personenbezogene Daten

Teil 1: Definition und Grundlagen zur Verarbeitung

Wer sich mit Datenschutz und der Einhaltung der Datenschutzgrundverordnung (DS-GVO) beschäftigt, der kommt um den Begriff der personenbezogenen Daten nicht herum. Ziel von DS-GVO und Bundesdatenschutzgesetz (BDSG) ist es, diese und damit die Betroffenen zu schützen.

In der Praxis zeigt sich, dass viele sich nicht der Tragweite dieses Schutzes bewusst sind. Oft wird unterschätzt, was alles als personenbezogenes Datum zählt und wann dieses verarbeitet wird: Was versteht man also unter personenbezogenen Daten nach Datenschutzgrundverordnung?

Datenschutzberater.NRW erklärt Ihnen diese Grundlage im Datenschutz, damit Sie die Arbeit des (externen) Datenschutzbeauftragten noch besser nachvollziehen können und den Datenschutz in Ihrem Unternehmen verbessern können. Teil 1 dieses zweiteiligen Beitrags beschäftigt sich erst einmal mit der Definition nach DSGVO und BDSG und den gesetzlichen Grundlagen zur Verarbeitung.

Personenbezogene Daten – eine Definition

Laut EU-Datenschutzgrundverordnung stellt der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht dar. Diese sind Angaben, die Rückschlüsse auf eine bestimmte oder bestimmbare natürliche Person zulassen.

Da es nicht immer ganz einfach ist zu erkennen, wann ein solches Kriterium erfüllt ist, haben wir ein paar Beispiele für personenbezogene Daten aufgelistet, welche Ihnen ein erstes Gefühl dafür geben sollen:

  • Name
  • Adresse
  • Geburtsdatum/Geburtsjahr
  • Telefonnummer (auch geschäftliche Durchwahl)
  • E-Mail-Adresse mit Namen (auch geschäftlich)
  • Vermögensverhältnisse
  • Wohnverhältnisse
  • Gehalt
  • Kreditkartennummer
  • IP-Adresse
  • usw.

Auch vermeintliche Firmendaten werden nach den gesetzlichen Vorgaben als personenbezogenes Datum gesehen. Um zu unterscheiden, ob Angaben in dem Konstrukt einer Firma personenbezogen sind kann man sich folgendes Fallbeispiel verdeutlichen:
Ein Mitarbeiter wird über eine allgemeine Durchwahl erreicht: Kein personenbezogenes Datum. Hat der Mitarbeiter aber eine eigene Durchwahl, die nur er benutzt, handelt es sich um ein Datum, mit dem er einwandfrei identifiziert werden kann.

Noch deutlicher kann man das wohl anhand der E-Mail-Adresse sehen. Wenn es eine allgemeine E-Mail-Adresse gibt, die für eine Abteilung oder eine ganze Firma als Eingangsadresse genutzt wird (z.B. info@…, abteilung@…), dann stellen diese keine personenbezogenen Daten dar. Gibt es eine E-Mail-Adresse, die auf einen Mitarbeiter zurück zu führen ist, handelt es sich um ein personenbezogenes Datum (z.B. name.vorname@…).

Die EU-DS-GVO definiert hierbei noch die sogenannten besonderen Arten personenbezogener Daten. Diese sind besonders schützenswert und umfassen u.a.:

  • Gesundheitsdaten
  • Sexualleben
  • Biometrische Daten
  • Genom Daten
  • Religiöse oder philosophische Überzeugung
  • Rassische oder ethische Herkunft
  • Gewerkschaftszugehörigkeit
  • Politische Meinung

Datenverarbeitung nach DS-GVO – Welche Daten dürfen verarbeitet werden?

Grundsätzlich ist die Verarbeitung der personenbezogenen Daten nach den Grundsätzen des Datenschutzes verboten. Um diese verarbeiten zu können, muss es entweder einen Grund geben (i.d.R. eine Rechtsnorm wie einen Vertrag oder eine Vorschrift) oder der Betroffene muss eingewilligt haben, dass sie verarbeitet werden dürfen.

Man spricht in diesem Fall von einem Verbot mit Erlaubnisvorbehalt. Dieses umfasst nach DS-GVO jegliche Verarbeitung der Daten. Dazu zählen Erhebung, Erfassung, Anpassung, Veränderung aber auch Löschung und Vernichtung der Daten, wobei es unerheblich ist, ob dies mit oder ohne Hilfe von automatisierten Verfahren erfolgt. Das bedeutet auch das Vernichten von Aktenordnern ist eine Verarbeitung und betrifft je nach Inhalt den Datenschutz.

Es gilt hierbei die Grundlage der Datenminimierung – es sollten also so wenige personenbezogene Daten wie möglich erfasst werden. Außerdem sollte jedes Unternehmen sich bei Aufbewahrungs- und Löschfristen an die gesetzlichen Vorgaben halten.

Gesetzliche Grundlagen Datenverarbeitung nach DS-GVO

Zu bestimmten Zwecken darf oder muss sogar eine Verarbeitung stattfinden. Ein gutes Beispiel dafür ist die Lohnabrechnung. Um dem Mitarbeiter sein Arbeitsentgelt zu bezahlen, bedarf es schon vom Gesetz her unterschiedlicher Daten, die erfasst werden müssen. Auch eine Aufbewahrungspflicht ist gegeben und so ergibt sich eine Löschfrist der Daten. Um dem Mitarbeiter seinen Lohn auszuzahlen und diesen korrekt zu berechnen, ist es ggf. notwendig, den Grad seiner Schwerbehinderung zu erfahren – man erfasst also auch Gesundheitsdaten des Angestellten. Warum dieser aber schwerbehindert ist, ist für diesen Zweck nicht ausschlaggebend – er darf auf dem Grundsatz der Datenminimierung nicht abgefragt und verarbeitet werden.

Welche Daten man aufgrund der gesetzlichen Vorgaben verarbeitet, sollte immer auch durch einen Fachmann auf die Vorgaben im Datenschutz – z.B. durch den (externen) Datenschutzbeauftragten – geprüft werden.

Bei der Verarbeitung von personenbezogenen Daten gilt das sogenannte Kopplungsverbot. Das bedeutet, dass die Erhebung der Daten zu einem bestimmten Zwecke, nicht mit anderen Vertragsgrundlagen gekoppelt werden darf. Erhebt man die Daten also für einen Vertrag, dürfen sie nicht für einen anderen Vertrag genutzt werden.

Einwilligung und weitere Ausnahmen

Wenn keine gesetzliche Notwendigkeit für die Erhebung der Daten vorliegt, dann muss der Betroffene eine Einwilligung zur Verarbeitung geben. Diese muss freiwillig erfolgen und unmissverständlich formuliert sein. Es muss eine Erklärung oder eine sonstige Handlung sein, die eindeutig bestätigt, dass der Betroffene zustimmt. Je nachdem welche Sprachkenntnisse vorliegen, kann es auch sinnvoll sein eine Einwilligung in verschiedenen Sprachen zu verfassen. So kann sichergestellt werden, dass derjenige, der sein Einverständnis gibt auch wirklich versteht, was er unterschreibt. Gerade im Bereich vom Datenschutz im Tourismus oder bei Unternehmen, die in der ganzen Welt tätig sind, macht dies Sinn.

Der Verantwortliche eines Unternehmens, einer Praxis, Kanzlei, eines Vereins oder auch bei Vermietungen, muss nachweisen, dass der Betroffene die Einwilligung DS-GVO-konform abgegeben hat.

Neben dem Zwecke der Verarbeitung muss im Zusammenhang mit der Einwilligung auch ein Widerruf formuliert sein. Dieser muss ebenfalls in klaren Worten verfasst sein. Auch bei der Einwilligung zur Verarbeitung muss die Datenminimierung eingehalten werden. Bei dem Widerruf macht es ebenfalls Sinn zu prüfen, ob eine Formulierung in unterschiedlichen Sprachen notwendig sein kann.

Außerdem dürfen personenbezogene Daten verarbeitet werden, wenn ein berechtigtes Interesse besteht, welche dem Schutz des Betroffenen nicht entgegensteht oder zur Wahrung von öffentlichen Interessen. Eine weitere Ausnahme stellt die Verarbeitung zum Schutz lebenswichtiger Interessen dar. Das bedeutet, wenn die betroffene Person oder eine andere Person in Ihrer Gesundheit gefährdet sind, dürfen Daten weitergegeben werden. Dazu gehören zum Beispiel auch Gesundheitsdaten.

In der Regel ist eine Einwilligung durch Unterlassen nicht zulässig. Bei Großveranstaltungen o.ä. muss der Besucher zwar davon ausgehen, dass er z.B. fotografiert wird. Trotzdem muss durch Hinweisschilder so darauf aufmerksam gemacht werden, dass er die Möglichkeit hat, entsprechend zu reagieren.

Grundsätze aus der DS-GVO

In der Datenschutzgrundverordnung wird der Verarbeitung von personenbezogenen Daten eine besondere Bedeutung beigemessen. Daher wird hier auch Wert daraufgelegt, dass diese rechtmäßig und nach sog. „Treu und Glauben“ und mit Transparenz für den Betroffenen verarbeitet werden. Außerdem definiert die Datenschutzgrundverordnung auch eine Zweckbindung bei der Verarbeitung, d.h. dass festgelegt werden muss, für welchen Zweck diese stattfindet. Und die Daten dürfen auch nur für diesen eindeutigen und legitimen Zweck verarbeitet werden, nicht für andere. Wie schon gesagt gilt auch hierbei der Grundsatz der Datenminimierung. Es dürfen also nur so wenige personenbezogene Daten wie nötig verarbeitet werden, um den Zweck zu erfüllen.

Werden zum Beispiel personenbezogene Daten in einem Unternehmen verarbeitet, muss sichergestellt werden, dass diese Daten auch richtig und auf dem neusten Stand sind (Richtigkeit). Unter Speicherbegrenzung nach DS-GVO versteht man, dass die Daten nur so lange ermöglichen, dass eine Person durch sie identifiziert werden kann, wie es für den Zweck notwendig ist.

Als letzter, aber wichtiger Punkt sollte auch die nötige Sicherheit bei der Verarbeitung personenbezogener Daten an den Tag gelegt werden. Es muss hier wieder der Schutz des Betroffenen im Vordergrund stehen. Mehr zu diesem Thema lesen Sie in unserem nächsten Blog.

(Externer) Datenschutzbeauftragter und personenbezogene Daten

Um den Datenschutz und die Vorgaben der Datenschutzgrundverordnung einzuhalten, wird der Datenschutzbeauftragte (DSB) bestellt. Dieser ist bei bestimmten Vorgaben durch die DS-GVO Pflicht und kann durch einen internen/betrieblichen oder einen externen Datenschutzbeauftragten gestellt werden. Er ist auch beratend tätig, damit die gesetzlichen Vorgaben eingehalten werden, also auch der Schutz der personenbezogenen Daten – haftbar für die Umsetzung ist aber der Verantwortliche immer selbst.

Wenn ein Unternehmen keinen DSB einsetzen muss, macht es Sinn, dass ein Datenschutzberater unterstützend für die Umsetzung des Datenschutzes zu Rate gezogen wird. Die Vorgaben der DS-GVO müssen nämlich von jedem, der personenbezogene Daten verarbeitet, eingehalten werden.

Datenschutzberater.NRW stellt bei Bedarf einen externen Datenschutzbeauftragten und kann Ihnen mit Datenschutz-Erstberatungen, Datenschutz-Audits und einer laufenden, sowie projektbezogenen Betreuung im Datenschutz beratend zur Seite stehen.

Datenschutz und IT-Sicherheit greifen ineinander und so bieten wir Ihnen ebenfalls Beratung und Betreuung im Bereich IT-Sicherheit und IT-Auditierung an. Außerdem helfen unsere Fachleute Ihnen auch bei der Umsetzung der GoBD-Richtlinien.

Unser Team aus den Bereichen Buchhaltung, IT und Datenschutz betreut erfolgreich und praxisnah Kunden aus Köln, Bonn, Düsseldorf und ganz NRW. Senden Sie uns einfach eine unverbindliche Anfrage.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit.

Datenschutz in der Praxis – Was sind personenbezogene Daten nach DS-GVO?
Markiert in: