Was sind personenbezogene Daten? – Umgang mit sensiblen Daten

Personenbezogene Daten spielen in unserem Alltag eine große Rolle. Angaben über eine bestimmte oder bestimmbare Person werden in bestimmten Situationen eingefordert, und besonders im Arbeitsleben werden ständig Daten erhoben, verarbeitet und ausgewertet. Ob in Unternehmen, in Behörden, im Bereich Social Media oder beim Shopping – überall werden Daten und Informationen gesammelt und ausgewertet. Diese sensiblen Daten enthalten oft personenbezogene Informationen, welche durch Datenschutzgrundverordnung (DSGVO) besonders geschützt sind. Bei Verstößen gegen die Verordnungen der DSGVO können Strafen, Sanktionen und unmittelbarer Imageverlust die Folge sein. Der Imageschaden, der durch Verstöße der DSGVO und anderer Datenschutzmaßnahmen entstehen, kann für Unternehmen zu finanziellen Einbußen und einem erheblichen Reputationsverlust führen. Aus diesem Grund müssen Unternehmen, die mit personenbezogenen Daten arbeiten, die gesetzliche Lage genau betrachten, um weitreichende Konsequenzen, die über die eigentlichen Sanktionen der DSGVO hinausgehen, zu vermeiden.

Personenbezogene Daten – Definition

Der Begriff „personenbezogene Daten“ wird in Artikel 4 Nr. 1 der DSGVO definiert. Die Daten werden als Informationen beschrieben, welche sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Mithilfe bestimmter Daten kann man eine Person ohne ihr Wissen eindeutig identifizieren. Im Alltag dienen zum Beispiel Mitarbeiternummern oder Kundennummern als Identifikationsmöglichkeiten. Ob die Daten am Ende tatsächlich zur Identifizierung einer Person ausgewertet werden, spielt keine Rolle. Die Möglichkeit, dass es dazu kommen kann, ist ausreichend für die Schutzwürdigkeit der Daten.

Unter den Begriff der personenbezogenen Daten fallen alle vorhandenen Angaben, die es einer dritten Person erlauben, Informationen über die wirtschaftliche, physische, genetische, physiologische, soziale, psychische oder kulturelle Identität einer natürlichen Person zu erlangen. Im Alltag kann es sich hierbei um IP-Adressen, Telefonnummern, verarbeitete Arbeitszeiten, aber auch das Erscheinungsbild einer natürlichen Person handeln.

Beispiele

Einige Beispiele für personenbezogene Daten aus dem Alltag, die dazu dienen können, eine Person eindeutig zu identifizierten:

• Vor- und Nachname einer Person
• Demografische Daten
• Zeugnisse
• Adresse
• Telefonnummern
• Geburtsdaten
• Biometrische Daten
• Gesundheitsdaten
• Politische Einstellung
• Sexuelle Orientierung
• Finanzinformationen
• Religiöse Gesinnung
• Sozialversicherungsnummer
• IP-Adresse

Unternehmen – der Umgang mit personenbezogenen Daten

Unternehmen sind auf die unmittelbare oder mittelbare Verarbeitung von Daten und Informationen angewiesen. Die notwendige Datenverarbeitung wird den Grundsätzen des allgemeinen Datenschutzes zugerechnet. Diese festgeschriebenen Grundsätze sind zu berücksichtigen und deren Einhaltung muss nachweisbar sein.

Welche Grundsätze sind einzuhalten?

Die Grundsätze des Datenschutzes werden in Artikel 5 Absatz 1 der DSGVO beschrieben:

• Rechtmäßigkeit der Datenverarbeitung

Eine Verarbeitung von Daten darf nur dann erfolgen, wenn eine Einwilligung der betroffenen Person vorliegt oder die Verarbeitung auf einer Rechtsgrundlage basiert.

• Informationsverarbeitung nach Treu und Glauben

Vorhandene Daten dürfen nur von einer Person verarbeitet werden, welche eine Vertrauensstellung einnimmt. Es ist nicht gestattet, die erhobenen personenbezogenen Daten bei einer Verarbeitung zu verfälschen, zu ändern oder korrigieren.

• Zweckbindung

Der Verarbeitung von personenbezogenen Daten muss immer ein nachvollziehbarer Zweck zugrunde liegen die Sinnhaftigkeit muss nachweisbar sein.

• Transparenz

Werden personenbezogene Daten verarbeitet, so hat der Betroffene grundsätzlich das Recht, über seine Daten und deren Verwendung zu entscheiden. Eine betroffene Person kann von einem Datenverarbeiter den Zweck der Verarbeitung erfragen und auf eine Auskunft bestehen.

• Richtigkeit der Datenverarbeitung

Daten müssen korrekt aufgenommen und die vorhandenen Informationen müssen inhaltlich auf einem aktuellen Stand gehalten werden. Eine betroffene Person kann jederzeit eine Bereinigung der Daten einfordern.

• Minimierung der Daten

Werden personenbezogene Daten erhoben, sind die Informationen auf ein zweckerfüllendes Maß zu reduzieren. Grundsätzlich sollen die Datenströme minimiert werden, was eine Reduzierung der Erfassung von persönlichen Daten beinhaltet. Eine Unterstützung ist die regelmäßige Aktenvernichtung.

• Begrenzung der Speicherung von Daten

Erhobene Daten dürfen nur so lange gespeichert werden, bis die Notwendigkeit der Speicherung nicht mehr gegeben ist. Ist eine Archivierung der Daten nicht notwendig, so sind die vorhandenen Daten zu löschen. Diese Regelung greift nicht, wenn gesetzliche Aufbewahrungsfristen gelten.

• Vertraulichkeit und Integrität

Werden personenbezogenen Daten erhoben und verarbeitet, so sind diese mit einer hohen und angemessenen Sicherheit zu behandeln. Durch entsprechende obligatorische Maßnahmen sind Daten vor unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder unrechtmäßigen Zugriff zu schützen. Unternehmen sichern sich durch sogenannte TOM´s (technisch und organisatorische Maßnahmen) ab, die in Artikel 32 der DSGVO beschrieben werden.

Besonders schützenswerte Daten

Besonders schützenswerte Daten, Was sind personenbezogene Daten?

Dieser Kategorie sind solche Daten zugeordnet, welche Rückschlüsse auf die ethnische Herkunft, politische Auffassung, sexuellen Ausrichtung, religiöse oder weltliche Anschauung, eine Gewerkschaftszugehörigkeit, oder genetische bzw. biometrische Informationen zulassen. Diese Daten gehören zu den besonders schützenswerten personenbezogenen Daten und müssen daher besonders sensibel behandelt werden.

Daher erlaubt die DSGVO eine personenbezogene Verarbeitung dieser Daten nur unter diesen der Voraussetzungen:

  • Die betroffene Person muss nachweisbar über die Weiterverarbeitung der schützenswerten Daten hingewiesen werden.
  • Die betroffene Person hat in einer schriftlichen Einwilligung ausdrücklich der Verarbeitung ihrer Daten zugestimmt. 
  • Die Einwilligung in eine Datenverarbeitung muss aus freien Stücken abgegeben werden und besonders innerhalb eines Arbeitsverhältnisses dürfen keine negativen Konsequenzen entstehen
  • Grundsätzlich muss ein Arbeitgeber den Betroffenen über den Zweck der Datenverarbeitung informieren und auf das Widerrufsrecht hinweisen.

Welche Anforderungen müssen erfüllt werden?

Der Schutz von als besonders schutzbedürftig definierten Daten muss besondere Anforderungen erfüllen. Neben den vorab beschriebenen Bedingungen zur Informationspflicht und Einwilligung der betroffenen Personen müssen Unternehmen zwingend technische und organisatorische Maßnahmen (TOM´s) vorweisen und deren Formulierungen überprüfen.

Eine Datenverarbeitung von personenbezogenen Daten aus den besonders schützenswerten Kategorien sollte grundsätzlich einen Ausnahmefall darstellen und eine explizite Erlaubnis nach Artikel 9 Abs. 2 der DSGVO muss vorliegen.

Personenbezogene Daten – warum ist der Schutz wichtig?

Datenschutz ist längst in unserer Gesellschaft angekommen und Informationen, welche Rückschlüsse auf die eigene Lebensgestaltung zulassen, sind als besonders schutzwürdig zu betrachten. Um die Identifikation einer Person auszuschließen, müssen sich Unternehmen und Behörden über alle Details der DSGVO im Klaren sein, um dem heiklen Thema Datenschutz korrekt zu begegnen.

Für Unternehmen bedeuten personenbezogene Daten einen monetären Vorteil – Marketingabteilungen nutzen Daten und Informationen, um gezielte Werbekampagnen durchzuführen und im Bereich Sales nutzt man die Daten, um Umsätze zu generieren. Deswegen hat der Gesetzgeber besonders hohe Maßstäbe festgelegt, welche die Persönlichkeitsrechte der Betroffenen schützen – dies inkludiert auch die Verwendung von Bildern.

Die Weitergabe personenbezogener Daten

Die Weitergabe von personenbezogenen Daten ist für manche Unternehmen ein gutes Geschäft. Datenschutzrechtliche Regelungen regulieren und unterbinden den Datenhandel. Viele vormals gängige Verarbeitungsformen sind nicht mehr gesetzeskonform und können ein Unternehmen in rechtliche Schwierigkeiten bringen.

Eine Weitergabe von personenbezogenen Daten muss mit den Grundsätzen aus Artikel 6 der DSGVO-konform gehen, da in die geltenden Rechte der betroffenen Person aktiv eingegriffen wird. Unternehmen und Privatpersonen müssen die Vorgaben der DSGVO kennen und beachten – Unkenntnis, Fahrlässigkeit oder Unachtsamkeit schützt nicht vor rechtlichen Konsequenzen. Ein Verstoß wird nach den Folgen und Konsequenzen beurteilt, welche die betroffene Person erleidet. Unternehmen werden mit Bußgeldern abgestraft, aber besonders der Reputationsverlust kann zu einem hohen finanziellen Schaden führen. Unternehmen müssen stets bedenken, dass der sorgsame Umgang mit personenbezogenen Daten für Kunden und Lieferanten eine Grundvoraussetzung darstellt – wird ein Verstoß publik, so ist der wirtschaftliche Schaden, der aus dem Imageverlust entsteht, oft höher als das ausgesprochene Bußgeld.