Lesezeit: 3 Min
Ein Leitfaden für Unternehmen und Organisationen
Wenn Unternehmen und Organisationen personenbezogene Daten verarbeitet, dann müssen sie dafür eine Rechtsgrundlage erfüllen. Für alle Verantwortlichen ist es wichtig, dabei genau zu wissen, welche Rechtsgrundlagen es gibt und was dabei zur Einhaltung des Datenschutzes umgesetzt werden sollte.
Was zählt zu personenbezogenen Daten?
Um zu wissen, wie der Datenschutz nach Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) umgesetzt werden muss, sollte man wissen welche personenbezogenen Daten verarbeitet werden.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet: Wenn sich aus den Daten direkt oder indirekt erkennen lässt, wer die Person ist, gelten sie als personenbezogen.
Dazu können gehören:
- Name
- Anschrift
- Telefonnummer
- E-Mail-Adressen
- IP-Adresse
- Standortdaten
- Kundennummer
- Gerätekennungen, sofern sie mit weiteren Informationen verknüpft werden können
Die DS-GVO definiert personenbezogene Daten sehr umfassend, um die Privatsphäre und Rechte der Betroffenen zu schützen. Unternehmen und Organisationen müssen sicherstellen, dass diese Daten rechtmäßig erhoben, verarbeitet und gespeichert werden. Dazu gehören unter anderem transparente Information über die Datennutzung, Einhaltung von Zweckbindung und Datenminimierung oder auch der Schutz vor unbefugtem Zugriff durch technische und organisatorische Maßnahmen. Dabei sollten Unternehmen auch die Verarbeitungstätigkeiten identifizieren und im Datenschutz erfassen.
Der Grundgedanke: Jede Person soll selbst bestimmen können, wie ihre Daten verwendet werden.
BLOG-TIPP: DIE BETROFFENENRECHTE NACH DS-GVO UND BDSG
Besondere Kategorien personenbezogener Daten
Neben den allgemeinen personenbezogenen Daten gibt es nach der DS-GVO sogenannte besondere Kategorien personenbezogener Daten, die einen erhöhten Schutz genießen. Diese Daten sind besonders sensibel, da ihre Verarbeitung ein höheres Risiko für die Privatsphäre und die Rechte der betroffenen Personen darstellen kann.
Zu den besonderen Kategorien gehören unter anderem:
- Gesundheitsdaten (z. B. Krankheitsinformationen, medizinische Befunde)
- biometrische Daten (z. B. Fingerabdrücke, Gesichtserkennung)
- genetische Daten
- Daten zur ethnischen Herkunft oder Religion
- politische Meinungen
- Gewerkschaftszugehörigkeit
- sexuelle Orientierung oder sexuelle Identität
Die Verarbeitung dieser Daten ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung der betroffenen Person vor oder eine gesetzliche Ausnahme greift (z. B. im Gesundheitswesen oder zur Erfüllung arbeitsrechtlicher Pflichten).
Der Grund für den besonderen Schutz: Missbrauch oder unbefugte Weitergabe solcher Informationen kann zu Diskriminierung, Identitätsdiebstahl oder anderen schwerwiegenden Folgen führen.
Die Datenschutz-Grundverordnung – der rechtliche Rahmen seit 2018
Die Datenschutz-Grundverordnung ist eine europaweit geltende Verordnung, die seit 2018 verbindliche Vorgaben für die Verarbeitung personenbezogener Daten macht. Eine der zentralen Aussagen: Daten dürfen nur dann verarbeitet werden, wenn es eine klare rechtliche Grundlage dafür gibt. Die DS-GVO definiert verschiedene Rechtsgrundlagen, die Unternehmen und Organisationen nutzen können.
Rechtsgrundlagen für die Datenverarbeitung
Einwilligung der betroffenen Person
Die wohl bekannteste Grundlage ist die freiwillige Einwilligung. Hierbei erklärt die betroffene Person ausdrücklich und informiert, dass ihre Daten verarbeitet werden dürfen. Wichtig ist, dass diese Einwilligung freiwillig, transparent und jederzeit widerrufbar ist.
Vertragserfüllung
Personenbezogene Daten dürfen auch verarbeitet werden, wenn dies für die Durchführung eines Vertrags erforderlich ist. Wenn Sie beispielsweise eine Ware an eine Kundin oder einen Kunden versenden, benötigen Sie deren Adresse. In diesem Fall ist die Datenverarbeitung Teil der Vertragserfüllung.
Rechtliche Verpflichtung
Manche Daten müssen verarbeitet werden, um gesetzlichen Pflichten nachzukommen. Dazu zählen etwa steuerliche Aufbewahrungspflichten oder Meldungen an Behörden. Hier ist die Datenverarbeitung notwendig, um Gesetze einzuhalten.
Schutz lebenswichtiger Interessen
Eine Datenverarbeitung ist auch zulässig, wenn sie notwendig ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Das kann etwa bei medizinischen Notfällen der Fall sein.
Wahrnehmung einer Aufgabe im öffentlichen Interesse
Behörden und öffentliche Stellen dürfen personenbezogene Daten verarbeiten, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben notwendig ist. Hier handelt es sich um eine besondere Rechtsgrundlage, die im öffentlichen Dienst Anwendung findet.
Berechtigte Interessen
Schließlich erlaubt die DS-GVO die Datenverarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern die Grundrechte und Freiheiten der betroffenen Personen nicht überwiegen. Ein Beispiel hierfür ist die Verarbeitung von Daten zur Direktwerbung, wenn dies angemessen und transparent erfolgt.
BLOG-TIPP: MEHR ALS EINE GESETZLICHE VORGABE: WARUM DATENSCHUTZ DEN MENSCHEN SCHÜTZT
Was bedeutet rechtmäßige Verarbeitung?
Rechtmäßige Verarbeitung heißt nicht nur, eine passende Rechtsgrundlage zu haben. Es bedeutet auch, dass alle weiteren Grundsätze der DS-GVO eingehalten werden müssen: Die Daten müssen zweckgebunden verwendet, auf ein notwendiges Maß beschränkt und sicher verarbeitet werden. Zudem haben betroffene Personen weitreichende Rechte, etwa auf Auskunft, Berichtigung oder Löschung ihrer Daten, die Unternehmen respektieren müssen.
Rechtsgrundlagen prüfen und einhalten
Für Unternehmen und Organisationen ist die Kenntnis und Anwendung der richtigen Rechtsgrundlagen bei der Datenverarbeitung unerlässlich. Nur so schützen Sie nicht nur die Rechte der Betroffenen, sondern auch sich selbst vor rechtlichen Risiken.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.