Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine natürliche Person, die mittels Zuordnung zu einer Kennung wie Namen, (Online-)Kennnummer oder Standortdaten identifiziert werden kann. Des Weiteren gelten auch besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind, als personenbezogene Daten.

„Die Datenschutz-Grundverordnung gilt für die Verarbeitung von personenbezogenen Daten, sowohl automatisiert als auch nicht-automatisiert. Sofern man also eine elektronische Datenverarbeitung im Einsatz hat, findet die DSGVO Anwendung.“

Welche Beispiele gibt es für personenbezogene Daten?

Neben den Klassikern wie Name, Geburtstag und Wohnort gibt es noch eine Reihe weiterer Daten, die dieser Kategorie angehören. Darunter fallen beispielsweise Steuernummern und Religionszugehörigkeit, aber auch körperliche wie geistige Behinderungen. Selbst IP-Adressen können einzelnen Personen zugeordnet werden und sind somit personenbezogene Daten.

Was versteht man unter der Verarbeitung von personenbezogenen Daten?

Der Begriff „Verarbeiten“ umfasst die Bereiche erheben, speichern, ändern, nutzen, übermitteln, verknüpfen oder löschen. Damit wird klar: Egal, was Sie mit den personenbezogenen Daten in Ihrem Unternehmen machen, die DSGVO findet immer Anwendung.

Welche Grundsätze gelten bei der Verarbeitung von personenbezogenen Daten?

Das vorherrschende Prinzip im Datenschutz ist das „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, es dürfen nur personenbezogene Daten verarbeitet werden, wenn hierfür eine Einwilligung des „Betroffenen“ vorliegt, ein berechtigtes Interesse besteht oder man sich aber auf eine Rechtsgrundlage berufen kann.

Unter Einwilligung versteht man die freiwillige Zustimmung zur Verarbeitung der personenbezogenen Daten für einen bestimmten Zweck. Aufgrund der Nachweispflicht empfiehlt es sich für Unternehmen bei der Einholung der Einwilligung stets die Schriftform zu verwenden. Vorsicht: Bei der Einwilligung muss es sich um eine aktive Handlung handeln. So ist ein Opt-in Verfahren (Haken in leere Checkbox setzen) erlaubt, jedoch reicht ein Opt-out Verfahren (Stehenlassen eines Standardmäßig gesetzten Haken in einer Checkbox) nicht aus. Außerdem muss die betroffene Person darüber informiert werden, dass ein Widerruf dieser Einwilligung jederzeit ohne Angabe von Gründen möglich ist.

Personenbezogene Daten, die zur Erfüllung eines Vertragsverhältnisses benötigt werden, dürfen verarbeitet werden.

Welche Bereiche sind von der DSGVO am meisten betroffen?

Die neue europäische Grundverordnung erhält Einzug in sämtliche Bereiche eines Unternehmens. Mit die größte Auswirkung hat sie allerdings auf die IT, da diese viele Schnittstellen zu anderen Bereichen hat. Man sollte jedoch davon Abstand nehmen, die IT alleine für die Umsetzung der Datenschutzbestimmungen verantwortlich zu machen. Um eine Sensibilität in Sachen Datenschutz in der Unternehmenskultur aufbauen zu können, muss das Thema Datenschutz Chefsache sein und von oben herab gelebt werden.  

Die Themen, die im Rahmen der DSGVO von IT-Seite her unbedingt begutachtet werden müssen, sind vielfältig. Beispielsweise ist das Thema IT-Sicherheit samt ihrer zentralen Elemente in Art. 32 DS-GVO verankert. Diese sind: 

• Vertraulichkeit: Schutz der Daten vor unbefugtem Zugriff
• Integrität: Unversehrtheit der Daten
• Verfügbarkeit: Daten müssen bei Bedarf jederzeit genutzt werden
• Stand der Technik

Was bedeutet Stand der Technik in der DSGVO?

Während die Attribute Vertraulichkeit, Integrität und Verfügbarkeit definiert und dadurch greifbar sind, verhält es sich bei dem Begriff „Stand der Technik“ etwas anders. Im Wortlaut heißt es in der DSGVO dazu:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Viele Unternehmen stoßen dabei nun auf die Frage, was die Bedeutung von „Stand der Technik“ ist und welche Maßnahmen man ergreifen muss, um ein angemessenes Schutzniveau gewährleisten zu können. Pauschal lässt sich diese Frage leider nicht beantworten, da es keine genaue Definition für den Begriff „Stand der Technik“ gibt.

Genau hierbei kann Sie digatus unterstützten! Durch unsere Partnerschaft mit dem renommierten Datenschutzanwalt Dr. Sebastian Kraska sind wir mit Verbänden, Aufsichtsbehörden und Politik im ständigen Austausch und können so unsere Kunden auf dem Weg in Richtung Datenschutz nach DSGVO bestmöglich unterstützen.