Datenschutz verstehen – Speicherung personenbezogener Daten gemäß DSGVO
Für die Speicherung von personenbezogenen Daten, z.B. in IT-Systemen, müssen einige Vorgaben aus Datenschutz-Gesetzen wie der europäischen Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetz (BDSG-neu) berücksichtigt werden. In puncto Datenschutz spielt insbesondere die Datensicherheit eine große Rolle. In diesem Blogbeitrag erfahren Sie, was genau unter dem Begriff der personenbezogenen Daten zu verstehen ist und welche Grundsätze aus der DSGVO bei der Speicherung von personenbezogenen Daten und persönlichen Daten berücksichtigt werden müssen.
Inhalt:
Was sind personenbezogene Daten?
Zunächst ist es wichtig, die Definition von personenbezogenen Daten zu bestimmen. Für diesen Begriff existiert in Art. 4 Nr. 1 DSGVO eine gesetzliche Definition (Legaldefinition): Hiernach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen.
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch eine Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Diese Informationen müssen also stets einer natürlichen Person zugeordnet werden können. Informationen bezüglich einer Firma bzw. einer juristischen Person, wie einer GmbH, sind somit nicht personenbezogenen, soweit sie keine Informationen über natürliche Personen enthalten. Dagegen sind Informationen eines Ansprechpartners bei einer juristischen Person, wie z.B. Vor- und Nachname, Telefonnummer und E-Mail-Adresse, personenbezogene Daten, personenbezogene Daten.
Beispiele – Kategorien personenbezogener Daten
Für eine bessere Übersicht für Beispiele von personenbezogenen Daten i.S.d. DSGVO, lassen sich diese gut in folgende Oberbegriffe bzw. Kategorien unterteilen, die nicht abschließend sind:
- Allgemeine Personendaten wie z.B. Name, Geburtstag, Geburtsort, Anschrift, E-Mail-Adresse
- Besondere Personendaten wie z.B. religiöse oder politische Ansichten, Gesundheitsdaten oder genetische Daten (vgl. Art. 9 Abs. 1 DSGVO), die besonders schützenswert sind
- Körperliche Informationen wie z.B. Geschlecht, Status, Kleidergröße, Haar- und Augenfarbe
- Kennziffern wie z.B. Sozialversicherungsnummer, Krankenversicherungsnummer und Steueridentifikationsnummer
- Bankdaten wie z.B. Kontonummer, Kontostand und weitere Informationen über die Bankverbindung wie eine IBAN
- Online-Informationen wie z.B. IP-Adresse oder sog. Fingerprint-Informationen für Browser oder Geräte
- Bewertungen wie z.B. Zeugnisse oder Noten
- Kundendaten wie z.B. Bestellangaben oder Zahlungsdaten
- Vermögensinformationen wie z.B. Einkommen, Eigentum, Vermögensstand
Speicherung personenbezogener Daten
Die Speicherung von personenbezogenen Daten, z.B. in einem CRM-System oder auf Cloud- bzw. SaaS-Systemen, ist gleich von mehreren gesetzlichen Vorgaben aus der DSGVO und des BDSG-neu betroffen: Zum einen ist eine entsprechende Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich. Das ergibt sich bereits aus Art. 6 DSGVO. Für besondere Kategorien personenbezogener Daten ergibt sich die Erforderlichkeit einer konkreten Rechtsgrundlage aus Art. 9 DSGVO. Zum anderen sind bei der Speicherung personenbezogener Daten die Grundsätze für die Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO zu berücksichtigen. Auch die technisch-organisatorischen Maßnahmen gem. Art. 25, 32 ff. DSGVO müssen bei der Speicherung von personenbezogenen Daten eingehalten werden.
Wann dürfen personenbezogene Daten verarbeitet werden?
Die Speicherung von personenbezogenen Daten ist erlaubt, wenn eine entsprechende Rechtsgrundlage für die Verarbeitung vorliegt. Diese Rechtsgrundlage kann sich z.B. aus einem Datenschutzgesetz wie der EU-Datenschutzgrundverordnung DSGVO und/oder dem Bundesdatenschutzgesetz BDSG-neu ergeben.
Zum einen ist die Speicherung von personenbezogenen Daten eine Verarbeitung von personenbezogenen i.S.d. Art. 6, Art. 4 Nr. 2 DSGVO, weshalb eine Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich ist. So ist gem. Art. 6 Abs. 1 lit. a) DSGVO eine Speicherung von personenbezogenen Daten erlaubt, wenn eine Einwilligung gem. Art. 7, 8 DSGVO von der betroffenen Person eingeholt wurde. Eine andere Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 lit. b) DSGVO: Wenn die Speicherung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen, ist die Speicherung von personenbezogenen Daten rechtmäßig.
Eine Speicherung von personenbezogenen Daten ist darüber hinaus auch dann rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, vgl. Art. 6 Abs. 1. lit. c) DSGVO. Eine weitere Rechtsgrundlage bildet Art. 6 Abs. 1 lit. d) DSGVO, wenn eine Speicherung von personenbezogenen Daten erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlich Person zu schützen. Wenn die Speicherung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, ergibt sich die Rechtsgrundlage für die Speicherung von personenbezogenen Daten aus Art. 6 Abs. 1 lit. e) DSGVO.
Falls die Speicherung von personenbezogenen Daten für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt, ist die Speicherung rechtmäßig, vgl. Art. 6 Abs. 1 lit. f) DSGVO.
Darüber hinaus gibt es noch viele weitere spezialgesetzliche Regelung für die Verarbeitung bzw. Speicherung von personenbezogenen Daten, wie z.B. für das Beschäftigungsverhältnis gem. Art. 88 DSGVO, § 26 BDSG-neu.
Wenn es um die Speicherung von besonderen Kategorien personenbezogener Daten geht, müssen die Voraussetzungen des Art. 9 DSGVO vorliegen. Hier werden Rechtsgrundlagen für besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, biometrische Daten oder genetische Daten, genannt. Eine Rechtsgrundlage für besondere Kategorien personenbezogener Daten kann z.B. eine Einwilligung i.S.d. Art. 9 Abs. 2 lit. a) DSGVO sein. Eine spezialgesetzliche Rechtsgrundlage ergibt sich z.B. aus Art. 9 Abs. 2 lit. b) DSGVO i.V.m. § 26 Abs. 3 BDSG-neu.
Darüber hinaus muss stets berücksichtigt werden, dass die Speicherung von personenbezogenen Daten nicht beliebig lang erfolgen darf. Hier sind stets gesetzliche Aufbewahrungs- und Löschfristen zu berücksichtigen. Diese müssen in Abhängigkeit der jeweiligen gespeicherten personenbezogenen Daten berücksichtigt werden.
Wie lange dürfen personenbezogene Daten gespeichert werden?
Die Dauer der Speicherung personenbezogener Daten kann je nach Kontext und Zweck der Datenverarbeitung variieren, aber das Prinzip der Speicherbegrenzung in der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union besagt, dass personenbezogene Daten “in einer Form, die die Identifizierung der betroffenen Personen ermöglicht, nicht länger als für die Zwecke, für die sie verarbeitet werden, erforderlich aufbewahrt werden dürfen”.
Eine exakte Frist für die Speicherung von personenbezogenen Daten sehen die datenschutzrechtlichen Gesetze nicht vor. Jedoch gilt der Grundsatz der Zweckbindung, welcher gesetzlich in Art. 5 Abs. 1 lit. b) DSGVO normiert ist. Demnach dürfen personenbezogene Daten nur gespeichert werden, wenn ein entsprechender Zweck hierfür vorliegt.
Gemäß Art. 5 Abs. 1 lit. e) DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben oder verarbeitet werden, erforderlich ist. Sobald die Daten für diese Zwecke nicht mehr benötigt werden, müssen sie gelöscht oder anonymisiert werden.
Es gibt jedoch auch Ausnahmen von diesem Grundsatz. In einigen Fällen können Daten aufgrund von rechtlichen oder behördlichen Anforderungen länger gespeichert werden, z.B. zur Erfüllung von Buchhaltungs- oder Steuervorschriften. In solchen Fällen müssen jedoch angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Daten zu schützen.
Zusätzlich dazu muss der Verantwortliche dafür sorgen, dass die personenbezogenen Daten nicht länger gespeichert werden als notwendig, und die Daten müssen regelmäßig überprüft und gegebenenfalls gelöscht oder anonymisiert werden.
Welche Grundsätze gelten bei der Verarbeitung von personenbezogenen Daten?
Die Grundsätze der Datenverarbeitung, die insbesondere bei der Speicherung von personenbezogenen Daten eingehalten werden müssen, sind in Art. 5 DSGVO definiert. Diese Grundsätze müssen von allen verantwortlichen Stellen eingehalten werden. Sie bilden Grundregeln für die Verarbeitung von personenbezogenen Daten, die stets zu berücksichtigen sind. Durch die Grundsätze der Datenverarbeitung soll die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO gewährleistet werden.
Rechtmäßigkeit
Der Grundsatz der Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. a) DSGVO geregelt. Hiermit ist insbesondere gemeint, dass alle rechtlichen Vorgaben aus der DSGVO bei der Verarbeitung von personenbezogenen Daten eingehalten werden müssen. Das Bestehen einer Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist z.B. eine dieser rechtlichen Vorgaben.
Nach Treu und Glauben
Der Grundsatz, dass die Verarbeitung von personenbezogenen Daten nach Treu und Glauben erfolgen muss, ist ebenfalls in Art. 5 Abs. 1 lit. a) DSGVO geregelt. Dieser Grundsatz kann im Prinzip nur im Einzelfall näher beschrieben werden und unterstreicht grundsätzlich, dass die Verarbeitung von personenbezogenen Daten redlich und anständig erfolgen muss. In Zukunft ist zu erwarten, dass dieser Grundsatz durch Fallgruppen näher spezifiziert wird.
Transparenz
Auch der Grundsatz der Transparenz bezüglich der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. a) DSGVO genannt. Mit Transparenz ist gemeint, dass betroffenen Personen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können, wozu z.B. insbesondere die Geltendmachung der Betroffenenrechte nach Art. 15 ff. DSGVO gehört. Der Begriff der Transparenz wird insbesondere in den Art. 12 ff. bezüglich der Informationspflichten näher spezifiziert. Die Einhaltung des Datenschutzes durch technische Maßnahmen und technische Voreinstellungen gem. Art. 25 DSGVO können gem. Erwägungsgrund 78 S. 3 zur DSGVO durch die Gewährleistung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten etabliert werden.
Darüber hinaus macht Erwägungsgrund 100 zur DSGVO deutlich, dass durch die Einführung von Zertifizierungsverfahren und Datenschutzsiegel und Datenschutzprüfzeichen die Transparenz erhöht werden kann, weil hierdurch betroffene Personen einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen erhalten können.
Zweckbindung
Der Grundsatz der Zweckbindung ist in Art. 5 Abs. 1 lit. b) DSGVO geregelt. Hiernach müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbaren Weise weiterverarbeitet werden.
Datenminimierung
Der Datenminimierungsgrundsatz ergibt sich aus Art. 5 Abs. 1 lit .c) DSGVO. Nach diesem Grundsatz müssen personenebzogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
Richtigkeit
Der Grundsatz der Richtigkeit der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. d) DSGVO definiert. Richtigkeit in diesem Sinne bedeutet, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Außerdem sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung
Der Speicherbegrenzungsgrundsatz ist in Art. 5 Abs. 1 lit. e) DSGVO geregelt und beinhaltet die Vorgabe, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ausnahmen können sich aus den Art. 5 Abs. 1 lit. e) 2. HS., 89 Abs. 1 DSGVO ergeben.
Integrität und Vertraulichkeit
Der Grundsatz der Integrität und Vertraulichkeit wird in Art. 5 Abs. 1 lit. f) DSGVO beschrieben. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (z.B. gem. Art. 25, 32 ff. DSGVO).
Rechenschaftspflicht
Die sog. Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO geregelt. Der Verantwortliche ist nach diesem Grundsatz für die Einhaltung der Grundsätze des Datenschutzes verantwortlich und muss dessen Einhaltung nachweisen können. Dies erfolgt z.B. durch die Anfertigung von entsprechenden Dokumentation für die Erfüllung von datenschutzrechtlichen Vorgaben, wie z.B. einem Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO.
Strafen bei Verstößen gegen die DSGVO
Ein Verstoß gegen diese Grundsätze der Datenverarbeitung kann schwere Folgen haben: Gem. Art. 83 Abs. 5 lit. a) DSGVO können Verstöße gegen Bestimmungen über die Grundsätze der Datenverarbeitung mit Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.