Datenschutz bei personenbezogenen Daten

1. Was sind personenbezogene Daten?

Gemäß Art. 4 Nr. 1 DSGVO fallen unter den Begriff personenbezogene Daten alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Jeder Mensch gilt, Zeit seines Lebens, als natürliche Person. Als identifizierbar gilt eine Person dann, wenn sie direkt oder indirekt identifiziert werden kann. Eine Person wird beispielsweise identifizierbar durch Zuordnung einer Kennung (z.B. Kundennummer, Personalnummer oder Onlinekennung) oder durch die Kombination mehrerer Informationen. Dabei ist es ausreichend, wenn die Daten die Identifizierung der betroffenen Person theoretisch ermöglichen, nicht ob die Person tatsächlich identifiziert wird.

Art. 4 Nr. 1 DSGVO stellt klar, dass unter personenbezogene Daten Angaben fallen, welche Einblicke in die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität von natürlichen Personen ermöglichen. Offensichtlich fallen daher beispielsweise Namen und Telefonnummern unter personenbezogene Daten. Daneben sind aber auch das Aussehen einer Person oder sogar die IP-Adresse dazu geeignet, eine Person zu identifizieren. Darüber hinaus können auch weniger eindeutige Informationen, wie beispielsweise die Arbeitszeiten oder ein Streckenverlauf unter personenbezogenen Daten fallen.

2. Personenbezogene Daten im Unternehmen

Unternehmen, die sich unmittelbar oder mittelbar mit Datenverarbeitung befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes sowie unter spezifische Regelungen. In Art. 5 Abs. 1 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt. Diese Grundsätze sind bei der Verarbeitung personenbezogener Daten im Unternehmen unbedingt zu berücksichtigen – deren Einhaltung muss darüber hinaus vom Verantwortlichen nachgewiesen werden können (sog. Rechenschaftspflichten, Art. 5 Abs. 2 DSGVO).

Gemäß Art. 5 Abs.1 DSGVO gelten die folgenden Grundsätze:

• Rechtmäßigkeit der Verarbeitung: Nach Art. 6 DSGVO ist eine Verarbeitung bei Vorliegen einer entsprechenden Rechtsgrundlage oder einer Einwilligung des Betroffenen rechtmäßig.
• Verarbeitung nach Treu und Glauben: Da die Generalklausel sehr abstrakt formuliert ist, ist eine Beurteilung nur am konkreten Einzelfall unter Beurteilung der Gesamtumstände möglich. Hierunter fällt beispielsweise der Vorrang der Direkterhebung, wonach der Verantwortliche personenbezogene Daten direkt beim Betroffenen und nicht indirekt durch einen Dritten erheben soll, da der Betroffene regelmäßig mit einer Dritterhebung nicht rechnen kann.
• Transparenz: Dem Grundsatz der Transparenz soll etwa durch die Informationspflichten der Art. 12ff. DSGVO nachgekommen werden. Dieser Grundsatz soll gewährleisten, dass die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können und zu jederzeit wissen und verstehen, wer, wozu, wie ihre personenbezogenen Daten verarbeitet.
• Zweckbindung: Jeder Verarbeitung personenbezogener Daten muss ein bestimmter Zweck zugrunde liegen. Die Erhebung personenbezogener Daten darf nach Art. 5 Abs. 1b DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.
• Datenminimierung: Personenbezogene Daten müssen gemäß Art. 5 Abs. 1c DSGVO dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es gilt also der Grundsatz: so wenig personenbezogene Daten wie möglich erheben.
• Richtigkeit der Datenverarbeitung: Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und auf dem neuesten Stand sein. Betroffene haben gemäß Art. 16 DSGVO das Recht, die Berichtigung unrichtiger Daten zu verlangen.
• Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ist die Speicherung für die Zwecke, für die sie verarbeitet werden, nicht mehr notwendig, so müssen die Daten gemäß Art. 17 Abs.1a DSGVO gelöscht werden.
• Integrität und Vertraulichkeit: Personenbezogene Daten müssen darüber hinaus gemäß Art. 5 Abs. 1f DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Dies soll durch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO erfolgen.

3. Arten personenbezogener Daten

Personenbezogene Daten stehen im Mittelpunkt der datenschutzrechtlichen Regelungen in der Datenschutzgrundverordnung (DSGVO). Es handelt sich nach der gesetzlichen Definition um Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (Betroffener) beziehen. Man unterscheidet zwischen verschiedenen Arten von personenbezogenen Daten. Aus datenschutzrechtlicher Sicht ist ihr Schutzbedürfnis dabei unterschiedlich ausgeprägt. Einige Kategorien von personenbezogenen Daten gelten als besonders sensibel und genießen einen erhöhten rechtlichen Schutz. Der Umgang mit ihnen fordert erhöhte Achtsamkeit.

Besonders schutzwürdige personenbezogene Daten

4. Umgang mit personenbezogenen Daten

Personenbezogene Daten beziehen sich auf eine bestimmte Person oder machen eine Person bestimmbar. An diesem Terminus setzt die Datenschutzgrundverordnung an. Diese knüpft dabei nur an natürlichen Personen an, nicht an die Daten juristischer Personen. Der Umgang mit diesen personenbezogenen Daten ist besonderen Regeln unterworfen.

Was prägt den Umgang mit personenbezogenen Daten aus Sicht der Betroffenen?

Ein wesentlicher Gesichtspunkt im Hinblick auf personenbezogene Daten sind die Grundsätze der Verarbeitung gemäß Art. 5 DSGVO. Die Verarbeitung solcher Daten ist nur rechtmäßig, wenn eine der Bedingungen des Art. 6 Abs. 1 lit. a bis f DSGVO erfüllt ist. Im Unternehmensalltag heißt das zum Beispiel, dass bestimmte Datenverarbeitungen beim Besuch von Webseiten, wie das Setzen von Marketing-Cookies, nur zulässig sind, wenn der Dateninhaber ausdrücklich eingewilligt hat. Betroffene sollten im Übrigen auch selbst sorgsam mit ihren personenbezogenen Daten umgehen und diese nicht leichtfertig herausgeben.

5. Weitergabe von personenbezogenen Daten

Obwohl die Weitergabe personenbezogener Daten zu den klassischen Verarbeitungsformen gehört und insoweit schon lange im Fokus entsprechender datenschutzrechtlicher Regelungen steht, bereitet das Thema in der praktischen Anwendung vielen Unternehmen Schwierigkeiten.

6. Löschen von personenbezogenen Daten

Wer Daten sammelt, muss auf der anderen Seite auch für die Löschung und Vernichtung sorgen, sobald bestimmte Bedingungen gegeben sind. Die DSGVO setzt unter anderem europaweit das sogenannte „Recht auf Vergessenwerden“ um. Die Rechte der Betroffenen werden dadurch deutlich gestärkt und die Pflichten der Unternehmen beim Löschen und Vernichten von Daten erweitert.

7. Häufig gestellte Fragen zu personenbezogenen Daten

Was sind personenbezogene Daten?

Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nr. 1 DSGVO). Eine Person wird identifizierbar durch die Zuordnung einer Kennung oder durch die Kombination mehrerer Informationen. Es genügt dabei, wenn die Daten die Identifizierung der betroffenen Person theoretisch ermöglichen.