Datenschutz Verstehen – Personenbezogene Daten nach DSGVO
Kurze Einleitung:
Personenbezogene Daten werden überall gesammelt und gespeichert. Doch die Verarbeitung der personenbezogenen Daten muss rechtmäßig und zweckgebunden sein. Ist dies nicht der Fall, dann drohen Unternehmen hohe Strafen, insbesondere, wenn sie die Daten für Marketing und Market Research verwenden. Wir liefern Ihnen eine Definition zu personenbezogenen Daten in diesem Beitrag und geben eine gute Orientierungshilfe für den Alltag an die Hand.
Inhalt:
- Was sind personenbezogene Daten?
- Beispiele für personenbezogene Daten
- Warum müssen personenbezogene Daten geschützt werden?
- Richtiger Umgang mit personenbezogenen Daten
- Weitergabe personenbezogener Daten an Dritte
- Wann dürfen personenbezogene Daten verarbeitet werden?
- Wann müssen personenbezogenen Daten gelöscht werden?
- Personenbezogene Daten im Unternehmen
- Fazit
Was sind personenbezogene Daten nach DSGVO?
Was genau personenbezogene Daten sind, ist in Art. 4 Nr. 1 DSGVO definiert. Demnach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen.
Als identifizierte oder identifizierbare natürliche Person wird angesehen, wer direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie beispielsweise der Name, identifiziert werden kann. Die gleiche Definition findet sich nicht nur in Art. 4 Nr. 1 DSGVO, sondern auch in § 46 Abs. 1 des Bundesdatenschutzgesetzes.
Wir können also festhalten, dass unter den Begriff “personenbezogene Daten” Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person fallen.
Natürliche Personen
Die „Natürliche Person“ ist ein Rechtsbegriff, der den Menschen als Träger von Rechten und Pflichten meint. Die Rechtsfähigkeit ist dabei das entscheidende Merkmal einer natürlichen Person. Das Gegenteil zur natürlichen Person ist die juristische Person, die nicht als Person als solches, sondern als Verein, Gesellschaft oder Körperschaft gemeint ist und auch rechtsfähig ist.
Identifizierbare und identifizierte Personen
Kann durch die Zuordnung von Daten ohne Umweg ein direkter Bezug zu einer Person hergestellt werden, so gilt sie als identifizierbar oder identifiziert.
Unterschieden werden muss hier zwischen der direkten und indirekten Zuordnung. Bei der direkten Zuordnung kann direkt festgestellt werden, um welche Person es sich handelt, wie beispielsweise der Name oder die Adresse. Bei der indirekten Zuordnung kann über einen oder mehrere Zwischenschritte festgestellt werden, um welche Person es sich handelt, wie beispielsweise bei Bankdaten, der Sozialversicherungsnummer oder Kfz-Kennzeichen.
Beispiele für personenbezogene Daten
Was unter den Begriff „personenbezogene Daten“ fällt, regelt der Art. 4 DSGVO. Doch was sind konkrete Beispiele für personenbezogene Daten?
Daten, mit Personenbezug sind:
- Physische Merkmale: darunter zählen das Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße etc.
- Allgemeine Personendaten: Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer. Personenbezogene Daten
- Bankdaten: Kontonummern, Kreditinformationen, Kontostände
- Kennnummern: Sozialversicherungsnummer, Steuer Identifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usw.
- Besitzmerkmale: Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten etc.
- Online-Daten: IP-Adresse, Standortdaten
- Werturteile: Schul- und Arbeitszeugnisse
- Kundendaten: Bestellungen, Adressdaten, Kontodaten usf.
- Bilder, Tonaufnahmen oder Videos
Aber auch die Staatsangehörigkeit, die Mitgliedschaft in einem Verein oder die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität, sind personenbezogene Daten.
Gesondert betrachtet werden müssen sogenannte alphanumerischen Kennungen, wie Fahrzeug-Identifizierungsnummern (FIN), IP-Adressen oder Kfz-Kennzeichen. Mit diesen Informationen ist eine natürliche Person nicht unmittelbar, aber mittelbar identifizierbar.
Ob es sich um ein personenbezogenes Datum handelt, muss im konkreten Einzelfall entschieden werden. Entscheidend ist, ob der Verantwortliche „bei vernünftiger Betrachtung über Mittel verfügt, die es ermöglichen, sie einer bestimmten Person zuzuordnen“. Dies ist bei der FIN zum Beispiel der Fall, wenn gem. § 39 StVG ein Rechtsanspruch, für den eine Registerauskunft benötigt wird, besteht. Verneint werden muss das, wenn die Identifizierung einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft bedeuten würde.
Bei der IP-Adresse ist es zudem ausschlaggebend, ob der Anbieter oder die Anbieterin über die rechtlichen Mittel verfügt, um die betroffene Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter oder -anbieterin verfügt, zu identifizieren.
Besondere personenbezogene Daten sind auch Daten mit Personenbezug. Allerdings beinhalten diese Daten hochsensible Informationen, weshalb die Verarbeitung erstmal verboten ist, außer bestimmte Voraussetzungen sind gegeben.
Warum müssen personenbezogene Daten geschützt werden?
Oftmals wird zu leichtfertig mit Daten umgegangen, so teilen Personen zum Beispiel unwissend zu viel über sich mit. Doch Unternehmen sammeln Daten, wie zum Beispiel die Stammdaten einer Person. Hierdurch können Unternehmen und Webseitenbetreiber personalisierte Werbung schalten.
Es besteht zudem die Gefahr zum Missbrauch, wie zum Beispiel der Missbrauch von Bankdaten oder das Fälschen von Pässen, die auch unter Strafe stehen. Der Schutz von personenbezogenen Daten ist vor allem für die Wahrung der Grundrechte, wie das Recht auf informationelle Selbstbestimmung, wichtig.
Richtiger Umgang mit personenbezogenen Daten
Um richtig mit personenbezogenen Daten umzugehen, müssen die Grundsätze der Verarbeitung gemäß Art. 5 DSGVO gewahrt werden. Außerdem müssen die
Bedingungen des Art. 6 Abs. 1 lit. a) bis f) DSGVO erfüllt sein. Ein Beispiel, dem jeder bestimmt schon einmal begegnet ist, ist die Cookie-Nutzung, die nur mit Zustimmung der jeweiligen Person erfolgen darf. Dafür ist auf Webseiten oft ein kleines Fenster, indem man direkt zu Anfang der Nutzung von Cookies zustimmen muss, oder explizit die Cookies auswählen kann, die man zulassen möchte.
Wichtig zu wissen ist außerdem, dass nicht jedes Unternehmen personenbezogene Daten sammeln darf. Der Datenschutz muss bei jeder Verarbeitung von personenbezogenen Daten gewährleistet sein. So benötigt jede Person, die Daten verarbeitet, vorher eine Schulung.
Besonders wichtig ist, dass die Weitergabe personenbezogener Daten an Dritte nicht ohne Zustimmung erfolgen darf. Sie ist nur in Ausnahmefällen gestattet und darf nur verschlüsselt erfolgen. Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen und ist teilweise nur anonymisiert zulässig.
Ein essentieller Grundsatz für die Verarbeitung von personenbezogener Daten ist die Zweckgebundenheit. Die Verarbeitung muss daher immer einen Zweck verfolgen.
Nach der Zweckerfüllung müssen die Daten gelöscht werden oder vor einem weiteren Zugriff geschützt werden, dies ist allerdings wieder nur mit Zustimmung erlaubt.
Weitergabe personenbezogener Daten an Dritte
Die Weitergabe von personenbezogenen Daten an Dritte ist ein zentraler Aspekt der DSGVO, der strengen Regeln unterliegt. Es ist wichtig, zu verstehen, wann und unter welchen Bedingungen personenbezogene Daten an Dritte weitergegeben werden dürfen. Wir erklären Ihnen die rechtlichen Grundlagen und Anforderungen der DSGVO bezüglich der Weitergabe von personenbezogenen Daten an Dritte.
Die DSGVO legt fest, dass die Weitergabe von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen erlaubt ist. Dazu gehören die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder eine gesetzliche Verpflichtung. In bestimmten Fällen könnte auch das berechtigte Interesse (Art. 6 Abs. 1 lit. f) DSGVO) an einer Weitergabe personenbezogener Daten von einem Unternehmen den Interessen von Betroffenen überwiegen.
Will ein Arbeitgeber personenbezogene Daten an Dritte weitergeben, so braucht er oftmals die Einwilligung des Arbeitnehmers. Eine Weitergabe ohne Einwilligung ist nur dann zulässig, wenn das Gesetz es erlaubt, wie zur Aufdeckung von Straftaten. Die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ist in § 26 BDSG-neu geregelt.
Um die korrekte Rechtmäßigkeit der Weitergabe oder Datenübermittlung an Dritte zu gewährleisten, sollten Unternehmen den Datenschutzbeauftragten konsultieren. Eine unerlaubte Weitergabe von personenbezogenen Daten an Dritte kann zu einem Bußgeld führen in Höhe von bis zu 4 % des weltweiten Umsatzes eines Unternehmens.
Wann dürfen personenbezogene Daten verarbeitet werden?
Die Verarbeitung personenbezogener Daten ist grundsätzlich nur erlaubt, wenn mindestens eine der Bedingungen des Art. 6 Abs.1 DSGVO erfüllt sind.
- Eine Bedingung ist die Einwilligung der betroffenen Personen, für die ebenfalls bestimmte Bedingungen gelten, die in Art. 7 DSGVO geregelt sind.
- Personenbezogene Daten dürfen verarbeitet werden, um vertraglichen Verpflichtung, d.h. einem Vertrag zwischen Unternehmen und Kunden, gerecht zu werden.
- Eine Verarbeitung von personenbezogenen Daten ist außerdem zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht) zulässig.
- Ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich, so ist die Verarbeitung ebenfalls zulässig.
- Werden durch die Verarbeitung die lebenswichtigen Interessen einer Person geschützt, so ist sie zulässig. Dies kann zum Beispiel bei einem Unfall der Fall sein, bei dem Rettungskräfte die personenbezogenen Daten verarbeiten dürfen.
- Eine Verarbeitung von personenbezogenen Daten ist außerdem aus berechtigtem Interesse einer Organisation zulässig. Allerdings nur dann, wenn Grundrechte und Grundfreiheiten nicht beeinträchtigt werden. Hierzu muss durch den Datenschutzbeauftragten stets eine Interessensabwägung überprüft werden.
Die Speicherung von personenbezogenen Daten stellt eine Verarbeitung dar, weshalb eine Rechtsgrundlage vorliegen muss, um personenbezogene Daten speichern zu dürfen. Außerdem müssen bei der Speicherung von personenbezogenen Daten die Grundsätze für die Datenverarbeitung und die Technischen und organisatorischen Maßnahmen eingehalten werden.
Wann müssen personenbezogenen Daten gelöscht werden?
Gespeicherte personenbezogenen Daten müssen, falls eine Frist vorgegeben ist, in diesem Rahmen gelöscht werden. Betroffene haben außerdem ein Recht auf Löschung gem. Art. 17 DSGVO. Unterschieden werden muss zudem zwischen der Anonymisierung und der Pseudonymisierung von Daten. Bei der Pseudonymisierung wird der Name durch ein Pseudonym ersetzt, damit die Daten der Person nur noch erschwert zugeordnet werden können bzw. die Feststellung der Person ausgeschlossen ist. Das Pseudonym ist dabei oft ein Code, der aus Zahlen- und Buchstabenkombinationen zusammengesetzt ist.
Bei der Anonymisierung werden die personenbezogenen Daten so verändert, dass die Daten nicht mehr oder nur mit unverhältnismäßigem Aufwand der Person zugeordnet werden können. Werden die Daten aufgrund der Geltendmachung der Rechte des Betroffenen oder einer Frist nicht gelöscht, drohen hohe Bußgelder.
Personenbezogene Daten dürfen nur solange gespeichert werden, wie sie einem Zweck dienen, ein Löschkonzept ist für Unternehmen daher sehr wichtig. Es legt fest, wann und wie die verarbeiteten Daten gelöscht werden. Beachtet werden dort auch gesetzlich festgelegte Aufbewahrungspflichten.
Bei einer Kündigung müssen die Mitarbeiterdaten, die nicht mehr zweckgebunden sind, gelöscht werden, aber es gelten viele Aufbewahrungspflichten. So müssen aus steuerrechtlichen Gründen manche Dokumentationen 6 Jahre aufbewahrt werden, genauso wie beispielsweise die Arbeitszeitdokumentation.
Personenbezogene Daten im Unternehmen
Die Verarbeitung von personenbezogenen Daten in einem Unternehmen muss einheitlich und zulässig erfolgen, sonst drohen dem Unternehmen hohe Bußgelder und Strafen. Der Art. 5 Abs. 1 DSGVO gibt dabei wichtige Grundsätze für die Verarbeitung vor, die stets einzuhalten sind.
Dazu gehört, dass die Verarbeitung von personenbezogenen Daten stets nach Treu und Glauben erfolgen muss. Außerdem muss die Verarbeitung transparent sein, das heißt, dass die Informationspflichten der Art. 12 ff. DSGVO, die sich aus dem Recht der informationellen Selbstbestimmung ergeben, eingehalten werden müssen. Der Grundsatz der Zweckbindung geht überdies aus Art. 5 Abs. 1 lit. b) DSGVO hervor, sowie der für Unternehmen besonders wichtige Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DSGVO.
Die verarbeiteten Daten müssen außerdem richtig sein, dieser Grundsatz ergibt sich aus Art. 5 Abs. 1 lit. d) DSGVO. Werden die Daten nicht richtig verarbeitet, haben. Betroffene haben ebenfalls ein Recht auf Berichtigung der unrichtigen Daten gem. Art. 16 DSGVO. Zusätzlich gilt der Grundsatz der Integrität und Vertraulichkeit, welcher sich aus Art. 5 Abs. 1 lit. f) DSGVO ergibt. Um diesem Grundsatz gerecht zu werden, werden geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO benötigt.
Der Verantwortliche hat gem. Art. 5 Abs. 2 DSGVO mehrere Rechenschaftspflichten, was heißt, dass er die Einhaltung der Grundsätze für die Datenverarbeitung nachweisen können muss. Generell gilt, dass die Datenverarbeitung rechtmäßig sein muss, gem. Art. 6 DSGVO. Zudem gibt es eine Speicherbegrenzung gem. Art. 17 Abs. 1 lit. a) DSGVO, die die Aufbewahrungspflicht und die Löschung der personenbezogenen Daten regelt.
Die DSGVO Konformität ist nicht nur für die Betroffenen wichtig, sondern auch für Unternehmen, da sie oft daran gemessen werden, wie gut ihr Datenschutz ist. Deshalb stellt ein gutes Datenschutzkonzept durchaus einen Wettbewerbsvorteil für Unternehmen dar.
Fazit
Zusammenfassend lässt sich sagen, dass dieser Beitrag zeigt, wie wichtig die Einhaltung des Datenschutzes von personenbezogenen Daten ist. Ein weiterer Ansporn, sich an die DSGVO und das BDSG-neu und damit an den Datenschutz zu halten, ist auch die Vergabe von sehr hohen Bußgeldern bei Verstößen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.