Personenbezogene Daten und die DSGVO

die DSGVO im Unternehmensalltag - Personenbezogene Daten nach DSGVO einfach erklärt

Personenbezogene Daten in Verbindung mit der DSGVO

Personenbezogene Daten sind Angaben über eine bestimmte oder eine bestimmbare Person. Der Begriff entstammt dem Datenschutzrecht. Die Datenschutzgesetze der deutschsprachigen Staaten definieren den Begriff jedoch unterschiedlich. Im Text geht es um folgende Fragen:

Häufig gestellte Fragen zu personenbezogenen Daten:

• Wann müssen personenbezogene Daten gelöscht werden?
• Was fällt nicht unter personenbezogene Daten?
• Weitere Beispiele für nicht personenbezogene Daten

Personenbezogene Daten spielen in unserem Arbeitsumfeld eine immer größere Rolle. In jedem Unternehmen, jeder staatlichen Institution und in den sozialen Medien werden Daten erhoben, gesammelt und verarbeitet. Viele dieser Informationen enthalten personenbezogene Daten, welche seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 für den Schutz dieser erhobenen Datenströme sorgen soll. Bei einem Verstoß gegen die Verordnung drohen harte Strafen, Sanktionen und ein nicht abschätzbarer Imageschaden. Aus diesem Grund sollten sich Unternehmen gut informieren, wie mit personenbezogenen Daten umzugehen ist, um Bußgeldern und Sanktionen zu entgehen und einen Imageschaden zu vermeiden.

1. Personenbezogene Daten: Definition und praktische Beispiele

Personenbezogene Daten werden im Artikel 4 Nr. 1 der DSGVO definiert. Sie beschreiben sich als Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die natürliche Person steht hierbei sinngleich für jede lebende natürliche Person. Identifizierbare Personen können durch die gesammelten Informationen direkt oder indirekt zugeordnet werden. In der Praxis würde diese Identifikationsmöglichkeit bei Kundenummern, Mitarbeiternummern usw. zum Tragen kommen. Hierbei ist es unerheblich, ob die Person identifiziert wurde – die Möglichkeit der Identifizierung ist ausreichend.

Alle Angaben, welche es erlauben Einblicke in die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität geben können, fallen unter den Begriff personenbezogene Daten bei natürlichen Personen. Als Beispiele können hier Telefonnummern, IP-Adressen oder auch das Erscheinungsbild einer Person genannt werden. Theoretisch können auch verarbeitete Arbeitszeiten unter die personenbezogenen Daten fallen.

Personenbezogene Daten DSGVO-konform erfassen - Einige Beispiele für die Erhebung von personenbezogenen Daten

• Bankdaten

• Demographische Daten

• Identifizierungsnummern

• Erhobene Onlinedaten

• Zeugnisse

• Gesundheitsinformationen

• Politische Einstellung

• Religiöse Daten

• Sexuelle Orientierung

2. Wie ist die Arbeit in Unternehmen mit personenbezogenen Daten geregelt?

Die meisten Unternehmen sind unmittelbar oder mittelbar mit der Verarbeitung von Daten und Informationen beschäftigt. Diese Datenverarbeitung fällt grundsätzlich unter die allgemeinen Grundsätze des Datenschutzes. Diese festgelegten Grundsätze müssen zwingend berücksichtigt werden und deren Einhaltung nachgewiesen werden.

Folgende Grundsätze (Artikel 5 Abs.1 DS-GVO) müssen eingehalten werden:

Rechtmäßigkeit der Datenverarbeitung

Eine Datenverarbeitung ist nur dann zulässig, wenn eine Rechtsgrundlage oder die Einwilligung der betroffenen Person vorliegt.

Informationsverarbeitung nach Treu und Glauben

Die personenbezogenen Daten dürfen grundsätzlich nur so verarbeitet werden, wie sie in einer Erhebung auch angegeben wurden. Die Verarbeitung darf nur eine vertrauenswürdige Person durchführen.

Transparenz der Datenverarbeitung

Ist man von einer Verarbeitung der eigenen Daten betroffen, so hat man immer das Recht auf eine informelle Selbstbestimmung. Jederzeit kann hierdurch hinterfragt werden, wer die Daten verarbeitet und zu welchem Zweck die Verarbeitung dient.

Die Zweckbindung

Grundsätzlich muss bei einer Verarbeitung von personenbezogenen Daten ein nachvollziehbarer Zweck vorliegen. Dieser muss einen festgelegten, eindeutigen und legitimen Grund verfolgen und muss nachvollziehbar sinnhaft sein.

Die Minimierung von Daten

Die Erhebung von personenbezogenen Daten muss für die Zweckerfüllung auf ein notwendiges Maß reduziert werden. Grundsätzlich sollen so wenig persönliche Daten wie möglich erfasst werden. Durch diesen Grundsatz werden die Datenströme minimiert.

Richtigkeit der Datenverarbeitung

Die Daten sind grundsätzlich sachlich korrekt aufzunehmen und müssten stets auf dem aktuellen Stand sein. Betroffene können jederzeit eine Datenberichtigung einfordern.

Begrenzung der Speicherung

Die erhobenen personenbezogenen Daten dürfen nur für einen Zeitraum gespeichert werden, der für den angedachten Verwendungszweck notwendig ist. Ist die Archivierung der Daten nicht mehr nötig, so müssen die personenbezogenen Informationen gelöscht werden. Eine Ausnahme besteht dann, wenn gesetzliche Aufbewahrungsfristen greifen.

Integrität und Vertraulichkeit

Personenbezogene Daten sind mit einer hohen und angemessenen Sicherheit zu behandeln. Diese soll vor einer unrechtmäßigen Verarbeitung schützen und Verlust, Zerstörung oder unrechtmäßigen Zugriff unterbinden. Dieser Schutz wird durch technische und organisatorische Maßnahmen (TOM) gewährleistet, die im Artikel 32 der DSGVO festgelegt sind.

3. Welche Arten von personenbezogenen Daten gibt es?

Der Schutz der personenbezogenen Daten stellt den Mittelpunkt der DSGVO dar. Hier wird zwischen verschiedenen Arten von personenbezogenen Daten unterschieden. Dies bedeutet, dass das Schutzbedürfnis innerhalb der verschiedenen Kategorien unterschiedlich ausgeprägt ist.

Personenbezogene Daten – besonders schützenswerte Daten

Zu dieser Kategorie zählen Erhebungsdaten, die Angaben zur ethnischen Herkunft machen. Gleichsam gelten politische Auffassungen, religiöse oder weltliche Anschauungen, eine Zugehörigkeit zu einer Gewerkschaft, die sexuelle Orientierung und genetische oder biometrische Daten als besonders sensibel und besitzen somit ein besonderes Schutzbedürfnis.

Die DSGVO schließt die personenbezogene Verarbeitung der Daten aus diesen Kategorien aus. In besonderen Fällen kann die Verarbeitung aber gestattet werden, die meistens mit der schriftlichen Einwilligung des Betroffenen einhergeht.

Wie ist die Einwilligung der Datenverarbeitung in diesen Kategorien geregelt?

Die Einwilligung muss zwingend ausdrücklich erfolgen und sich auf obige Kategorien beziehen. Der Betroffene muss auf die Verarbeitung der sensiblen Daten explizit hingewiesen werden. Die Einwilligung ist grundsätzlich freiwillig abzugeben. Ist diese Einwilligung in einem Arbeitsverhältnis abzugeben, so dürfen keine negativen Konsequenzen entstehen. Der Arbeitnehmer muss über den Zweck der Verarbeitung und sein Widerrufsrecht in Kenntnis gesetzt werden.

Zusätzliche Anforderungen in den besonderen Kategorien

In den Kategorien mit besonderer Schutzbedürftigkeit sind besondere Anforderungen zu erfüllen. Die Verarbeitung von personenbezogenen Daten bedarf einer Einwilligungserklärung der betroffenen Person. Das Unternehmen müssen die technischen und organisatorischen Maßnahmen sicherstellen und die Formulierungen in den Erklärungen überprüfen. Grundsätzlich muss eine Erlaubnis zur Erhebung gemäß Artikel 9 Abs. 2 DSGVO vorliegen. Jedes Unternehmen sollte sich verinnerlichen, dass die Verarbeitung von personenbezogenen Daten aus den besonderen Kategorien eine Ausnahme darstellen sollte!

4. Warum gelten personenbezogene Daten als schützenswert?

Will man den Datenschutz korrekt einhalten, so sind viele Details zu beachten. Besonders wenn die erhobenen Daten Rückschlüsse auf die Lebensführung oder zur Identifikation einer Person dienen könnten, so gelten diese Informationen als besonders schützenswürdig.

Für Unternehmen sind personenbezogene Daten oft einem monetären Vorteil gleichzusetzen. Daten können Marketingabteilungen unterstützen und dienen der Abteilung Sales als Grundlage für das Tagesgeschäft. Der Gesetzgeber legt hier besonders strenge Maßstäbe fest und unterstützt hierbei auch noch die Wahrung der Persönlichkeitsrechte der betroffenen Personen (z.B. bei der Verwendung am eigenen Bild).

5. Regelungen zu Weitergabe von personenbezogenen Daten

Besonders im Fokus der datenschutzrechtlichen Regelungen liegt die Weitergabe von personenbezogenen Daten. Diese gängige Verarbeitungsform birgt für Unternehmen viele datenschutzrechtliche Schwierigkeiten.

Werden personenbezogene Daten weitergegeben, greift man automatisch in die geltenden Rechte der betroffenen Personen ein. Sollen Daten weitergegeben werden, so müssen sich Unternehmen und auch Privatpersonen fragen, ob die Weitergabe nach Artikel 6 der DSGVO auch datenschutzkonform ist. Ein Fehler der hierbei aus Unachtsamkeit oder auch Fahrlässigkeit geschieht, kann schwerwiegende rechtliche Konsequenzen bedeuten. An erster Stelle stehen natürlich die Folgen und Konsequenzen der betroffenen Person. Unternehmen müssen mit Bußgeldern rechnen, aber auch ein Imageschaden droht, wenn der fahrlässige Umgang mit personenbezogenen Daten publik gemacht wird. Hier muss in diesem Fall auch mit einem wirtschaftlichen Schaden gerechnet werden. Sind die Datenschutzverstöße in der Presse und in den Medien publik gemacht worden, so stellt sich der wirtschaftliche Schaden oft gravierender dar, als die zu leistenden Bußgelder. Aus diesem Grund sollten Unternehmen diese Thematik sehr genau beleuchten und gerne auch Datenschutzprofis mit ins Boot holen.

Die Weitergabe von personenbezogenen Daten ist ein Kernthema der Aufsichtsbehörden und wird streng kontrolliert. Die DSGVO hat bei einem Datenschutzverstoß sehr hohe Bußgelder festgeschrieben, die ein Unternehmen dazu führen soll, sich mit der Thematik der personenbezogenen Daten genau auseinanderzusetzen. Unternehmen sollten sich auch bewusst sein, dass bei einem Datenschutzverstoß nicht nur die Bestimmungen der DSGVO greifen, sondern auch weitere Verstöße geahndet werden können. Hier ist häufig das Persönlichkeitsrecht der betroffenen Person anzusprechen, welches bei Datenschutzverstößen oft verletzt wird. Auch dieser Verstoß kann hohe Schadensersatzforderungen nach sich ziehen.