Speicherung personenbezogener Daten gemäß DSGVO

Datenschutz verstehen –  Speicherung personenbezogener Daten gemäß DSGVO

Zusammenfassung
  1. Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  2. Die Speicherung von personenbezogenen Daten stellt eine Verarbeitung dar und fällt somit unter die Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
  3. Für die rechtskonforme Speicherung personenbezogener Daten muss eine entsprechende Rechtsgrundlage vorliegen. Für besondere Kategorien personenbezogener Daten ergeben sich noch einmal konkretere Rechtsgrundlagen.
  4. Bei der Speicherung personenbezogener Daten sind die Grundsätze für die Datenverarbeitung von personenbezogenen Daten sowie die technisch-organisatorischen Maßnahmen zu beachten und einzuhalten.
  5. Verstöße gegen die Regelungen der DSGVO können mit bis zu 20 Mio. EUR oder im Fall eines Unternehmens mit bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bestraft werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Für die Speicherung von personenbezogenen Daten, z.B. in IT-Systemen, müssen einige Vorgaben aus Datenschutz-Gesetzen wie der europäischen Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetz (BDSG-neu) berücksichtigt werden. In puncto Datenschutz spielt insbesondere die Datensicherheit eine große Rolle. In diesem Blogbeitrag erfahren Sie, was genau unter dem Begriff der personenbezogenen Daten zu verstehen ist und welche Grundsätze aus der DSGVO bei der Speicherung von personenbezogenen Daten und persönlichen Daten berücksichtigt werden müssen.

 

Was sind personenbezogene Daten?

Zunächst ist es wichtig, die Definition von personenbezogenen Daten zu bestimmen. Für diesen Begriff existiert in Art. 4 Nr. 1 DSGVO eine gesetzliche Definition (Legaldefinition): Hiernach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen. 

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch eine Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Diese Informationen müssen also stets einer natürlichen Person zugeordnet werden können. Informationen bezüglich einer Firma bzw. einer juristischen Person wie einer GmbH, sind somit nicht personenbezogenen, soweit sie keine Informationen über natürliche Personen enthalten. Dagegen sind Informationen eines Ansprechpartners bei einer juristischen Person, wie z.B. Vor- und Nachname, Telefonnummer und E-Mail Adresse, personenbezogene Daten, personenbezogene Daten.

 

Beispiele – Kategorien personenbezogener Daten

Für eine bessere Übersicht für Beispiele von personenbezogenen Daten i.S.d. DSGVO, lassen sich diese gut in folgende Oberbegriffe bzw. Kategorien unterteilen, die nicht abschließend sind:

  • Allgemeine Personendaten wie z.B. Name, Geburtstag, Geburtsort, Anschrift, E-Mail-Adresse
  • Besondere Personendaten wie z.B. religiöse oder politische Ansichten, Gesundheitsdaten oder genetische Daten (vgl. Art. 9 Abs. 1 DSGVO), die besonders schützenswert sind
  • Körperliche Informationen wie z.B. Geschlecht, Status, Kleidergröße, Haar- und Augenfarbe
  • Kennziffern wie z.B. Sozialversicherungsnummer,Krankenversicherungsnummer und  Steueridentifikationsnummer
  • Bankdaten wie z.B. Kontonummer, Kontostand und weitere Informationen über die Bankverbindung wie eine IBAN
  • Online-Informationen wie z.B. IP-Adresse oder sog. Fingerprint-Informationen für Browser oder Geräte
  • Bewertungen wie z.B. Zeugnisse oder Noten
  • Kundendaten wie z.B. Bestellangaben oder Zahlungsdaten
  • Vermögensinformationen wie z.B. Einkommen, Eigentum, Vermögensstand 
 

Speicherung personenbezogener Daten

Die Speicherung von personenbezogenen Daten, z.B. in einem CRM-System oder auf Cloud- bzw. SaaS-Systemen, ist gleich von mehreren gesetzlichen Vorgaben aus der DSGVO und des BDSG-neu betroffen: Zum einen ist eine entsprechende Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich. Das ergibt sich bereits aus Art. 6 DSGVO. Für besondere Kategorien personenbezogener ergibt sich die Erforderlichkeit einer konkreten Rechtsgrundlage aus Art. 9 DSGVO. zum anderen sind bei der Speicherung personenbezogener Daten die Grundsätze für die Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO zu berücksichtigen. Auch die technisch-organisatorischen Maßnahmen gem. Art. 25, 32 ff. DSGVO müssen bei der Speicherung von personenbezogenen Daten eingehalten werden. 

Wann ist die Speicherung personenbezogener Daten erlaubt?

Die Speicherung von personenbezogenen Daten ist erlaubt, wenn eine entsprechende Rechtsgrundlage für die Verarbeitung vorliegt. Diese Rechtsgrundlage kann sich z.B. aus einem Datenschutzgesetz wie der EU-Datenschutzgrundverordnung DSGVO und/oder dem Bundesdatenschutzgesetz BDSG-neu ergeben. 

Zum einen ist die Speicherung von personenbezogenen Daten eine Verarbeitung von personenbezogenen i.S.d. Art. 6, Art. 4 Nr. 2 DSGVO, weshalb eine Rechtsgrundlage für die Speicherung von personenbezogenen Daten erforderlich ist. So ist gem. Art. 6 Abs. 1 lit. a) DSGVO eine Speicherung von personenbezogenen Daten erlaubt, wenn eine Einwilligung gem. Art. 7, 8 DSGVO von der betroffenen Person eingeholt wurde. Eine andere Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 lit. b) DSGVO: Wenn die Speicherung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen, ist die Speicherung von personenbezogenen Daten rechtmäßig. 

Eine Speicherung von personenbezogenen Daten ist darüber hinaus auch dann rechtmäßig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, vgl. Art. 6 Abs. 1. lit. c) DSGVO. Eine weitere Rechtsgrundlage bildet Art. 6 Abs. 1 lit. d) DSGVO, wenn eine Speicherung von personenbezogenen Daten erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlich Person zu schützen. Wenn die Speicherung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, ergibt sich die Rechtsgrundlage für die Speicherung von personenbezogenen Daten aus Art. 6 Abs. 1 lit. e) DSGVO. 

Falls die Speicherung von personenbezogenen Daten für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt, ist die Speicherung rechtmäßig, vgl. Art. 6 Abs. 1 lit. f) DSGVO. 

Darüber hinaus gibt es noch viele weitere spezialgesetzliche Regelung für die Verarbeitung bzw. Speicherung von personenbezogenen Daten, wie z.B. für das Beschäftigungsverhältnis gem. Art. 88 DSGVO, § 26 BDSG-neu.

Wenn es um die Speicherung von besonderen Kategorien personenbezogener Daten geht, müssen die Voraussetzungen des Art. 9 DSGVO vorliegen. Hier werden Rechtsgrundlagen für besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, biometrische Daten oder genetische Daten, genannt. Eine Rechtsgrundlage für besondere Kategorien personenbezogener Daten kann z.B. eine Einwilligung i.S.d. Art. 9 Abs. 2 lit. a) DSGVO sein. Eine spezialgesetzliche Rechtsgrundlage ergibt sich z.B. aus Art. 9 Abs. 2 lit. b) DSGVO i.V.m. § 26 Abs. 3 BDSG-neu. 

Darüber hinaus muss stets berücksichtigt werden, dass die Speicherung von personenbezogenen Daten nicht beliebig lang erfolgen darf. Hier sind stets gesetzliche Aufbewahrungs- und Löschfristen zu berücksichtigen. Diese müssen in Abhängigkeit der jeweiligen gespeicherten personenbezogenen Daten berücksichtigt werden.

 

Grundsätze der Datenverarbeitung

Die Grundsätze der Datenverarbeitung, die insbesondere bei der Speicherung von personenbezogenen Daten eingehalten werden müssen, sind in Art. 5 DSGVO definiert. Diese Grundsätze müssen von allen verantwortlichen Stellen eingehalten werden. Sie bilden Grundregeln für die Verarbeitung von personenbezogenen Daten, die stets zu berücksichtigen sind. Durch die Grundsätze der Datenverarbeitung soll die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO gewährleistet werden.

Der Begriff Verarbeitung wird von der DSGVO sehr weit interpretiert. Auch für diesen Begriff existiert in Art. 4 Nr. 2 DSGVO eine Legaldefiniton: Diese wird definiert als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Rechtmäßigkeit

Der Grundsatz der Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. a) DSGVO geregelt. Hiermit ist insbesondere gemeint, dass alle rechtlichen Vorgaben aus der DSGVO bei der Verarbeitung von personenbezogenen Daten eingehalten werden müssen. Das Bestehen einer Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist z.B. eine dieser rechtlichen Vorgaben. 

Nach Treu und Glauben

Der Grundsatz, dass die Verarbeitung von personenbezogenen Daten nach Treu und Glauben erfolgen muss, ist ebenfalls in Art. 5 Abs. 1 lit. a) DSGVO geregelt. Dieser Grundsatz kann im Prinzip nur im Einzelfall näher beschrieben werden und unterstreicht grundsätzlich, dass die Verarbeitung von personenbezogenen Daten redlich und anständig erfolgen muss. In Zukunft ist zu erwarten, dass dieser Grundsatz durch Fallgruppen näher spezifiziert wird. 

Transparenz

Auch der Grundsatz der Transparenz bezüglich der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. a) DSGVO genannt. Mit Transparenz ist gemeint, dass betroffenen Personen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können, wozu z.B. insbesondere die Geltendmachung der Betroffenenrechte nach Art. 15 ff. DSGVO gehört. Der Begriff der Transparenz wird insbesondere in den Art. 12 ff. bezüglich der Informationspflichten näher spezifiziert. Die Einhaltung des Datenschutzes durch technische Maßnahmen und technische Voreinstellungen gem. Art. 25 DSGVO können gem. Erwägungsgrund 78 S. 3 zur DSGVO durch die Gewährleistung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten etabliert werden. 

Darüber hinaus macht Erwägungsgrund 100 zur DSGVO deutlich, dass durch die Einführung von Zertifizierungsverfahren und Datenschutzsiegel und Datenschutzprüfzeichen die Transparenz erhöht werden kann, weil hierdurch betroffene Personen einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen erhalten können. 

Zweckbindung

Der Grundsatz der Zweckbindung ist in Art. 5 Abs. 1 lit. b) DSGVO geregelt. Hiernach müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbaren Weise weiterverarbeitet werden. 

Datenminimierung

Der Datenminimierungsgrundsatz ergibt sich aus Art. 5 Abs. 1 lit .c) DSGVO. Nach diesem Grundsatz müssen personenebzogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. 

Richtigkeit

Der Grundsatz der Richtigkeit der Verarbeitung von personenbezogenen Daten ist in Art. 5 Abs. 1 lit. d) DSGVO definiert. Richtigkeit in diesem Sinne bedeutet, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Außerdem sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung

Der Speicherbegrenzungsgrundsatz ist in Art. 5 Abs. 1 lit. e) DSGVO geregelt und beinhaltet die Vorgabe, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ausnahmen können sich aus den Art. 5 Abs. 1 lit. e) 2. HS., 89 Abs. 1 DSGVO ergeben. 

Integrität und Vertraulichkeit

Der Grundsatz der Integrität und Vertraulichkeit wird in Art. 5 Abs. 1 lit. f) DSGVO beschrieben. Nach diesem Grundsatz müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (z.B. gem. Art. 25, 32 ff. DSGVO). 

Rechenschaftspflicht

Die sog. Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO geregelt. Der Verantwortliche ist nach diesem Grundsatz für die Einhaltung der Grundsätze des Datenschutzes verantwortlich und muss dessen Einhaltung nachweisen können. Dies erfolgt z.B. durch die Anfertigung von entsprechenden Dokumentation für die Erfüllung von datenschutzrechtlichen Vorgaben, wie z.B. einem Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DSGVO.

 

Strafen bei Verstößen gegen die DSGVO

Ein Verstoß gegen diese Grundsätze der Datenverarbeitung kann schwere Folgen haben: Gem. Art. 83 Abs. 5 lit. a) DSGVO können Verstöße gegen Bestimmungen über die Grundsätze der Datenverarbeitung mit Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher der Beträge höher ist. 

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN