Was sind personenbezogene Daten und welche Vorgaben gibt es zum Beispiel zu Weitergabe und Löschung?
Personenbezogene Daten nach DSGVODer Umgang mit personenbezogenen Daten ist ein von Unternehmen oft vernachlässigter Bereich. Doch wer Daten von Kunden und Mitarbeitern erfasst, muss sich damit auseinandersetzen, ob es sich dabei um personenbezogene Daten handelt. Der Umgang mit diesen Daten unterliegt besonderen Regeln. Personenbezogene Daten werden in der DSGVO definiert. Informieren Sie sich hier, ob Sie in Ihrem Unternehmen personenbezogene Daten erheben und wie Sie mit diesen umgehen müssen.
1. Was sind personenbezogene Daten?Gemäß Art. 4 Nr. 1 DSGVO fallen unter den Begriff personenbezogene Daten alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Jeder Mensch gilt, Zeit seines Lebens, als natürliche Person. Als identifizierbar gilt eine Person dann, wenn sie direkt oder indirekt identifiziert werden kann. Eine Person wird beispielsweise identifizierbar durch Zuordnung einer Kennung (z.B. Kundennummer, Personalnummer oder Onlinekennung) oder durch die Kombination mehrerer Informationen. Dabei ist es ausreichend, wenn die Daten die Identifizierung der betroffenen Person theoretisch ermöglichen, nicht ob die Person tatsächlich identifiziert wird. Art. 4 Nr. 1 DSGVO stellt klar, dass unter personenbezogene Daten Angaben fallen, welche Einblicke in die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität von natürlichen Personen ermöglichen.
2. Personenbezogene Daten im UnternehmenUnternehmen, die sich unmittelbar oder mittelbar mit Datenverarbeitung befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes sowie unter spezifische Regelungen. In Art. 5 Abs. 1 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt. Diese Grundsätze sind bei der Verarbeitung personenbezogener Daten im Unternehmen unbedingt zu berücksichtigen – deren Einhaltung muss darüber hinaus vom Verantwortlichen nachgewiesen werden können (sog. Rechenschaftspflichten, Art. 5 Abs. 2 DSGVO). Gemäß Art. 5 Abs.1 DSGVO gelten die folgenden Grundsätze:
3. Arten personenbezogener DatenPersonenbezogene Daten stehen im Mittelpunkt der datenschutzrechtlichen Regelungen in der Datenschutzgrundverordnung (DSGVO). Es handelt sich nach der gesetzlichen Definition um Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (Betroffener) beziehen. Man unterscheidet zwischen verschiedenen Arten von personenbezogenen Daten. Aus datenschutzrechtlicher Sicht ist ihr Schutzbedürfnis dabei unterschiedlich ausgeprägt. Einige Kategorien von personenbezogenen Daten gelten als besonders sensibel und genießen einen erhöhten rechtlichen Schutz. Der Umgang mit ihnen fordert erhöhte Achtsamkeit.
Besonders schutzwürdige personenbezogene Daten
Die Verarbeitung von besonderen Kategorien personenbezogener Daten
Einwilligung in die Verarbeitung von besonderen Kategorien personenbezogener DatenDie Einwilligung zur Verarbeitung muss ausdrücklich erfolgen und sich explizit auf die Verarbeitung von besonderen Kategorien personenbezogener Daten beziehen, nachdem der Betroffene auf die Sensitivität der Daten hingewiesen worden ist. Schlüssiges Handeln ist nicht ausreichend. Des Weiteren muss die Einwilligung freiwillig erfolgen. Insbesondere im Rahmen entsprechender Rechtsverhältnisse, wie zum Beispiel einem Arbeitsverhältnis, kann die Freiwilligkeit infrage stehen, wenn der Arbeitnehmer in einer speziellen Abhängigkeit zum Arbeitgeber steht. Freiwilligkeit wird angenommen, wenn für die beschäftigte Person mit der Einwilligung ein rechtlicher beziehungsweise wirtschaftlicher Vorteil erreicht werden soll. Die Freiwilligkeit einer Einwilligungserklärung eines Arbeitnehmers ist nur gegeben, wenn trotz rechtlichem Über-Unterordnungsverhältnis zu seinem Arbeitgeber die Verweigerung der Einwilligungserklärung keine nachteiligen Konsequenzen mit sich bringt – z. B. wenn die Verweigerung zur Veröffentlichung des Mitarbeiterfotos auf Xing nicht den Ausschluss von Firmen-Events zur Folge hat. Wichtig ist, dass auch den Arbeitgeber die oben genannte Hinweispflicht über die Verarbeitung treffen. Der Arbeitnehmer muss über den festgelegten Zweck der Verarbeitung aufgeklärt und entsprechend über sein Widerrufsrecht nach Art. 7 Abs. 3 S.1 DSGVO in Kenntnis gesetzt werden.
Besondere Kategorien von personenbezogenen Daten beachtenAufgrund ihrer Schutzbedürftigkeit und der Eingriffsintensität in die Rechte und Freiheiten Betroffener, unterliegen die besondere Kategorien personenbezogener Daten zusätzlichen Anforderungen. So ist bei deren Verarbeitung schneller eine Einwilligungserklärung der betroffenen Person einzuholen. Um den Anforderungen der DSGVO gerecht zu werden, sollten nicht nur die technischen und organisatorischen Maßnahmen in diesem Bereich überprüft werden, sondern auch die entsprechenden Formulierungen in Einwilligungserklärungen. Im Zweifel muss vor der Verarbeitung besonderer Kategorien personenbezogener Daten immer geprüft werden, ob diese von einem Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO gedeckt ist. Dabei kommen neben der Einwilligung durch den Betroffenen noch weitere Erlaubnistatbestände infrage. Insgesamt sollten sich Unternehmen immer bewusst sein, dass die Verarbeitung von besonderen Kategorien personenbezogener Daten die Ausnahme darstellt.
Was macht personenbezogene Daten so schützenswert?
Personenbezogene Daten sind für Unternehmen „bares Geld“, da sie unter anderem dazu dienen können, gezielte Marketing- und Verkaufsstrategien auf den Einzelnen anzuwenden. Entsprechende Instrumente sind im Adress- und Datenhandel zu sehen. Hier legt der Gesetzgeber teilweise besonders strenge Maßstäbe an den Datenschutz an, auch wenn solche an sich eigentlich nicht verboten sind. Teilweise überlappt sich der Datenschutz mit anderen Persönlichkeitsrechten wie dem Recht am eigenen Bild. Fotografien anderer Personen dürfen beispielsweise nicht ohne weiteres veröffentlicht werden. Im Social Media Bereich wird das oft vergessen.
4. Umgang mit personenbezogenen DatenPersonenbezogene Daten beziehen sich auf eine bestimmte Person oder machen eine Person bestimmbar. An diesem Terminus setzt die Datenschutzgrundverordnung an. Diese knüpft dabei nur an natürlichen Personen an, nicht an die Daten juristischer Personen. Der Umgang mit diesen personenbezogenen Daten ist besonderen Regeln unterworfen.
Was prägt den Umgang mit personenbezogenen Daten aus Sicht der Betroffenen?
Der Umgang mit personenbezogenen Daten in UnternehmenUnternehmen werden daran gemessen, wie sie mit personenbezogenen Daten umgehen, sprich wie ernst sie das Thema Datenschutz nehmen. Dabei hat sich die rechtskonforme Herangehensweise von Unternehmen beim Thema Datenschutz längst zu einem harten Wettbewerbsvorteil sowohl im Bereich B2B als auch im Endkundensegment entwickelt. Unternehmen werden im Hinblick auf ihren Internetauftritt und den dort realisierten Datenschutzbestimmungen in Bezug auf personenbezogene Daten bewertet.
Was bedeutet der Umgang mit personenbezogenen Daten für die Unternehmenspraxis?
Datenschutz umfasst technische und organisatorische Maßnahmen, die das Unternehmen anzuwenden hat. Mitarbeiter müssen zur Vertraulichkeit und zur Beachtung des Datenschutzes verpflichtet werden. Insgesamt ist im Umgang mit personenbezogenen Daten von Unternehmensseite her immer besondere Aufmerksamkeit gefragt, damit relevante Vorschriften in diesem Bereich nicht übersehen und vor allem auch angemessen umgesetzt werden.
5. Weitergabe von personenbezogenen DatenObwohl die Weitergabe personenbezogener Daten zu den klassischen Verarbeitungsformen gehört und insoweit schon lange im Fokus entsprechender datenschutzrechtlicher Regelungen steht, bereitet das Thema in der praktischen Anwendung vielen Unternehmen Schwierigkeiten. Die Weitergabe personenbezogener Daten als intensiver EingriffWer personenbezogene Daten weitergibt, greift nachhaltig in die Rechte der betroffenen Person ein. Deshalb müssen sowohl Unternehmen als auch Privatpersonen vor einer solchen Weitergabe prüfen, ob ihr Verhalten rechtmäßig nach Art. 6 DSGVO ist. Jede Form von Unachtsamkeit und Fahrlässigkeit an dieser Stelle im Umgang mit personenbezogenen Daten kann rechtliche Sanktionen wie Bußgelder und vor allem auch faktische Folgen für die betroffene Person mit sich ziehen. Man kann davon ausgehen, dass die Weitergabe von personenbezogenen Daten auch im besonderen Interesse der Aufsichtsbehörden liegt. Vor dem Hintergrund der durch die DSGVO festgesetzten hohen Bußgelder, sollten sich Unternehmen gründlich mit der Thematik auseinandersetzen. Außerdem ist man bei einem Verstoß gegen entsprechende Datenschutzvorschriften auch schnell im Bereich weiterer rechtlicher Verstöße wie der Verletzung des Persönlichkeitsrechts angekommen. Das kann zu erheblichen Schadensersatzforderungen führen. In unserem Video erkären wir Ihnen genau, welche Voraussetzungen erfüllt sein müssen, damit personenbezogene Daten weitergegeben werden dürfen. Unser Team von 90+ Experten Wir managen Ihren DatenschutzUnsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 2000 Kundenprojekten in über 50 Branchen.
6. Löschen von personenbezogenen DatenWer Daten sammelt, muss auf der anderen Seite auch für die Löschung und Vernichtung sorgen, sobald bestimmte Bedingungen gegeben sind. Die DSGVO setzt unter anderem europaweit das sogenannte „Recht auf Vergessenwerden“ um. Die Rechte der Betroffenen werden dadurch deutlich gestärkt und die Pflichten der Unternehmen beim Löschen und Vernichten von Daten erweitert.
Was heißt Löschen von Daten?
Relevante Löschungstatbestände
Daten vernichten – weitere Anforderungen an die Umsetzung
Wer Daten erhebt und verarbeitet, muss regelmäßig selbst prüfen, ob und wann ein Löschungsgrund für die erhobenen Daten relevant wird. In diesem Kontext ist auch zu beachten, dass bei Vorliegen einer Löschungspflicht sämtliche Empfänger von Daten über den Löschungsvorgang zu informieren sind (folgt aus Art. 19 DSGVO und Art.17 Abs. 2 DSGVO). Die Mitteilungspflichten gegenüber einer unbestimmten Anzahl von Adressaten hat besondere Bedeutung, weil auch mit dieser Vorschrift die Rechte der Betroffenen gestärkt werden. Die Mitteilungspflichten beziehen sich sogar auf Adressaten, die außerhalb der Europäischen Gemeinschaft ansässig sind. Die Vorschrift in der EU-Datenschutzgrundverordnung kann Unternehmen zukünftig vor gewisse technische Herausforderungen stellen. Als Umsetzungsakte sind insbesondere
Löschungsanspruch von Betroffenen
Was sind personenbezogene Daten? Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nr. 1 DSGVO). Eine Person wird identifizierbar durch die Zuordnung einer Kennung oder durch die Kombination mehrerer Informationen. Es genügt dabei, wenn die Daten die Identifizierung der betroffenen Person theoretisch ermöglichen. Was sind besonders schützenswerte personenbezogene Daten? Unter den personenbezogenen Daten definieren BDSG (§ 46 Nr. 14 a-e BDSG-neu) und DSGVO (Artikel 4, 9 DSGVO) einige Daten als besonders schützenswert. Besonders schützenswert sind demzufolge Daten, welche Angaben zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschauliche Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zur Gesundheit, zum Sexualleben oder der sexuellen Orientierung machen, oder bei welchen es sich um genetische und biometrische Daten handelt. Die DSGVO verbietet die Verarbeitung dieser Daten und reglementiert besondere Ausnahmefälle, in welchen die Verarbeitung dieser Daten gestattet ist, beispielsweise die Verarbeitung aufgrund einer ausdrücklichen Einwilligung durch den Betroffenen nach Art. 9 Abs. 2a DSGVO. Warum sind personenbezogene Daten schützenswert? Personenbezogene Daten ermöglichen die Identifikation einer Person und lassen Rückschlüsse auf deren Lebensführung zu. Gleichzeitig ist Big Data zu einem wichtigen Wettbewerbsfaktor geworden, für viele Unternehmen sind personenbezogene Daten die Grundlage ihres Geschäftsmodells. Marketing- und Verkaufsstrategien können auf den Einzelnen angewandt werden, beispielsweise durch personalisierte Werbung. Parallel dazu steigt bei den Verbrauchern die Wahrnehmung zunehmend zum gläsernen Menschen zu werden, und Fälle von Datenklau und Datenmissbrauch durch Phishing führen zu Besorgnis. Die DSGVO legt daher Grundsätze und Spielregeln fest, die Unternehmen und Behörden in die Pflicht nehmen, den Schutz der Daten ihrer Kunden zu gewährleisten. Was fällt nicht unter personenbezogene Daten? Informationen über juristische Personen wie Gesellschaften, Vereine und Stiftungen werden nicht durch die DSGVO geschützt. Des Weiteren lassen vollständig anonymisierte Daten keinen Rückschluss auf eine Person zu, sind daher keine personenbezogenen Daten und fallen nicht unter den Anwendungsbereich der DSGVO. Problematisch können pseudonymisierte Daten sein, die mit Zusatzwissen die Bestimmung einer Person ermöglichen – in aller Regel handelt es sich dabei um personenbezogene Daten und die Vorgaben der DSGVO müssen auch für diese pseudonymisierten Daten beachtet werden. Jedoch müssen bei pseudonymisierten Daten häufig nicht ganz so strikte Sicherheitsmaßnahmen angewendet werden, da die Pseudonymisierung an sich schon eine solche Schutzmaßnahme ist. Wann müssen personenbezogene Daten gelöscht werden? Personenbezogene Daten dürfen von Unternehmen nur für eindeutige und legitime Zwecke erhoben und verarbeitet werden – dies besagt die sogenannte Zweckbindung. Das heißt konkret, dass die erhobenen Daten gelöscht werden müssen, sobald der Zweck, für den Sie erhoben wurden – zum Beispiel eine Reklamation – erfüllt wurde. Liegt eine gesetzliche Aufbewahrungsfrist (z.B. aus dem Steuerrecht) für die personenbezogenen Daten vor, müssen diese erst nach Ablauf der Aufbewahrungsfrist gelöscht werden. Wie kann ich die Löschung meiner Daten verlangen? Wenn Sie mit der Verarbeitung Ihrer personenbezogenen Daten nicht mehr einverstanden sind, dann können Sie von Ihrem Recht auf Löschung nach Art. 17 DSGVO Gebrauch machen. Schreiben Sie dazu einfach dem betreffenden Unternehmen, von dem Sie z.B. einen Newsletter abonniert haben, dass Sie Ihre Einwilligung zur Verarbeitung Ihrer Daten widerrufen und die Löschung der Daten fordern. Bitten Sie zudem um eine Bestätigung der Aktion. Das entsprechende Unternehmen muss dann innerhalb eines Monats Ihrer Anfrage nachkommen. Wird die Löschung abgelehnt, so muss das Unternehmen dies stichhaltig, z.B. mit einer gesetzlichen Pflicht zur Aufbewahrung, begründen. Weitere Informationen hierzu finden Sie auf der Seite zum Thema „Recht auf Löschung“. Weitere Themen in der Kategorie Datenschutz GrundlagenAktuelle Beiträge zum Thema Personenbezogenen DatenWas fällt unter den Begriff Verarbeitung von personenbezogenen Daten?Häufige Typen von Verarbeitung personenbezogener Daten enthalten unter anderem das Sammeln, Aufzeichnen, Ordnen, Speichern, Verändern, Betrachten, Nutzen, Veröffentlichen, Verbinden und Löschen dieser Daten.
Welche personenbezogenen Daten werden verarbeitet?Es/sie darf Daten verarbeiten, die erforderlich sind, um vor Abschluss des Vertrags und zur Vertragsabwicklung auf Verlangen des einzelnen Kunden die erforderlichen Maßnahmen zu ergreifen. Sie können also den Namen des Kunden, die Lieferadresse, die Kreditkartennummer (bei Kartenzahlung) usw. verarbeiten.
Welche Daten gehören zu den personenbezogenen Daten?Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.
Welche der folgenden Tätigkeiten fallen unter den Begriff der Verarbeitung?Nr. 2 definiert die Verarbeitung: Dabei geht es um mit oder ohne automatisierte Verfahren durchgeführte Verfahren wie unter anderem die Erhebung, die Erfassung, die Organisation, das Ordnen, die Speicherung, die Veränderung, die Verwendung und andere Tätigkeiten im Kontext personenbezogener Daten.
|