Personenbezogene Daten nach DSGVO

Datenschutz VerstehenPersonenbezogene Daten nach DSGVO

Kurze Einleitung:

Personenbezogene Daten werden überall gesammelt und gespeichert. Doch die Verarbeitung der personenbezogenen Daten muss rechtmäßig und zweckgebunden sein. Ist dies nicht der Fall, dann drohen Unternehmen hohe Strafen, insbesondere, wenn sie die Daten für Marketing und Market Research verwenden. Wir liefern Ihnen eine Definition zu personenbezogenen Daten in diesem Beitrag und geben eine gute Orientierungshilfe für den Alltag an die Hand.

Inhalt:

 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

eBook Datenschutz IT
Datenschutz Verstehen eBook_Keyed
eBook erhalten

Was sind personenbezogene Daten nach DSGVO?

Was genau personenbezogene Daten sind, ist in Art. 4 Nr. 1 DSGVO definiert. Demnach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. 

Als identifizierte oder identifizierbare natürliche Person wird angesehen, wer direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie beispielsweise der Name, identifiziert werden kann. Die gleiche Definition findet sich nicht nur in Art. 4 Nr. 1 DSGVO, sondern auch in § 46 Abs. 1 des Bundesdatenschutzgesetzes. 

Wir können also festhalten, dass unter den Begriff “personenbezogene Daten” Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person fallen.

Natürliche Personen

Die „Natürliche Person“ ist ein Rechtsbegriff, der den Menschen als Träger von Rechten und Pflichten meint. Die Rechtsfähigkeit ist dabei das entscheidende Merkmal einer natürlichen Person. Das Gegenteil zur natürlichen Person ist die juristische Person, die nicht als Person als solches, sondern als Verein, Gesellschaft oder Körperschaft gemeint ist und auch rechtsfähig ist. 

Identifizierbare und identifizierte Personen

Kann durch die Zuordnung von Daten ohne Umweg ein direkter Bezug zu einer Person hergestellt werden, so gilt sie als identifizierbar oder identifiziert. 

Unterschieden werden muss hier zwischen der direkten und indirekten Zuordnung. Bei der direkten Zuordnung kann direkt festgestellt werden, um welche Person es sich handelt, wie beispielsweise der Name oder die Adresse. Bei der indirekten Zuordnung kann über einen oder mehrere Zwischenschritte festgestellt werden, um welche Person es sich handelt, wie beispielsweise bei Bankdaten, der Sozialversicherungsnummer oder Kfz-Kennzeichen.

 

Beispiele für personenbezogene Daten

Was unter den Begriff „personenbezogene Daten“ fällt, regelt der Art. 4 DSGVO. Doch was sind konkrete Beispiele für personenbezogene Daten? 

Daten, mit Personenbezug sind:

  • Physische Merkmale: darunter zählen das Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße etc.
  • Allgemeine Personendaten: Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer. Personenbezogene Daten 
  • Bankdaten: Kontonummern, Kreditinformationen, Kontostände 
  • Kennnummern:  Sozialversicherungsnummer, Steuer Identifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usw. 
  • Besitzmerkmale: Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten etc. 
  • Online-Daten: IP-Adresse, Standortdaten
  • Werturteile: Schul- und Arbeitszeugnisse 
  • Kundendaten: Bestellungen, Adressdaten, Kontodaten usf.
  • Bilder, Tonaufnahmen oder Videos 

Aber auch die Staatsangehörigkeit, die Mitgliedschaft in einem Verein oder die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität, sind personenbezogene Daten.

Gesondert betrachtet werden müssen sogenannte alphanumerischen Kennungen, wie Fahrzeug-Identifizierungsnummern (FIN), IP-Adressen oder Kfz-Kennzeichen. Mit diesen Informationen ist eine natürliche Person nicht unmittelbar, aber mittelbar identifizierbar.

Ob es sich um ein personenbezogenes Datum handelt, muss im konkreten Einzelfall entschieden werden. Entscheidend ist, ob der Verantwortliche „bei vernünftiger Betrachtung über Mittel verfügt, die es ermöglichen, sie einer bestimmten Person zuzuordnen“. Dies ist bei der FIN zum Beispiel der Fall, wenn gem. § 39 StVG ein Rechtsanspruch, für den eine Registerauskunft benötigt wird, besteht. Verneint werden muss das, wenn die Identifizierung einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft bedeuten würde.

Bei der IP-Adresse ist es zudem ausschlaggebend, ob der Anbieter oder die Anbieterin über die rechtlichen Mittel verfügt, um die betroffene Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter oder -anbieterin verfügt, zu identifizieren.

Besondere personenbezogene Daten sind auch Daten mit Personenbezug. Allerdings beinhalten diese Daten hochsensible Informationen, weshalb die Verarbeitung erstmal verboten ist, außer bestimmte Voraussetzungen sind gegeben.

Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

Anfrage stellen
externer Datenschutzbeauftragter - Termin buchen
 

Warum müssen personenbezogene Daten geschützt werden?

Oftmals wird zu leichtfertig mit Daten umgegangen, so teilen Personen zum Beispiel unwissend zu viel über sich mit. Doch Unternehmen sammeln Daten, wie zum Beispiel die Stammdaten einer Person. Hierdurch können Unternehmen und Webseitenbetreiber personalisierte Werbung schalten. 

Es besteht zudem die Gefahr zum Missbrauch, wie zum Beispiel der Missbrauch von Bankdaten oder das Fälschen von Pässen, die auch unter Strafe stehen. Der Schutz von personenbezogenen Daten ist vor allem für die Wahrung der Grundrechte, wie das Recht auf informationelle Selbstbestimmung, wichtig.

 

Richtiger Umgang mit personenbezogenen Daten

Um richtig mit personenbezogenen Daten umzugehen, müssen die Grundsätze der Verarbeitung gemäß Art. 5 DSGVO gewahrt werden. Außerdem müssen die 

Bedingungen des Art. 6 Abs. 1 lit. a) bis f) DSGVO erfüllt sein. Ein Beispiel, dem jeder bestimmt schon einmal begegnet ist, ist die Cookie-Nutzung, die nur mit Zustimmung der jeweiligen Person erfolgen darf. Dafür ist auf Webseiten oft ein kleines Fenster, indem man direkt zu Anfang der Nutzung von Cookies zustimmen muss, oder explizit die Cookies auswählen kann, die man zulassen möchte. 

Wichtig zu wissen ist außerdem, dass nicht jedes Unternehmen personenbezogene Daten sammeln darf. Der Datenschutz muss bei jeder Verarbeitung von personenbezogenen Daten gewährleistet sein. So benötigt jede Person, die Daten verarbeitet, vorher eine Schulung. 

Besonders wichtig ist, dass die Weitergabe personenbezogener Daten an Dritte nicht ohne Zustimmung erfolgen darf. Sie ist nur in Ausnahmefällen gestattet und darf nur verschlüsselt erfolgen. Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen und ist teilweise nur anonymisiert zulässig. 

Ein essentieller Grundsatz für die Verarbeitung von personenbezogener Daten ist die Zweckgebundenheit. Die Verarbeitung muss daher immer einen Zweck verfolgen. 

Nach der Zweckerfüllung müssen die Daten gelöscht werden oder vor einem weiteren Zugriff geschützt werden, dies ist allerdings wieder nur mit Zustimmung erlaubt. 

 
Datenschutz-Managementsystem
Datenschutz-Management-System

Wir führen Sie individuell durch unsere Datenschutz-Management-Software (DSMS). Wir geben Ihnen Einblicke in verschiedene Funktionen des DSMS und zeigen Ihnen auf, welche Vorteile Sie mit einem DSMS erzielen.

0

Über 200 globale Vorlagen helfen Ihnen in Ihrer täglichen Arbeit. Sie können beliebig viele Vorlagen erstellen.

0%

Über 62% Effizienzsteigerung werden von unseren Kunden in der Optimierung des Datenschutzes verzeichnet.

Mehr erfahren
Datenschutz-Management-System

Weitergabe personenbezogener Daten

Die Weitergabe von personenbezogene Daten ist nicht einfach so möglich. Ohne eine Einwilligung der betroffenen Person gem. Art. 6 Abs. 1 lit. a) ist die Weitergabe nicht zulässig. Wird in die Weitergabe eingewilligt, so darf sie nur geschützt und in abgetrennter Form erfolgen, um auch den Sicherheitsanforderungen gem. Art. 32 DSGVO gerecht zu werden. 

Weitergabe durch Privatpersonen

Die Weitergabe von personenbezogenen Daten durch Privatpersonen erfolgt hauptsächlich durch das surfen im Internet und das besuchen und nutzen von sozialen Netzwerken. 

Im Alltag, außerhalb des Internets, werden Daten besonders durch Überwachungskameras und im Straßenverkehr durch Blitzer und Radarkontrollen weitergegeben. 

Weitergabe an Dritte (durch Arbeitgeber)

Will der Arbeitgeber personenbezogene Daten an Dritte weitergeben, so braucht er die Einwilligung des Arbeitnehmers. Eine Weitergabe ohne Einwilligung ist nur dann zulässig, wenn das Gesetz es erlaubt, wie zur Aufdeckung von Straftaten. Die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ist in § 26 BDSG-neu geregelt. 

Weitergabe ohne Zustimmung

Die Weitergabe von personenbezogenen Daten von betroffenen Personen ohne Zustimmung ist grundsätzlich unzulässig und steht unter Strafe. In bestimmten Einzelfällen ist die Weitergabe zur Vertragserfüllung und vorheriger Information möglich. Hierzu sollten Sie in jedem Fall eine Beratung durch den Datenschutzbeauftragten einholen.

 

Wann dürfen personenbezogene Daten verarbeitet werden?

Die Verarbeitung personenbezogener Daten ist grundsätzlich nur erlaubt, wenn mindestens eine der Bedingungen des Art. 6 Abs.1 DSGVO erfüllt sind. 

  1. Eine Bedingung ist die Einwilligung der betroffenen Personen, für die ebenfalls bestimmte Bedingungen gelten, die in Art. 7 DSGVO geregelt sind.
  2. Personenbezogene Daten dürfen verarbeitet werden, um vertraglichen Verpflichtung, d.h. einem Vertrag zwischen Unternehmen und Kunden, gerecht zu werden.
  3. Eine Verarbeitung von personenbezogenen Daten ist außerdem zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht) zulässig.
  4. Ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich, so ist die Verarbeitung ebenfalls zulässig.
  5. Werden durch die Verarbeitung die lebenswichtigen Interessen einer Person geschützt, so ist sie zulässig. Dies kann zum Beispiel bei einem Unfall der Fall sein, bei dem Rettungskräfte die personenbezogenen Daten verarbeiten dürfen.
  6. Eine Verarbeitung von personenbezogenen Daten ist außerdem aus berechtigtem Interesse einer Organisation zulässig. Allerdings nur dann, wenn Grundrechte und Grundfreiheiten nicht beeinträchtigt werden. Hierzu muss durch den Datenschutzbeauftragten stets eine Interessensabwägung überprüft werden.

Die Speicherung von personenbezogenen Daten stellt eine Verarbeitung dar, weshalb eine Rechtsgrundlage vorliegen muss, um personenbezogene Daten speichern zu dürfen. Außerdem müssen bei der Speicherung von personenbezogenen Daten die Grundsätze für die Datenverarbeitung und die Technischen und organisatorischen Maßnahmen eingehalten werden.

 

Wann müssen personenbezogenen Daten gelöscht werden?

Gespeicherte personenbezogenen Daten müssen, falls eine Frist vorgegeben ist, in diesem Rahmen gelöscht werden. Betroffene haben außerdem ein Recht auf Löschung gem. Art. 17 DSGVO. Unterschieden werden muss zudem zwischen der Anonymisierung und der Pseudonymisierung von Daten. Bei der Pseudonymisierung wird der Name durch ein Pseudonym ersetzt, damit die Daten der Person nur noch erschwert zugeordnet werden können bzw. die Feststellung der Person ausgeschlossen ist. Das Pseudonym ist dabei oft ein Code, der aus Zahlen- und Buchstabenkombinationen zusammengesetzt ist.

Bei der Anonymisierung werden die personenbezogenen Daten so verändert, dass die Daten nicht mehr oder nur mit unverhältnismäßigem Aufwand der Person zugeordnet werden können. Werden die Daten aufgrund der Geltendmachung der Rechte des Betroffenen oder einer Frist nicht gelöscht, drohen hohe Bußgelder

Personenbezogene Daten dürfen nur solange gespeichert werden, wie sie einem Zweck dienen, ein Löschkonzept ist für Unternehmen daher sehr wichtig. Es legt fest, wann und wie die verarbeiteten Daten gelöscht werden. Beachtet werden dort auch gesetzlich festgelegte Aufbewahrungspflichten. 

Bei einer Kündigung müssen die Mitarbeiterdaten, die nicht mehr zweckgebunden sind, gelöscht werden, aber es gelten viele Aufbewahrungspflichten. So müssen aus steuerrechtlichen Gründen manche Dokumentationen 6 Jahre aufbewahrt werden, genauso wie beispielsweise die Arbeitszeitdokumentation. 

Vorlage Antrag auf Löschung
 
Datenschutz-Managementsystem
Datenschutz-Schulung für Mitarbeiter

Was ist Datenschutz? Worauf sollten Beschäftigte bei der Verarbeitung personenbezogener Daten achten? Eine umfassende Schulung zum Datenschutz erhöht die Sicherheit in Ihrem Unternehmen durch verbesserte Sensibilität Ihrer Beschäftigten. Durch unseren Partner Mitarbeiterschule können Sie ganz einfach alle Beschäftigten schulen.

0

In über 12 Kapitel erhalten die Beschäftigten einen pragmatischen Überblick über den Datenschutz.

0%

100% rechtssicher und zertifiziert, sodass Ihre Beschäftigten wirksam zur DSGVO geschult werden können.

Mehr erfahren
Datenschutz Schulung DSGVO

Personenbezogene Daten im Unternehmen

Die Verarbeitung von personenbezogenen Daten in einem Unternehmen muss einheitlich und zulässig erfolgen, sonst drohen dem Unternehmen hohe Bußgelder und Strafen. Der Art. 5 Abs. 1 DSGVO gibt dabei wichtige Grundsätze für die Verarbeitung vor, die stets einzuhalten sind.

Dazu gehört, dass die Verarbeitung von personenbezogenen Daten stets nach Treu und Glauben erfolgen muss. Außerdem muss die Verarbeitung transparent sein, das heißt, dass die Informationspflichten der Art. 12 ff. DSGVO, die sich aus dem Recht der informationellen Selbstbestimmung ergeben, eingehalten werden müssen. Der Grundsatz der Zweckbindung geht überdies aus Art. 5 Abs. 1 lit. b) DSGVO hervor, sowie der für Unternehmen besonders wichtige Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DSGVO. 

Die verarbeiteten Daten müssen außerdem richtig sein, dieser Grundsatz ergibt sich aus Art. 5 Abs. 1 lit. d) DSGVO. Werden die Daten nicht richtig verarbeitet, haben. Betroffene haben ebenfalls ein Recht auf Berichtigung der unrichtigen Daten gem. Art. 16 DSGVO. Zusätzlich gilt der Grundsatz der Integrität und Vertraulichkeit, welcher sich aus Art. 5 Abs. 1 lit. f) DSGVO ergibt. Um diesem Grundsatz gerecht zu werden, werden geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO benötigt. 

Der Verantwortliche hat gem. Art. 5 Abs. 2 DSGVO mehrere Rechenschaftspflichten, was heißt, dass er die Einhaltung der Grundsätze für die Datenverarbeitung nachweisen können muss. Generell gilt, dass die Datenverarbeitung rechtmäßig sein muss, gem. Art. 6 DSGVO. Zudem gibt es eine Speicherbegrenzung gem. Art. 17 Abs. 1 lit. a) DSGVO, die die Aufbewahrungspflicht und die Löschung der personenbezogenen Daten regelt. 

Die DSGVO Konformität ist nicht nur für die Betroffenen wichtig, sondern auch für Unternehmen, da sie oft daran gemessen werden, wie gut ihr Datenschutz ist. Deshalb stellt ein gutes Datenschutzkonzept durchaus einen Wettbewerbsvorteil für Unternehmen dar. 

 

Fazit

Zusammenfassend lässt sich sagen, dass dieser Beitrag zeigt, wie wichtig die Einhaltung des Datenschutzes von personenbezogenen Daten ist. Ein weiterer Ansporn, sich an die DSGVO und das BDSG-neu und damit an den Datenschutz zu halten, ist auch die Vergabe von sehr hohen Bußgeldern bei Verstößen.

Menü