Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Beispiele für die Art von Informationen, die die direkte oder indirekte Identifizierung einer Person ermöglichen und daher als personenbezogene Daten gelten können, sind:
- Name, Nachname, Telefonnummern von Kunden, Interessenvertretern, Mitarbeitern, Anbietern;
- Identifikationsnummern, wie die Kundennummer einer Person, die Mitarbeiternummer einer Person,
- eine Buchungsreferenz;
- E-Mail-Adressen, Standortdaten;
- Browser-Verlauf einer Person;
- Kaufhistorie und Quittungen einer Person;
- Fotos, Videos und Audioaufnahmen, die Bilder oder Geräusche von Einzelpersonen enthalten.
Mit diesen personenbezogenen Daten kann eine Person direkt oder indirekt identifiziert werden:
- Wenn Ihre Organisation beispielsweise den Vor- oder Nachnamen einer Person verarbeitet, ermöglichen diese personenbezogenen Daten die direkte Identifizierung dieser Person.
- Wenn Ihr Unternehmen beispielsweise die Kundennummer oder Buchungsreferenz einer Person verarbeitet, können diese personenbezogenen Daten die indirekte Identifizierung dieser Person ermöglichen.
- Jede Art von Informationen, die in Bezug auf die direkt oder indirekt identifizierte Person verarbeitet werden (z.B. Vorlieben, Gewohnheiten), werden auch als personenbezogene Daten betrachtet.
Lesen Sie mehr
Besondere Kategorien personenbezogener Daten
Einige Arten von personenbezogenen Daten, die normalerweise als sensible Daten bezeichnet werden, gehören zu speziellen Kategorien, die mehr Schutz genießen. Gemäß Art. 9 DSGVO gelten als sensible Daten Informationen über:
- die Gesundheit einer Person;
- das Sexualleben oder die sexuelle Orientierung einer Person;
- die rassische oder ethnische Herkunft einer Person;
- die politischen Meinungen einer Person, religiöse oder philosophische Überzeugungen;
- biometrische und genetische Daten einer Person;
- Gewerkschaftsmitgliedschaft.
Die Verarbeitung sensibler Daten einer Person ist grundsätzlich untersagt, außer unter besonderen Umständen, die die Verarbeitung rechtfertigen (z. B. ausdrückliche Einwilligung).
Für weitere Einzelheiten zu den Umständen, unter denen sensible Daten verarbeitet werden können, überprüfen Sie, ob personenbezogene Daten rechtmäßig verarbeitet werden können.
Personenbezogene Daten zu strafrechtlichen Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten unterliegt strengen gesetzlichen Voraussetzungen. Diese personenbezogenen Daten können nur von einer Behörde, wie der Polizei, unter der Kontrolle einer Behörde oder nach innerstaatlichem Recht verarbeitet werden.
Checkliste für bewährte Verfahren der DSGVO
- Fragen Sie sich, ob der Zweck, zu dem personenbezogene Daten erhoben werden können, gerechtfertigt ist.
- Erheben Sie nur personenbezogene Daten, die für den/die vorgesehenen Zweck(e) erforderlich sind.
- Informieren Sie Personen, wie und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden können.
- Prüfen Sie, ob Sie über eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Wenn Sie beabsichtigen, sich auf die Einwilligung von Einzelpersonen zu verlassen, bitten Sie um ihre Einwilligung, bevor Sie ihre personenbezogenen Daten verarbeiten.
- Stellen Sie sicher, dass die personenbezogenen Daten von Einzelpersonen auf sichere Weise behandelt werden.
- Halten Sie persönliche Daten von Einzelpersonen korrekt und auf dem neuesten Stand.
- Löschen Sie personenbezogene Daten von Personen, wenn diese nicht mehr benötigt werden. Bitte beachten Sie, dass die nationalen Rechtsvorschriften Sie dazu verpflichten können, bestimmte Daten (z.B. aus steuerlichen Gründen) aufzubewahren.
Was bedeutet die Verarbeitung personenbezogener Daten?
Die Verarbeitung personenbezogener Daten umfasst jede Art von Tätigkeit (Verarbeitung), die auf oder mit personenbezogenen Daten automatisiert durchgeführt wird oder nicht.
Beispiele für Verarbeitungsvorgänge sind das Sammeln, Erfassen, Organisieren, Verwenden, Ändern, Speichern und die Offenlegung personenbezogener Daten natürlicher Personen.
Auch wenn sich die DSGVO hauptsächlich auf die automatisierte Verarbeitung personenbezogener Daten bezieht, unterliegen die manuell durchgeführten Verarbeitungsvorgänge auch ab dem Zeitpunkt der systematischen Organisation der Papierdateien, z. B. alphabetisch in einem Aktenschrank angeordnet, der DSGVO.
Lesen Sie mehr
Gilt die DSGVO für Ihr Unternehmen?
Die DSGVO kann für alle privaten und öffentlichen Organisationen gelten, wenn:
- die betreffende Organisation in der EU oder im Europäischen Wirtschaftsraum (EWR – EU-Länder + Island, Liechtenstein und Norwegen) niedergelassen ist; oder
- die Organisation nicht im EWR ansässig ist, aber ihre Produkte oder Dienstleistungen von Einzelpersonen angeboten werden, die sich im EWR befinden, oder die Organisation das Verhalten von Personen beobachtet, die sich im EWR aufhalten.
Die DSGVO gilt in gleicher Weise auch für jeden Unterauftragnehmer, der personenbezogene Daten natürlicher Personen im Auftrag einer privaten oder öffentlichen Organisation verarbeitet.
In der Praxis gilt die DSGVO für Sie, wenn eine der folgenden Bedingungen gilt
- Sie sind ein Unternehmen mit Sitz in einem EWR-Land;
- Sie sind eine Organisation mit Sitz in einem Nicht-EWR-Land, die Waren verkauft oder Dienstleistungen anbietet, auch kostenlos, um Einzelpersonen in einem EWR-Land anzusprechen;
- Sie sind ein IT-Unternehmen mit Sitz in einem Nicht-EWR-Land, das von einer privaten Organisation mit Sitz im EWR für die Verwaltung ihrer IT-Datenbanken, wie z. B. der Kundendatenbank, an Unterauftragnehmer vergeben wurde;
- Sie sind Dienstleister mit Sitz im EWR und verarbeiten personenbezogene Daten im Auftrag eines anderen Unternehmens.
Die Grundprinzipien der DSGVO
Bei der Verarbeitung personenbezogener Daten von Einzelpersonen muss Ihr Unternehmen die folgenden 6 Schlüsselprinzipien der DSGVO einhalten. Darüber hinaus muss Ihr Unternehmen in der Lage sein, die Einhaltung dieser Grundsätze nachzuweisen.
Rechtmäßigkeit, Fairness und Transparenz
Jede Verarbeitung personenbezogener Daten muss rechtmäßig, fair und transparent sein.
Ihre Organisation kann die personenbezogenen Daten einer Person nur dann verarbeiten, wenn der geplante Verarbeitungsvorgang rechtmäßig ist; auf der Grundlage der Einwilligung der Person, die für die Erfüllung eines Vertrags erforderlich ist, oder auf der Grundlage einer der anderen in Art. 6 DSGVO genannten Rechtsgrundlagen für die Verarbeitung von Daten.
Wenn die Verarbeitung auf einer Einwilligung beruht, muss Ihre Organisation sicherstellen, dass diese Einwilligung frei erteilt, informiert, konkret und eindeutig ist. Mit anderen Worten, es darf kein Zweifel daran bestehen, dass Einzelpersonen wissen, womit sie einverstanden sind, zu welchen Zwecken die Verarbeitung erfolgt, und dass diese Einwilligung vor Beginn der Verarbeitung aktiv erteilt wurde. Darüber hinaus sollten Einzelpersonen in der Lage sein, ihre Einwilligung frei zu widerrufen. Wenn Sie erkennen, dass die Verarbeitung ihrer Daten dennoch erforderlich ist (d. h. im Rahmen eines Vertrags), bedeutet dies, dass die Einwilligung nicht die geeignete Rechtsgrundlage ist.
Zweckbindung
Ihre Organisation kann personenbezogene Daten nur zu bestimmten, expliziten und legitimen Zwecken erheben. Die Verarbeitung der Daten einer Person muss streng auf den ursprünglich festgelegten Zweck(en) beschränkt sein und daher nicht für nachfolgende oder andere Zwecke verarbeitet werden, die mit den ursprünglichen Zwecken unvereinbar sind.
Datenminimierung
Ihre Organisation kann nur personenbezogene Daten verarbeiten, die im Hinblick auf den vorgesehenen Zweck erforderlich und verhältnismäßig sind.
Genauigkeit
Die personenbezogenen Daten von Personen, die Ihre Organisation verarbeitet, müssen korrekt sein und auf dem neuesten Stand gehalten werden. Ungenaue personenbezogene Daten müssen berichtigt oder gelöscht werden.
Speicherbegrenzung
Die Speicherung der personenbezogenen Daten von Einzelpersonen muss zeitlich begrenzt sein, wobei der Zweck, zu dem diese Daten erhoben und verarbeitet wurden, zu berücksichtigen ist. Als solche müssen personenbezogene Daten von Einzelpersonen gelöscht oder anonymisiert werden, sobald diese Daten nicht mehr erforderlich sind. In der Praxis bedeutet dies, dass Ihr Unternehmen über eine interne Richtlinie in Bezug auf Datenspeicherfristen für unterschiedliche Zwecke sowie ein Verfahren zum Löschen von Daten verfügen sollte.
Sicherheit
Die Verarbeitung der personenbezogenen Daten muss auf sichere Weise erfolgen. In diesem Sinne müssen robuste Datenschutzgarantien, wie z. B. geeignete Cybersicherheitsmaßnahmen, eingeführt werden, um sicherzustellen, dass die Daten von Einzelpersonen angemessen geschützt werden. Diese Maßnahmen müssen unbeabsichtigte, unbefugte oder unrechtmäßige Offenlegung, Verlust, Zerstörung oder Beschädigung personenbezogener Daten von Einzelpersonen verhindern.
Lesen Sie mehr
Leitlinien für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Bereitstellung von Online-Diensten für betroffene Personen
EDPB