortlich ist.
Personenbezogene Daten werden nur für klar definierte und vertraglich vereinbarte Zwecke verarbeitet und auf das notwendige Maß beschränkt, wobei technische und organisatorische Maßnahmen eine zweckfremde Nutzung verhindern.
Der Datenintermediär setzt geeignete technische und organisatorische Maßnahmen ein, um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten, einschließlich Zugriffskontrollen, Protokollierung, Verschlüsselung und Trennung von Verarbeitungsumgebungen.
Betroffene Personen werden transparent über die Verarbeitung informiert und können ihre Rechte nach der DSGVO, insbesondere auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, im Rahmen der jeweils geltenden Verantwortlichkeiten wahrnehmen.
Der Dienst folgt den Prinzipien des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, sodass datenschutzrechtliche Anforderungen bereits in der Systemarchitektur und den Prozessen berücksichtigt sind.