Was sind personenbezogene Daten laut DSGVO?
Art. 4 Nr. 1 der DSGVO gibt uns Aufschluss auf diese Frage: personenbezogene Daten sind alle Daten, die Rückschlüsse auf die Identifikation eines Menschen direkt oder indirekt zulassen. Außerdem zählen alle Informationen dazu, die einer bestimmten Person konkret zugeordnet werden können.
Im Klartext heißt das, dass gemäß Grundverordnung nicht nur der Name, eine Kennzahl oder die Standortdaten zu den personenbezogenen Daten zählen, sondern auch Informationen, wie die Erfassung von Arbeitszeiten oder etwa die Beurteilungsergebnisse einer Prüfung.
Zum Schutz von Privatpersonen ist die Definition des Begriffs „personenbezogene Daten“ im Gesetz und in der Rechtsprechung, möglichst weit auszulegen.
Warum müssen personenbezogene Daten besonders geschützt werden?
Anhand von personenbezogenen Daten können Dritte u.a. einzelne Personen identifizieren oder gar Rückschlüsse auf deren Lebensführung ziehen. Viele Unternehmen speichern massenweise personenbezogene Daten – sei es zu Marketing- und Forschungszwecken oder zur Entwicklung von Verkaufsstrategien etc. Bei ihren Kunden steigt zugleich aber die Sorge, mehr und mehr zum gläsernen Menschen zu werden. Auch die Gefahr, dass durch Datenpannen oder Diebstahl (Stichwort „Phishing“) sensible Informationen in die Hände von Kriminellen gelangen könnten wächst immer mehr.
Manche Informationen (etwa zum Sexualleben, zur Gewerkschaftszugehörigkeit oder Weltanschauung) können für einzelne Personen äußerst nachteilig oder gar gefährlich sein. Aus diesem Grund wurden durch die DSGVO entsprechende Regelungen geschaffen, die Unternehmen und Behörden dazu verpflichten sorgsam mit den personenbezogenen Daten umzugehen und dafür zu sorgen, dass diese durch technische und organisatorische Maßnahmen innerhalb des Unternehmens oder der Behörde geschützt sind. Dies gilt des Weiteren auch für deren Dienstleister, die diese einsetzen, um personenbezogene Daten zu verarbeiten.
DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie im Handumdrehen Ihren Datenschutz!
Welche Kategorien personenbezogener Daten gibt es?
In den Kategorien werden verschiedene Einzelmerkmale gebündelt, um diese nicht alle einzeln angeben zu müssen. Man sollte sich jedoch im Vorwege Gedanken darüber machen, welche Einzelangaben man in einer Datenkategorie zusammenfasst und was sinnvoll ist. In unserer Datenschutzmanagementsoftware DSM-Online haben wir einige Standardkategorien zur Auswahl angelegt und diese wie folgt definiert.
- Personendaten: Vor- und Nachname, Geburtsdatum, Sterbedatum, Adresse
- Vertragsdaten: Jeweilige essentialia negotii des Vertrages; z.B. Beginn, Laufzeit, Beendigung, Vergütung, Inhalt
- Adressdaten: Straße, Hausnummer, PLZ, Ort, Land
- Bewerberdaten: Alle Daten die im Wege einer Bewerbung dem Verantwortlichen zugesendet werden, wie z.B. Personendaten, Lebenslauf, Qualifikationen, Hobbys
- Gewährleistungsdaten: Daten, welche besagen, wann und in welchem Umfang eine gesetzliche Gewährleistung fällig wird
- Bankdaten: Name der Bank, BIC und IBAN, Kontoinhaber
- Sozialdaten: Beziehungsstatus, verheiratet, geschieden, verwitwet, Kinder
- Bonitätsdaten: Kapitalbeteiligungen, Kredite, Ausgaben, Einnahmen, Vermögen, Schulden, usw.
- Qualifikationsdaten: Lebensläufe, Zeugnisse, Zertifikatsdaten, Fortbildungsdaten
- Stammdaten: Name, Vorname, Geburtstag, Nationalität, Fahrerlaubnisse, Behinderungen, Steuernummer, Unterhaltsverpflichtungen, Lohnpfändung
- Versicherungsdaten: Sozialversicherungsnummer, Rentenversicherung, private Altersvorsorge, Arbeitslosen- und Pflegeversicherung
- Verhaltensdaten: Abmahnungen, Ermahnungen, Belobigungen, Beurteilungen durch Vorgesetze, Jahresgespräche
- Lieferdaten: Waren und Warenmengen, Lieferorte und – zeitpunkte, Empfänger, Versender
- Abrechnungsdaten: Lohnabrechnungen, Reisekosten- und Spesenabrechnungen, Leistungsabrechnung aus dem Vertrag, Steuerdaten
- Mitarbeiterdaten: Ein- und Austritt im Unternehmen, Name, Funktion, Tätigkeit, interne Kontaktdaten, wie Telefonnummer und E-Mail-Adresse
- Behördendaten: Adresse, Kontaktdaten und Zuständigkeiten des Behördenmitarbeiters, Funktion der Behörde, Bebauungspläne, Verkehrspläne
- Leistungsdaten: Testergebnisse, Bewertungsergebnisse, Beurteilungsergebnisse
- Schadensdaten: Schadenart, Schadentag, Schadenort, Schadenobjekt
- Nutzungsdaten: Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien; legaldefiniert in § 15 TMG
Was sind besonders schützenwerte personenbezogene Daten?
In der EU-DSGVO sind einige Datenkategorien besonders benannt, da diese einen höheren Schutzbedarf verlangen. Diese Datenkategorien sind in den Artikeln 9 – Verarbeitung besonderer Kategorien personenbezogener Daten explizit aufgelistet:
- „zur rassischen und ethnischen Herkunft“,
- „zu politischen Meinungen“,
- „zu religiösen oder weltanschaulichen Überzeugungen“,
- „zu einer Gewerkschaftszugehörigkeit“,
- „zum Sexualleben oder sexuellen Orientierung“
- „genetische und biometrische Daten“ hervorgehen, die wiederum in Art. 4 Nr. 13 und 14 DSGVO definiert werden, sowie
- Gesundheitsdaten
Die Datenschutz-Grundverordnung untersagt grundsätzlich die Verarbeitung dieser besonders schützenswerten personenbezogenen Daten. Die Verarbeitung dieser Kategorie ist ausschließlich in besonderen Ausnahmefällen gestattet. Jedoch muss jedes Unternehmen diese Daten in der Regel verarbeiten, wenn Mitarbeiter eingestellt sind. Im Beschäftigungsverhältnis werden zumindest Daten über die Religion bzw. Gesundheitsdaten verarbeitet.
Des Weiteren werden in Artikel 10 der EU-DSGVO die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten benannt.
Worauf müssen Datenverantwortliche bei der Verarbeitung personenbezogener Daten achten?
Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten. Man benötigt immer eine Rechtsgrundlage um eine Verarbeitung der Datenkategorien durchführen zu können. Ist keine Rechtsgrundlage vorhanden, dürfen die personenbezogenen Daten auch nicht verarbeitet werden. Zu den Rechtsgrundlagen wie in Artikel 6 der EU-DSGVO beschrieben gehören:
- die Einwilligung des Betroffenen
- ein Vertrag oder eine vorvertragliche Maßnahme
- eine rechtliche Verpflichtung, ein Gesetz welches die Verarbeitung verlangt
- das lebenswichtige Interesse der betroffenen Person oder einer anderen natürlichen Person
- das öffentliche Interesse
- die Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten
Neben der Rechtsgrundlage ist es wichtig die Prozesse im so genannten Verzeichnis der Verarbeitungstätigkeiten explizit zu beschreiben, wie es in Artikel 30 der EU-DSGVO angegeben ist. Die Betroffenen müssen über die Verarbeitung welche Datenkategorien verarbeitet werden bereits bei der Erhebung informiert werden und die Betroffenen haben Rechte, die man Ihnen gewähren muss, wenn man ihre personenbezogenen Daten verarbeiteten möchte bzw. muss.
Falls ein besonderes Risiko bei der Verarbeitung der personenbezogenen Daten besteht, muss vor der Verarbeitung ein weiteres Element der EU-DSGVO hinzugezogen werden. Das Unternehmen muss mit Hinzunahme seines Datenschutzbeauftragten eine so genannten Datenschutz-Folgenabschätzung durchführen.
Haben Sie weitere Fragen oder benötigen Unterstützung?
DSM-Online hilft Ihnen nicht nur bei der Organisation Ihres Datenschutzes, der Definition Ihrer technischen und organisatorischen Maßnahmen, der Datenschutz-Folgeabschätzung, sondern auch bei der Verwaltung von Betroffenenrechten und Verletzungen, dem Erstellen von Hinweispflichten, Verträgen zur Auftragsverarbeitung, Geheimhaltungsvereinbarungen und vielem mehr.
DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie im Handumdrehen Ihren Datenschutz!