Was sind personenbezogene Daten?

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei kann es sich um direkte oder indirekte Informationen handeln, die dazu dienen, eine Person zu identifizieren oder sie in Verbindung mit anderen Daten zu bringen.

Zur näheren Bestimmung, welche Daten als personenbezogen gelten und welche nicht, helfen zwei Begriffe aus dem Gesetzestext:

Bestimmte oder bestimmbare Personen (laut DSGVO: identifiziert oder identifizierbar): Die Daten müssen entweder direkt einer konkreten Person zugeordnet werden können oder sie müssen sich mittels zusätzlicher Informationen oder Aufwendungen einer bestimmbaren Person zuordnen lassen. Diese Informationen können auch von Dritten stammen.

Natürliche Personen: Die Informationen beziehen sich auf lebende Menschen. Daten über sogenannte juristische Personen wie Unternehmen oder verstorbene Personen gelten nicht als personenbezogen.

Diese Informationen genießen durch die Datenschutz-Grundverordnung (DSGVO) besonderen Schutz. Sie gewährleistet EU-Bürger:innen und das Recht auf informationelle Selbstbestimmung. Jede Person darf selbst entscheiden, welche Informationen sie preisgeben möchte und zu welchem Zweck. Der Schutz der DSGVO gilt grundsätzlich weltweit und umfasst die Daten aller EU-Bürger:innen, unabhängig von ihrem Wohn- oder Aufenthaltsort. Jedoch könnte der Schutz außerhalb der EU schwer durchsetzbar sein.

Besondere Kategorie von personenbezogenen Daten

Neben den allgemeinen personenbezogenen Daten gibt es personenbezogene Daten, die in besonderer Weise geschützt werden. Dabei wird auch von besonderen Kategorien von personenbezogenen Daten gesprochen.

Diese Daten sind besonders schützenswert und die Verwendung durch Unternehmen unterliegt höheren Anforderungen. Welche Daten darunter fallen, ist in Art. 9 DSGVO geregelt.

Besondere personenbezogene Daten sind Merkmale, aus den nachstehenden Informationen:

• rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• genetische Daten
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten
• Daten zum Sexualleben und zur sexuellen Orientierung

Diese Informationen betreffen in besonderer Form die Privatsphäre und die Persönlichkeit der betroffenen Personen. Daher muss gesetzlich gewährleistet sein, dass diese Daten nur unter besonders strengen Anforderungen verarbeitet werden.

Warum sind personenbezogene Daten schützenswert?

Personenbezogene Daten sind schützenswert, da sie viel über uns verraten und verschiedene Risiken mit sich bringen können. Im digitalen Zeitalter können Daten leicht erfasst, verarbeitet und analysiert werden. Dadurch besteht die Gefahr von Identitätsdiebstahl, Betrug, Diskriminierung und Meinungsmanipulation.

Heutzutage gehen immer noch viele Menschen leichtfertig mit der Preisgabe ihrer personenbezogenen Daten um. Oftmals geschieht dies aus Unwissenheit über den wahren Wert dieser Informationen für Unternehmen und Behörden. Große internationale Unternehmen wie Google und Facebook sammeln weltweit Daten über die Aktivitäten der Nutzer:innen im World Wide Web.

Diese Daten, die von Standortinformationen über das Kaufverhalten bis hin zu Kontaktdaten reichen, werden in der Regel verwendet, um personalisierte Werbung für jede:n einzelne:n Benutzer:in zu schalten. Dadurch generieren diese Unternehmen jährliche Gewinne in Millionenhöhe. Das bedeutet, dass personenbezogene Daten viel Geld wert sind.

Darüber hinaus kann der Missbrauch dieser sensiblen Informationen auch strafrechtliche Konsequenzen haben. Kriminelle können beispielsweise Bankdaten stehlen und unbefugten Zugriff auf Konten erhalten. Mit personenbezogenen Daten wie Personalausweis- oder Ausweisnummern können gefälschte Dokumente erstellt und verkauft werden. Es gibt viele Möglichkeiten für Missbrauch.

Es ist wichtig, verantwortungsbewusst mit personenbezogenen Daten umzugehen und die Datenschutzbestimmungen einzuhalten, um das Risiko von Missbrauch und Schaden zu minimieren.

Umgang mit personenbezogenen Daten

Nicht jedes Unternehmen darf einfach wahllos alle verfügbaren Daten sammeln. Wenn eine öffentliche oder nichtöffentliche Stelle berechtigt ist, Daten zu sammeln und zu verarbeiten, muss sie den Datenschutz gewährleisten. Das bedeutet:

• Mitarbeiter:innen, die mit der Datenverarbeitung betraut sind, müssen über das Datengeheimnis informiert werden und eine Datenschutzschulung erhalten, um den Umgang mit den Daten zu erlernen.
• Die Speicherung personenbezogener Daten erfordert höchste Sicherheitsmaßnahmen. Dazu gehören nicht nur passwortgeschützte Arbeitsplätze und Datenbanken, sondern auch angemessene Verschlüsselungsprogramme und wirksame Maßnahmen zur Abwehr von Schadsoftware (wie Antivirenprogramme und Firewalls). In einigen Fällen müssen personenbezogene Daten anonymisiert werden, um den Bezug zu einer bestimmten oder identifizierbaren Person aufzuheben.
• Die Verarbeitung personenbezogener Daten muss stets zweckgebunden erfolgen. Sobald der Zweck erfüllt ist, müssen die Angaben gelöscht oder vor weiterem Zugriff geschützt werden. Der Betroffene muss diesem Zweck eindeutig zugestimmt haben.
• Die Pflicht zur Löschung personenbezogener Daten besteht in der Regel, sobald die Daten nicht mehr benötigt werden oder der ursprüngliche Zweck nicht mehr besteht. Einige Daten werden auch in regelmäßigen Abständen gelöscht. Unrechtmäßig gespeicherte Daten müssen umgehend sicher gelöscht werden.
• Für die Verarbeitung personenbezogener Daten ist eine Rechtsgrundlage erforderlich. Die Grundregeln der Datenverarbeitung, die bei der Verarbeitung personenbezogener Daten einzuhalten sind und welche die DSGVO prägen, sind in Art. 5 Abs. 1 DSGVO festgelegt.

DSGVO: Datenschutzvorschriften für personenbezogene Daten

Wenn personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten die Vorschriften der Datenschutz-Grundverordnung (DSGVO).

Welche Daten dürfen gespeichert und verarbeitet werden?

Grundsätzlich ist es verboten, personenbezogene Daten zu speichern und zu verarbeiten, es sei denn, es liegt ein Fall vor, in dem dies ausdrücklich erlaubt ist. Selbst in solchen Fällen gilt das Prinzip der Datenminimierung: Es sollten nur die Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind, also so wenig wie möglich.

Gemäß Art. 6 DSGVO gibt es vier Fälle oder Rechtsgrundlagen für die Datenverarbeitung:

Einwilligung: Eine Person kann freiwillig zustimmen, dass ihre Daten verarbeitet werden dürfen. Vorher muss die Person jedoch über die Daten informiert werden, die für welchen Zweck verwendet werden sollen. Die Einwilligung kann jederzeit widerrufen werden.

Beispiel: Ein User akzeptiert Cookies für die Nutzungsanalyse auf einer Website und stimmt zu, dass die Daten der Nutzung für Marktforschungszwecke verwendet werden dürfen.

Vertragsverhältnis: Um einen Vertrag abzuschließen und zu erfüllen, dürfen personenbezogene Daten verarbeitet werden.

Beispiel: Ein Arbeitgeber speichert Daten über seine Arbeitnehmer:innen in der Personalabteilung, um das im Arbeitsvertrag vereinbarte Arbeitsverhältnis durchzuführen. Oder ein Unternehmen speichert die Adresse von Kund:innen für die Lieferung.

Berechtigtes Interesse: Personenbezogene Daten dürfen verarbeitet werden, wenn ein berechtigtes Interesse besteht, das schwerer wiegt als der Schutz der Freiheit der betroffenen Personen und eine Einschränkung rechtfertigt.

Beispiel: Ein Unternehmen überwacht die Internetnutzung seiner Mitarbeiter:innen, um die IT-Sicherheit zu gewährleisten und Betrug zu verhindern.

Gesetzliche Verarbeitungsermächtigungen: Die Datenverarbeitung ist ebenfalls zulässig, wenn sie erforderlich ist, um gesetzlichen Pflichten nachzukommen.

Beispiel: Das Finanzamt verarbeitet die Finanzdaten aller Bürger:innen, um die gesetzlich festgelegten Steuern einzuziehen.

Was ist die Zweckbindung? Personenbezogene Daten dürfen nur für den jeweiligen Zweck verarbeitet werden, für den eine Rechtsgrundlage vorliegt. Die Daten dürfen nicht einfach für andere Zwecke verwendet werden.

Beispiel: Eine Kundin hat bei einer Bestellung in einem Online-Shop ihre E-Mail-Adresse angegeben, um Informationen zur Lieferung zu erhalten. Das Unternehmen darf die Adresse nicht (ohne zusätzliche Einwilligung) nutzen, um ihr einen Newsletter zu senden.

Was ist die Informationspflicht? Wer personenbezogene Daten speichert und verarbeitet, muss die betroffenen Personen transparent und umfassend informieren: über die verarbeiteten Daten, die Zwecke und welche Rechte die Betroffenen in Bezug auf die Datenverarbeitung haben (§ 12-14 DSGVO).

Was ist das Auskunftsrecht? Um ihr Recht auf informationelle Selbstbestimmung wahrnehmen zu können, haben Personen gemäß Art. 15 DSGVO das Recht, jederzeit Auskunft von den Verantwortlichen darüber zu verlangen, wer welche Daten von ihnen verarbeitet.

Wann müssen die Daten gelöscht werden?

Gemäß Art. 17 DSGVO müssen personenbezogene Daten unter anderem gelöscht werden, wenn

• sie nicht mehr für den vorgesehenen Zweck benötigt werden,
• die Einwilligung zur Verarbeitung widerrufen wird oder
• die Daten unrechtmäßig erhoben wurden.
• Sofern es gesetzliche Vorschriften gibt, die eine längere Aufbewahrung der Daten vorschreiben, kann das Recht auf Löschung außer Kraft gesetzt werden.

Kategorien für personenbezogene Daten

Die folgende Liste bietet eine Auswahl der am häufigsten verwendeten personenbezogenen Daten:

Identitätsdaten: Dazu gehören Name, Geburtsdatum, Geschlecht, Nationalität und andere Informationen, die helfen, eine Person eindeutig zu identifizieren.

Kontaktinformationen: Hierzu zählen Telefonnummern, E-Mail-Adressen, Wohnadressen und andere Daten, die zur Kommunikation mit einer Person genutzt werden.

Finanzdaten: Bankkontoinformationen, Kreditkartendaten und andere finanzielle Informationen, die im Rahmen von Transaktionen erhoben werden.

Gesundheitsdaten: Medizinische Informationen, Krankheitsgeschichten, genetische Daten und andere Daten, die mit der Gesundheit einer Person zusammenhängen.

Online-Daten: IP-Adressen, Cookies, Nutzerverhalten, Präferenzen und andere Daten, die beim Surfen im Internet generiert werden.

Praxisbeispiel: Verwendung personenbezogener Daten in einem Online-Shop

Um zu verdeutlichen, wie personenbezogene Daten in der Praxis verwendet werden, betrachten wir ein Beispiel eines Online-Shops:

Ein Online-Händler sammelt personenbezogene Daten wie Namen, E-Mail-Adressen und Versandadressen von Kund:innen, um Bestellungen abzuwickeln und Produkte zu liefern. Zusätzlich werden Finanzdaten wie Kreditkartendetails erhoben, um Zahlungen zu ermöglichen. Diese Daten sind notwendig, um den Verkaufsprozess durchzuführen und die Kundenzufriedenheit zu gewährleisten.

Der Online-Shop kann auch personenbezogene Daten für Marketingzwecke nutzen. Beispielsweise werden E-Mail-Adressen verwendet, um Kund:innen über neue Produkte, Sonderangebote oder bevorstehende Rabattaktionen zu informieren. Durch die Analyse von Kaufhistorien und Präferenzen kann der Shop personalisierte Empfehlungen aussprechen und das Einkaufserlebnis verbessern.

Datenschutz und Einhaltung geltender Bestimmungen sind unerlässlich, um das Vertrauen der Kund:innen zu wahren und ihre Privatsphäre zu schützen. Indem wir uns bewusst mit personenbezogenen Daten auseinandersetzen, können wir eine verantwortungsvolle Nutzung fördern und die Vorteile der digitalen Welt sicher genießen.

Wollen Sie mit Ihrem Unternehmen die Kontrolle über ihre Daten zurückerlangen und Daten DSGVO-konform und sicher verarbeiten, speichern und löschen? Dann nehmen Sie Kontakt mit uns auf und entfesseln Sie noch heute die Power von Open Source mit Glasskube.