Warum der Umgang mit personenbezogenen Daten entscheidend ist

Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten?

Personenbezogene Daten - was versteht man darunter? Welche Regelungen sind hinsichtlich der Weitergabe und Löschung diesersDaten zu beachten?

In vielen Unternehmen ist der adäquate Umgang mit personenbezogenen Daten ein wenig beachtetes Thema. Doch wer Kundendaten und Mitarbeiternamen erfasst, sollte sich unbedingt damit auseinandersetzen, ob es sich um personenbezogene Daten handelt.

Hierbei gibt es spezielle Vorschriften zu beachten, die in der DSGVO definiert sind. Es ist daher ratsam, sich über die Erhebung von personenbezogenen Daten in Ihrem Unternehmen zu informieren und zu wissen, wie Sie diese korrekt behandeln müssen.

Was versteht man unter personenbezogene Daten?

Gemäß Artikel 4 Nummer 1 DSGVO zählen sämtliche Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen, als personenbezogene Daten. Jeder Mensch wird in diesem Sinne als natürliche Person betrachtet.

Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Dies kann zum Beispiel durch die Zuordnung einer Kennung (wie Kundennummer, Personalnummer oder Online-Kennung) oder durch das Zusammenfügen mehrerer Informationen geschehen.

Hierbei ist es nicht ausschlaggebend, ob die betroffene Person tatsächlich identifiziert wird - es genügt, wenn die Daten theoretisch zur Identifizierung genutzt werden könnten.

Laut Art. 4 Nr. 1 der DSGVO sind personenbezogene Daten alle Informationen, die Rückschlüsse auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichensPerson zulassen.

Zu diesen Daten gehören selbstverständlich Namen und Telefonnummern. Doch auch das Aussehen einer Person oder ihre IP-Adresse können zur Identifizierung beitragen. Zudem können auch weniger offensichtliche Informationen wie Arbeitszeiten oder diesStreckenverfolgung als personenbezogene Daten gelten.

Wo werden personenbezogenen Daten im Unternehmen erhoben?

Firmen, die direkt oder indirekt mit der Verarbeitung von Daten zu tun haben, müssen sich an die allgemeinen Datenschutzgrundsätze sowie spezifische Vorschriften halten.

Im Artikel 5 Absatz 1 der DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt. Diese Grundsätze müssen bei der Verarbeitung von personenbezogenen Daten im Unternehmen zwingend beachtet werden - zusätzlich muss der Verantwortliche die Einhaltung nachweisen können (so genannte Rechenschaftspflichten, Artikel 5 Absatz 2 der DSGVO).

Welche Grundsätze gelten bei der Verarbeitung von personenbezogenen Daten?

Verarbeitung nach Treu und Glauben: Aufgrund ihrer Abstraktheit lässt sich die Generalklausel nur anhand konkreter Einzelfälle und unter Berücksichtigung der Gesamtumstände bewerten. Ein Beispiel hierfür ist der Grundsatz der Direkterhebung, der besagt, dass personenbezogene Daten vom Verantwortlichen direkt beim Betroffenen und nicht durch einen Dritten erhoben werden sollten, da eine Dritterhebung für den Betroffenen oft überraschend kommt.
Rechtmäßigkeit der Verarbeitung: Gemäß Artikel 6 DSGVO darf eine Verarbeitung von personenbezogenen Daten ausschließlich auf Basis einer entsprechenden Rechtsgrundlage oder einer ausdrücklichen Einwilligung des betroffenen Individuums erfolgen. Nur unter diesen Voraussetzungen ist die Verarbeitung rechtskonform und zulässig. Es bedarf also einer klaren Zustimmung des Betroffenen oder einer gesetzlichen Grundlage, um personenbezogene Daten zu verarbeiten. Diese Regelung dient dazu, die Rechte und den Schutz der Betroffenen zu gewährleisten und unerlaubte Nutzung ihrer Daten zu verhindern. Die Einhaltung der DSGVO ist somit unerlässlich, um eine rechtlich einwandfreie Verarbeitung personenbezogener Daten zu gewährleisten.
Transparenz: Die Einhaltung des Prinzips der Transparenz wird durch die Bestimmungen in den Artikeln 12ff. der DSGVO gewährleistet. Dieses Prinzip stellt sicher, dass die betroffenen Personen ihr Recht auf informationelle Selbstbestimmung ausüben können und stets darüber im Bilde sind, wer, zu welchem Zweck und auf welche Art und Weise ihre personenbezogenen Daten verarbeitet. Es ist von großer Bedeutung, dass die Betroffenen in vollem Umfang über die Verarbeitung ihrer Daten informiert sind, um ihre Privatsphäre und ihre persönlichen Rechte zu schützen.
Zweckbindung: Jede Verarbeitung von personenbezogenen Daten muss auf einen spezifischen Zweck ausgerichtet sein. Die Sammlung von personenbezogenen Daten ist gemäß Artikel 5 Absatz 1b der DSGVO nur für klar definierte, unmissverständliche und berechtigte Zwecke zulässig.
Datenminimierung: Im Sinne von Art. 5 Abs. 1c DSGVO müssen personenbezogene Daten dem Zweck entsprechend angemessen und auf das erforderliche Maß beschränkt sein. Hierbei gilt die Regel: So wenig wie möglich an personenbezogenen Daten erheben, um den Zweck der Verarbeitung zu erfüllen.
Richtigkeit der Datenverarbeitung: Im Rahmen der DSGVO ist es unerlässlich, dass personenbezogene Daten stets sachlich korrekt und aktuell gehalten werden, wie es in Artikel 5 Absatz 1d vorgeschrieben ist. Sollten sich dennoch Fehler oder Ungenauigkeiten einschleichen, so haben Betroffene das Recht, gemäß Artikel 16 DSGVO eine Berichtigung der betreffenden Daten zu fordern. Dieses Recht soll sicherstellen, dass jeder Mensch eine gewisse Kontrolle über die Informationen hat, die über ihn gespeichert werden.
Speicherbegrenzung: Es ist nur erlaubt, personenbezogene Informationen solange aufzubewahren, wie sie für den Verarbeitungszweck notwendig sind, es sei denn, es gibt eine gesetzliche Aufbewahrungspflicht. Wenn die Speicherung nicht mehr für den Verwendungszweck erforderlich ist, müssen die Daten entsprechend Artikel 17 Absatz 1a der Datenschutz-Grundverordnung gelöscht werden.
Integrität und Vertraulichkeit: Im Rahmen der Datenschutz-Grundverordnung müssen personenbezogene Daten nach Art. 5 Abs. 1f in einer Weise verarbeitet werden, die ausreichende Sicherheitsmaßnahmen gewährleistet. Dazu zählt der Schutz vor unauthorisierter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung der Daten. Um dies zu gewährleisten, sind angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu ergreifen.

Kategorien personenbezogener Daten

Die Beschreibung von personenbezogenen Daten erfolgt in Form von Kategorien, welche als präzise und dennoch abstrakte Einteilungen gelten. Eine eindeutige Definition des Begriffs "Datenkategorie" durch die DSGVO existiert nicht. Jedoch sollten mehrere Einzeldaten innerhalb einer Datenkategorie zusammengefasst werden.

Es ist gesetzlich vorgeschrieben, dass eine Aufzeichnung über die Verarbeitung von personenbezogenen Daten in Form eines Verzeichnisses geführt werden muss. Hierbei sind auch die genauen Datenkategorien der verarbeiteten Informationen zu notieren.

Es handelt sich hierbei um eine wichtige Maßnahme zum Schutz der Privatsphäre und zur Sicherstellung der Einhaltung datenschutzrechtlicher Vorschriften.

Es gibt eine Vielzahl an personenbezogenen Daten, die genannt werden können, um zu verdeutlichen, welche Informationen von Unternehmen oder Institutionen gesammelt werden. Beispiele für personenbezogene Daten sind:

Name,
Geburtsdatum,
KFZ Kennzeichen,
Logindaten,
Mitarbeiterdaten,
Adresse,
E mail Adresse,
IP Adresse,
Online Daten,
Kreditkarten- und Bankdaten.

All diese Informationen können genutzt werden, um ein detailliertes Profil einer Person zu erstellen und müssen daher besonders geschützt werden. Es liegt in der Verantwortung der Unternehmen und Institutionen, sicherzustellen, dass diese Daten nicht missbraucht werden und nur für den vorgesehenen Zweck genutzt werden.

Demnach handelt es sich um Informationen, die auf eine identifizierte oder identifizierbare natürliche Person Bezug nehmen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt durch Zuordnung zu bestimmten Merkmalen, wie zum Beispiel einem Namen, einer Kennnummer, oder Standortdaten, identifiziert werden kann.

Was sind besondere Kategorien personenbezogener Daten

In Artikel 9 der DSGVO wird der Ausdruck besondere Kategorien personenbezogener Daten definiert. Die Verarbeitung dieser Daten ist nur unter bestimmten Bedingungen erlaubt und erfordert möglicherweise eine Datenschutz-Folgenabschätzung (DSFA). Daher ist es von großer Bedeutung, die Daten zu kennen, die in diese Kategorie fallen.

In welcher Weise legt die DSGVO die Kriterien für besondere Kategorien personenbezogener Daten fest?

Die DSGVO legt fest, welche Art von personenbezogenen Daten besonders schutzbedürftig sind und als solche besonderer Kategorien betrachtet werden müssen. Denn die Verarbeitung dieser Daten kann erhebliche Risiken für die betroffenen Personen mit sich bringen.

Art. 9 der DSGVO nennt als solche Daten diejenigen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Darüber hinaus zählen auch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung zu diesen besonders sensiblen Datenkategorien.

Sicher und rechtskonform: Verarbeitung von Daten besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO

Als Verantwortlicher ist es Ihnen untersagt, personenbezogene Daten von besonderen Kategorien zu verarbeiten, es sei denn, es liegen spezielle Umstände vor, die in Artikel 9 der Datenschutzgrundverordnung aufgeführt sind, die eine Verarbeitung zulassen.

Es gibt spezielle Umstände, die es erlauben, besondere Kategorien personenbezogener Daten zu verarbeiten, obwohl dies normalerweise verboten ist. Eine solche Ausnahme gilt, wenn die betroffene Person für einen oder mehrere spezifische Zwecke klaresEinwilligung gegeben hat.

Eine weitere Ausnahme besteht, wenn eine Situation vorliegt, die in Artikel 9 der DSGVO aufgeführt ist. Dazu zählt zum Beispiel der Schutz lebenswichtiger Interessen.

Wann ist die Verarbeitung von personenbezogenen Daten zulässig?

Täglich werden personenbezogene Daten erhoben, die im Anschluss verarbeitet, gespeichert und schließlich gelöscht werden. In all diesen Vorgängen sind die Vorschriften der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) zu beachten.

Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt

Es ist grundsätzlich untersagt, personenbezogene Daten zu verarbeiten. Eine Ausnahme besteht nur unter bestimmten Bedingungen, beispielsweise wenn eine gesetzliche Grundlage vorliegt oder der Betroffene seine Einwilligung gegeben hat. Dieses Prinzip wird als Verbot mit Erlaubnisvorbehalt bezeichnet.

Um zu entscheiden, ob personenbezogene Daten verarbeitet werden dürfen, muss zunächst geprüft werden, ob sie in den betreffenden Prozessen erhoben werden und um welche Daten es sich dabei handelt.

Von Seiten der DSGVO in Artikel 6 wird deutlich aufgeführt, welche Kriterien für die Rechtmäßigkeit einer Verarbeitung gelten. Dabei ist es erforderlich, dass mindestens einer der nachfolgenden Aspekte erfüllt ist:

die betreffende Person hat ihre Zustimmung ausdrücklich gegeben,
um den erteilten Auftrag zu erfüllen, sind Verarbeitungsvorgänge erforderlich, einschließlich vorvertraglicher Maßnahmen wie dem Versand von Broschüren oder der Erstellung von Angeboten,
es besteht eine gesetzliche Verpflichtung, die gemäß den Vorschriften der Europäischen Union oder des nationalen Rechts einzuhalten ist,

um eine bestimmte Aufgabe auszuführen, die im öffentlichen Interesse liegt und den Bestimmungen des EU- oder nationalen Rechts entspricht, ist es erforderlich, die entsprechende Verarbeitung durchzuführen,
zum Schutz lebenswichtiger Interessen einer Person ist es erforderlich, dass die Datenverarbeitung durchgeführt wird.

Umgang mit personenbezogenen Daten

Die Definition von personenbezogenen Daten ist grundlegend für die Anwendung der Datenschutz-Grundverordnung und wird in Artikel 4 Abs. 1 festgelegt. Demnach umfassen sie jegliche Informationen, die auf eine identifizierte oder identifizierbare natürliche Person bezogen werden können.

Eine Person wird als identifizierbar betrachtet, wenn sie direkt oder indirekt durch eine Zuordnung zu einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder besonderen Merkmalen identifiziert werden kann.

Was bedeutet der Grundsatz der Datenminimierung?

In Art. 5 DSGVO ist der Grundsatz der Datenminimierung legal festgelegt. Daraus folgt, dass personenbezogene Daten angemessen, erheblich und auf das notwendige Maß beschränkt sein müssen, um dem Zweck zu entsprechen („Datenminimierung“).

Es besteht eine Zweck-Mittel-Relation, bei der der Verantwortliche den Zweck im Rahmen des Grundsatzes der Zweckbindung vorab festlegt und nur die erforderlichen Daten verarbeitet werden dürfen. Diese Definition ist jedoch noch sehr abstrakt. Um eine bessere Vorstellung zu vermitteln, sollen die unbestimmten Begriffe durch Beispiele konkretisiert werden.

Warum müssen personenbezogene Daten geschützt werden?

Die Definition von personenbezogenen Daten ist sowohl im BDSG als auch in der DSGVO festgelegt. Allerdings genießen personenbezogene Daten aufgrund der DSGVO einen speziellen Schutz, welcher den Bürgern der Europäischen Union (EU) das Recht auf informationelle Selbstbestimmung gewährleistet.

Möchten Sie etwa, dass Ihre medizinischen Aufzeichnungen öffentlich zugänglich sind?

Recht auf informationelle Selbstbestimmung

Dies dient dem Schutz der Persönlichkeit einer jeden Person. Es beschreibt das Recht jedes Individuums, unabhängig über die Verwendung und Preisgabe personenbezogener Daten zu entscheiden. Diese Rechte werden im Grundgesetz unter Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG sowie in der DSGVO und Art. 8 Abs. 1 der Europäischen Menschenrechtskonvention geschützt.

Welche Rechte haben Betroffene, wenn ich deren personenbezogenen Daten verarbeite?

Gemäß Art. 13 Absatz 1 und 2 der DSGVO ist es erforderlich, dass die betroffene Person umfassend über ihre Betroffenenrechte informiert wird.

Hierbei handelt es sich um das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch sowie auf Datenübertragbarkeit. Es ist von hoher Bedeutung, dass die betroffene Person über diese Rechte informiert wird, um ihre Privatsphäre und ihre Daten besser schützen zu können.

FAQ - Was sind personenbezogenen Daten

Dürfen personenbezogene Daten an Dritte weitergegeben werden?

Es ist grundsätzlich nicht erlaubt, personenbezogene Daten an Dritte weiterzugeben, ohne die Zustimmung der betroffenen Personen einzuholen. In Ausnahmefällen, in denen eine Weitergabe notwendig ist, darf die Übermittlung der Daten nur verschlüsselt und in abgetrennter Form erfolgen.

Was versteht man unter kulturellen oder sozialen Identität?

Die Sozialwissenschaft beschäftigt sich mit dem Begriff der kulturellen Identität im Zusammenhang mit dem Gefühl der Zugehörigkeit zu einer kollektiven Kultur. Dieses Gefühl beruht auf Gemeinsamkeiten in der Geschichte, Tradition, Religion und moralischen Werten.

Dürfen politische Meinungen religiöse oder weltanschauliche Überzeugungen eines Mitarbeiters erfasst und verarbeitet werden?

Es ist nicht gestattet, personenbezogene Daten zu verarbeiten, die Informationen über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft enthalten. Ebenso ist das Erfassen, Speichern und Weiterleiten von genetischen Daten sowie Daten über Gesundheit oder Sexualleben nicht erlaubt.

Dürfen personenbezogene Daten an ein Drittland übermittelt werden?

Gemäß Artikel 45 der DSGVO ist es gestattet, personenbezogene Daten in ein Drittland zu übermitteln, sofern die Europäische Kommission zu dem Schluss gekommen ist, dass in dem betreffenden Drittland, Gebiet oder Sektor ein angemessenes Datenschutzniveau gewährleistet ist.

Datenschutz versus Datensicherheit

Im Bereich des Datenschutzes liegt der Fokus ausschließlich auf personenbezogenen Daten, während bei der Datensicherheit sämtliche Arten von Informationen geschützt werden sollen - unabhängig davon, ob sie digital oder analog sind, sowie ob sie von natürlichen Personen stammen oder nicht. Um ein Höchstmaß an Sicherheit zu gewährleisten, ist es für Unternehmen von essentieller Bedeutung, wirksame Schutzmaßnahmen zu ergreifen.

Was versteht man unter einer eindeutigen Identifizierung einer natürlichen Person?

Wenn Betroffene direkt oder indirekt identifizierbar sind, insbesondere durch eine Kennung wie einen Namen, eine Kennnummer, Standortdaten, eine Online-Kennung oder besondere Merkmale, die ihre physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität ausdrücken, handelt es sich um personenbezogene Daten.

Tatsächlich umfassen personenbezogene Daten alle Informationen, die auf irgendeine Art und Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispiele hierfür sind Telefonnummern, Kreditkarten- oder Personalnummern, Kontodaten, Kfz-Kennzeichen, Aussehen, Kundennummern oder Anschriften.