DSGVO & Personenbezogene Daten - das müssen Sie wissen

• Personenbezogene Daten nach DSGVO umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich allgemeiner Daten, Kennnummern, Bankdaten und Online-Daten.
• Besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten und genetische Informationen, erfordern zusätzlichen Schutz und strengere Vorschriften.
  
• Unternehmen müssen personenbezogene Daten zweckgebunden verarbeiten, Datenminimierung beachten, Datenkorrektheit sicherstellen und unbefugten Zugriff verhindern.
  
• Betroffene Personen haben Rechte bezüglich Selbstbestimmung, Auskunft und Löschung ihrer Daten; Unternehmen müssen nachweisen können, dass sie die Datenschutzbestimmungen einhalten.
  
• In diesem Artikel erfahren Sie, wie Sie personenbezogene Daten gemäß DSGVO korrekt handhaben, schützen und die Rechte der Betroffenen wahren.
  

Unternehmen speichern und verarbeiten täglich immense Mengen personenbezogener Daten. Damit diese sowie die Personen, die hinter den Daten stehen, besser geschützt sind, gibt es seit Mai 2018 die Datenschutz-Grundverordnung (DSGVO). Für Datenschutz-Verstöße hat der Gesetzgeber darin teils hohe Sanktionen festgelegt. Personenbezogene Daten sind dabei zwar im Gesetz theoretisch definiert, die tatsächliche Auslegung in der Praxis ist aber komplex und relativ undurchsichtig.

Damit Sie trotzdem den Überblick behalten, haben wir Ihnen die wichtigsten Informationen rund um personenbezogene Daten im Zusammenhang mit der DSGVO in diesem Artikel zusammengestellt.

Was sind personenbezogene Daten laut DSGVO?

Artikel 4 der DSGVO definiert personenbezogene Daten als "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen".

Die Datenschutz-Grundverordnung erweitert diese allgemeine Definition außerdem noch ein wenig und versteht als personenbezogene Daten alle Angaben, die direkt oder indirekt Einblicke in die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität gewähren, wenn sie einer natürlichen Person zugeordnet werden.

Dabei ist es unerheblich, ob derjenige, der die Daten speichert und verarbeitet eine Zuordnung zwischen Daten und Person vornehmen kann oder erst eine beliebige dritte Person irgendwo auf der Welt den Personenbezug herstellen kann. Die Identifizierbarkeit ist laut Verordnung weit gefasst. Ein gutes Beispiel dafür ist die IP-Adresse: Erfasst ein Unternehmen die IP-Adressen von Website-Besuchern kann es damit selbst nicht ohne Weiteres einen Bezug zu einer natürlichen Person herstellen – der Internetprovider des Websitebesuchers allerdings schon.

Personenbezogene Daten nach DSGVO – Beispiele und Kategorien

Es gibt viele verschiedene Arten personenbezogener Daten, sodass sich diese kaum abschließend zusammenfassen lassen. Die Beispiele im Folgenden vermitteln aber einen ersten Eindruck, was alles unter den Begriff "personenbezogene Daten" fällt:

• Allgemeine Personendaten, z. B. Namen, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse und Telefonnummer
• Jede Art von Kennnummer, z. B. die Sozialversicherungsnummer, Steueridentifikationsnummer, Matrikelnummer, Kennung bei der Krankenversicherung oder die Personalausweisnummer
• Bankdaten, z. B. Nummern von Konten oder Kreditkarten, Online-Kennung, Kontostände etc.
• Online-Daten wie IP-Adressen, Standortdaten oder Ähnliches
• Alle Arten von physischen Merkmalen, z. B. Geschlecht, Hautfarbe, Haar- und Augenfarbe, Kleidergröße etc.
• Besitzmerkmale, z. B. Grundbucheintragungen, Kfz-Kennzeichen oder Zulassungsdaten
• Daten von Kunden, z. B. Infos zu Bestellungen, Adressdaten oder Kontodaten

Zusätzlich gibt es außerdem noch besondere personenbezogene Daten, die einen erhöhten Schutz brauchen und für die noch strengere Vorschriften gelten. Darunter fallen laut Artikel 9 DSGVO:

• Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
• genetische Daten,

• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
• Gesundheitsdaten und
• Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Unterm Strich gibt es in Firmen eigentlich kaum mehr Daten, die nicht personenbezogen sind.

Warum müssen personenbezogene Daten besonders geschützt werden?

Fakt ist: Vielen Menschen ist nicht bewusst, wie wertvoll ihre personenbezogenen Daten für einzelne Unternehmen und Behörden sind. Deshalb geben sie die Daten häufig zu leichtfertig preis.

"Datenkraken" wie Facebook, Google & Co. sammeln die Stammdaten (egal ob Standortdaten, Kontakte oder Daten zum Kaufverhalten) und nutzen sie, um individualisierte Werbung zu schalten. Sie ziehen aus den personenbezogenen Daten Informationen über die Lebensführung der Internetnutzer und passen ihre Marketingstrategie darauf an. So erwirtschaften die Unternehmen jährlich Millionengewinne.

Je mehr personenbezogene Daten bei verschiedenen Unternehmen gespeichert sind, umso größer ist auch die Gefahr, dass die sensiblen Informationen durch Lücken in der Datensicherheit oder Diebstahl in die Hände von Kriminellen geraten. Das kann für die betroffenen Personen äußerst nachteilig sein, insbesondere wenn zum Beispiel Bankdaten oder Ausweisnummern abgegriffen werden.

Deshalb muss mit personenbezogenen Daten besonders sorgsam umgegangen werden. Unternehmen und öffentliche Stellen, die solche Daten sammeln, speichern und verarbeiten, haben die Pflicht, diese vor unbefugten Zugriffen zu schützen. Zudem darf auch nicht jede Art von Daten zu jedem Zweck verarbeitet oder gespeichert werden. Die Weitergabe ist entsprechend erst Recht untersagt.

Datenschutz im Umgang mit personenbezogenen Daten – das steht in der DSGVO

Zuallererst darf nicht jedes Unternehmen einfach alle Daten sammeln, die es zu fassen bekommt. Jede Datenverarbeitung braucht laut Artikel 5 der DSGVO eine Rechtsgrundlage, sonst ist sie verboten. Die wichtigsten Rechtsgrundlagen sind in Artikel 6 festgehalten.

Ist es grundsätzlich zulässig, dass ein Unternehmen oder eine öffentliche Stelle Daten sammelt und verarbeitet, müssen noch weitere "Grundsätze für die Verarbeitung personenbezogener Daten" aus Artikel 5 der DSGVO eingehalten werden, die allesamt dem Datenschutz dienen. Das bedeutet:

• Die Verarbeitung personenbezogener Daten muss immer zweckgebunden sein. Dieser Zweck muss den Betroffenen mitgeteilt werden und sie müssen vor der Verarbeitung zugestimmt haben. Ist der Zweck erfüllt, müssen die Angaben gelöscht oder vor weiteren Zugriffen geschützt werden.
• Es dürfen nur absolut notwendige personenbezogene Daten erhoben werden. Alles, was für den Zweck nicht unbedingt benötigt wird, ist tabu (Stichwort "Datenminimierung"). Für eine Tischreservierung im Restaurant sind beispielsweise das Geburtsdatum oder die Religionszugehörigkeit irrelevant.
• Erhobene Daten müssen immer sachlich korrekt und auf dem neuesten Stand sein. Fehlerhafte oder veraltete Daten müssen immer direkt korrigiert oder gelöscht werden.
• Es besteht die Pflicht zur Löschung personenbezogener Daten, sobald diese nicht mehr gebraucht werden.Sie dürfen nur so lange gespeichert werden, wie es für den Erhebungszweck erforderlich ist. Fällt die Zweckgebundenheit weg, müssen die Daten gelöscht werden.
• Die Weitergabe personenbezogener Daten an Dritte ist grundsätzlich – und ohne Zustimmung des Betroffenen – nicht erlaubt. Falls Datensätze in Ausnahmefällen weitergegeben werden dürfen, müssen sie verschlüsselt und sicher übermittelt werden. Unternehmen müssen dafür alle nötigen technischen Maßnahmen treffen.
• Werden personenbezogene Daten gespeichert, sind erhöhte Sicherheitsmaßnahmen Pflicht. Dazu gehören unter anderem passwortgeschützte Arbeitsplätze und Datenbanken, Verschlüsselungen oder Antivirenprogramme. Mitarbeiter, die in der Datenverarbeitung tätig sind, müssen extra geschult werden. Ein Datenschutzbeauftragter sollte die Einhaltung der Vorgaben regelmäßig kontrollieren.

Jedes Unternehmen oder jede öffentliche Einrichtung muss außerdem jederzeit nachweisen können, dass die Datenschutzbestimmungen eingehalten werden (Stichwort "Rechenschaftspflicht").

Diese Rechte haben Betroffene

Personen, deren Daten gesammelt, gespeichert oder verarbeitet werden haben diverse Rechte – und zwar zu den Themen Selbstbestimmung, Auskunft und Löschung. Auch diese sind in der Datenschutz-Grundverordnung geregelt.

Jeder Betroffene hat ein Informationsrecht (Art. 13 und 14 DSGVO) und muss umfassend informiert werden, bevor Daten erstmals erhoben werden. Dass eine Belehrung erfolgt ist, müssen Unternehmen nachweisen können.

Daran anknüpfend gibt es immer auch ein Auskunftsrecht (Art. 15 DSGVO). Das knüpft an das Informationsrecht an und berechtigt Betroffene, die zu ihrer Person gespeicherten Daten bei Unternehmen und Behörden einzusehen. Diese sind umgekehrt verpflichtet, Auskunft zu geben.

Falsche, veraltete, unbefugt gespeicherte oder weitergegebene personenbezogene Daten müssen von denjenigen, die sie gesammelt haben, rechtzeitig eingeschränkt, berichtigt oder gelöscht werden. Die Betroffenen haben hier das Recht, die Einschränkung der Verarbeitung (Art. 18 DSGVO), Löschung (auch Vergessenwerden, Art. 17 DSGVO) oder Berichtigung (Art. 16 DSGVO) einzufordern, wenn sie einen Verstoß gegen den Datenschutz feststellen.

Personenbezogene Daten – FAQ

❓Welche Daten sind personenbezogene Daten?

Gesetzlich definiert ist der Begriff "personenbezogene Daten" als alle Daten, die sich direkt oder indirekt einer identifizierten oder identifizierbaren natürlichen Person zuordnen lassen. Darunter fallen beispielsweise Bankdaten, E-Mail-Adressen, Namen, Geburtsdaten, Ausweisnummern, Augen- und Haarfarben, IP-Adressen oder Standortinfos.

❓Wann dürfen personenbezogene Daten laut DSGVO verarbeitet werden?

Die Verarbeitung von personenbezogenen Daten ist nur erlaubt, wenn es nach Artikel 6 DSGVO eine rechtliche Grundlage dafür gibt und die betroffene Person eingewilligt hat. Außerdem müssen die Daten immer zu einem bestimmten Zweck genutzt werden.

❓Welche personenbezogenen Daten sind besonders sensibel?

Besonders sensible Daten, für die spezielle Regeln gelten, sind Gesundheitsdaten, genetische oder biometrische Informationen sowie Infos zum Sexualleben oder zur sexuellen Orientierung einer Person und die Religionszugehörigkeit.

❓Wie kann ich meine personenbezogenen Daten schützen?

Ernennen Sie intern einen Datenschutzbeauftragten, der sich um das Thema kümmert. Arbeiten Sie mit Firmen und Dienstleistern zusammen, denen Datenschutz ebenso wichtig ist. Achten Sie beispielsweise bei Cloud-Anbietern auf einen zertifizierten File-Service und clientseitige Verschlüsselung.

Wie Ihnen auch Datenaustausch DSGVO-konform gelingt, erfahren Sie hier.