Was sind personenbezogene Daten?
Unter dem Begriff "personenbezogene Daten" (Abkürzung: pb-Daten) werden alle Informationen verstanden, die sich auf eine natürliche Person beziehen. Diese natürliche Person wird als identifizierbar angesehen, wenn sie mittels Informationen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Das sind z. B.: Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit oder Beruf.
Angaben über sachliche Verhältnisse beziehen sich z. B. auf Einkommen, Eigentumsverhältnisse, Kfz-Typen, Steuern oder Versicherungen.
Besondere Kategorien personenbezogener Daten
Es gibt auch personenbezogene Daten, die aufgrund ihrer hohen Schutzbedürftigkeit nur unter strengen Voraussetzungen verarbeitet werden dürfen. Dazu gehören:
- rassische und ethnische Herkunft
- politische Meinung
- religiöse oder weltanschauliche Überzeugung
- Gewerkschaftszugehörigkeit
- genetische und biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
Die Verarbeitung solcher besonderen Kategorien personenbezogener Daten erfordert regelmäßig eine sog. Datenschutz-Folgenabschätzung.
Checkliste: Verarbeitung personenbezogener Daten
Der europäische Gesetzgeber stellt in Art. 5 DSGVO eine Reihe von Grundsätzen auf, die bei der Verarbeitung von personenbezogenen Daten zu berücksichtigen sind. Sie sollten sich also Folgendes fragen, wenn Sie personenbezogene Daten verarbeiten:
Entsprechen sämtliche Verarbeitungen personenbezogener Daten den Grundsätzen
- der Rechtmäßigkeit?
- der Verarbeitung nach Treu und Glauben?
- der Zweckbindung?
- der Datenminimalität?
- der Richtigkeit?
- der Speicherbegrenzung?
- der Integrität und Vertraulichkeit?
- der Bedingungen für die Einwilligung?
- und ist die Einhaltung sämtlicher Grundsätze ausreichend dokumentiert?
Wann ist die Datenverarbeitung rechtmäßig?
Die Verarbeitung personenbezogener Daten ist nach Art. 6 DSGVO nur dann rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist.
- Die betroffene Person muss in die Verarbeitung ihrer Daten für einen oder mehrere bestimmte Zwecke eingewilligt haben.
- Die Verarbeitung der Daten dient dazu, einen Vertrag zu erfüllen, dessen Vertragspartei die betroffene Person ist. Oder es müssen vorvertragliche Maßnahmen durchgeführt werden, die auf Anfrage der betroffenen Person erfolgen.
- Die Verarbeitung ist erforderlich, um eine rechtliche Verpflichtung zu erfüllen, der der Verantwortliche für die Datenverarbeitung unterliegt.
- Rechtmäßig ist die Verarbeitung, wenn lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person geschützt werden sollen.
- Die Verarbeitung der Daten ist notwendig, um eine Aufgabe wahrzunehmen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, und die dem Verantwortlichen übertragen wurde.
- Die Verarbeitung ist rechtmäßig, wenn sie der Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten dient. Aber nur sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
BDSG-neu: Verarbeitung von Beschäftigtendaten
Der deutsche Gesetzgeber verpflichtet Unternehmen gemäß § 26 BDSG (2018), für die Verarbeitung von Beschäftigtendaten dieselben Grundsätze anzuwenden wie für personenbezogene Daten. Sie müssen sämtliche Anforderungen dokumentiert abprüfen.
Jeden für die Verarbeitung Verantwortlichen trifft die sog. "Rechenschaftspflicht" gemäß Art. 5 Abs. 2 DSGVO. Das heißt: Die Verantwortlichen müssen nachweisen können, dass die Grundsätze der Datenverarbeitung im Unternehmen eingehalten wurden.
Schutzstufen nach DSGVO
Um geeignete Maßnahmen zur Sicherstellung des Rechts ergreifen zu können, ist es u. a. notwendig, das Schadenspotenzial, also die Schwere der möglichen Folgen, wenn der Schutz der Daten unzureichend ist, zu bestimmen. Hier hilft fsd Schutzstufenkonzept, um die Schutzbedürftigkeit von einzelnen personenbezogenen Daten besser einschätzen zu können:
| Stufe | Personenbezogene Daten, ... | Beispiele |
| A | die frei zugänglich sind. | Telefonbücher, Adressbücher |
| B | deren Missbrauch zwar keine Beeinträchtigung erwarten lässt, die Kenntnis dieser Daten jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist. | Titel, Berufsbezeichnung |
| C | deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann. (Ansehen) | Einkommen, Ordnungswidrigkeiten |
| D | deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann. (Existenz) | Unterbringung in Anstalten, psychologisch medizinische Untersuchungsergebnisse, Schulden |
| E | deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann. | Daten über Personen, die mögliche Opfer einer strafbaren Handlung sein können. |
Datenschutz im Unternehmen nach DSGVO und neuem BDSG
Wollen Unternehmen Bußgelder bis zu 20 Mio. Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes (je nachdem, was höher ist) vermeiden, müssen sie spätestens bis zum 25. Mai 2018 zwingend Maßnahmen treffen, um die gesetzlichen Anforderungen nach DSGVO und neuem BDSG zu erfüllen.
Die neue "Dokumentenmappe: Datenschutz im Unternehmen" unterstützt Unternehmen beim Aufbau einer gesetzeskonformen Datenschutzorganisation, der Benennung eines Datenschutzbeauftragten, bei der Schulung von Mitarbeitern oder bei der Erstellung einer Datenschutz-Folgenabschätzung. Das Werk enthält alle wichtigen Vorlagen und Dokumente zur DSGVO und zum BDSG-neu.
