Person mit Tablet

Personenbezogene Daten

Was sind personenbezogene Daten und welche Vorgaben gibt es zum Beispiel zu Weitergabe und Löschung?

  • Über 1000 Kunden in Deutschland und Europa
  • Team von 40+ Datenschutzexperten
  • DEKRA- und TÜV-zertifizierte Experten

Externer Datenschutzbeauftragter

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Personenbezogene Daten - warum sie eine Rolle spielen

Der öffentliche Auftritt der meisten Unternehmen erfolgt inzwischen über das Internet, dementsprechend investieren viele Firmen in moderne Webseiten, um ihrer Konkurrenz in nichts nachzustehen. Jedoch werden mit immer moderneren und interaktiveren Webseiten auch mehr Daten der Kunden erfasst. Hierbei stellt sich für den Unternehmer immer öfter die Frage nach dem Umgang mit sogenannten personenbezogenen Daten. Dieser von Unternehmen oft vernachlässigte Bereich ist nicht zu unterschätzen, da ein ernsthafter Umgang mit Daten nicht nur zur Seriosität eines Unternehmens beiträgt, sondern den Unternehmer bei regelmäßiger Pflege vor Schadensersatzklagen und hohen Geldbußen bewahren kann. Der Begriff „personenbezogene Daten“ ist dabei gesetzlich definiert.


1. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Ausgenommen sind neben juristischen Personen Personenmehrheiten und -gruppen sowie Verstorbene. Die Informationen können jeglichen Inhalts sein und aus dem gesamten Lebensbereich einer Person stammen.

In der EU-DSGVO werden personenbezogene Daten weiter gefasst als bisher. Sie umfassen nach Art. 4 Nr. 1 EU-DSGVO alle Informationen zur

  • physischen

  • physiologischen

  • genetischen

  • geistigen

  • wirtschaftlichen

  • kulturellen und

  • sozialen

Identität einer identifizierten oder identifizierbaren Person.

Infografik personenbezogene Daten

2. Personenbezogene Daten im Unternehmen

Unternehmen, die sich unmittelbar oder mittelbar mit Datenverarbeitung befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes wie auch unter die spezifischen Regelungen:

In Art. 5 Abs. 1 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt. Diese Grundsätze sind bei der Verarbeitung personenbezogener Daten im Unternehmen unbedingt zu berücksichtigen – deren Einhaltung muss darüber hinaus vom Verantwortlichen nachgewiesen werden können (sog. Rechenschaftspflichten, Art. 5 Abs. 2 DSGVO).

Gemäß Art. 5 Abs.1 DSGVO gelten die folgenden Grundsätze:

  • Rechtmäßigkeit der Verarbeitung: Nach Art. 6 DSGVO ist eine Verarbeitung bei Vorliegen einer entsprechenden Rechtsgrundlage oder einer Einwilligung des Betroffenen rechtmäßig.

  • Verarbeitung nach Treu und Glauben: Da die Generalklausel sehr abstrakt formuliert ist, ist eine Beurteilung nur am konkreten Einzelfall unter Beurteilung der Gesamtumstände möglich. Hierunter fällt beispielsweise der Vorrang der Direkterhebung, wonach der Verantwortliche personenbezogene Daten direkt beim Betroffenen und nicht indirekt durch einen Dritten erheben soll, da der Betroffene regelmäßig mit einer Dritterhebung nicht rechnen kann.

  • Transparenz: Dem Grundsatz der Transparenz soll etwa durch die Informationspflichten der Art. 12ff. DSGVO nachgekommen werden. Dieser Grundsatz soll gewährleisten, dass die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.

  • Zweckbindung: Jeder Verarbeitung personenbezogener Daten muss ein bestimmter Zweck zugrunde liegen. Die Erhebung personenbezogener Daten darf nach Art. 5 Abs. 1b DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.

  • Datenminimierung: Personenbezogene Daten müssen gemäß Art. 5 Abs. 1c DSGVO dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

  • Richtigkeit der Datenverarbeitung: Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und auf dem neuesten Stand sein. Betroffene haben gemäß Art. 16 DSGVO das Recht, die Berichtigung unrichtiger Daten zu verlangen.

  • Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ist die Speicherung für die Zwecke, für die sie verarbeitet werden, nicht mehr notwendig, so müssen die Daten gemäß Art. 17 Abs.1a DSGVO gelöscht werden.

  • Integrität und Vertraulichkeit: Personenbezogene Daten müssen darüber hinaus gemäß Art. 5 Abs. 1f DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Dies soll durch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO erfolgen.

3. Arten personenbezogener Daten

Personenbezogene Daten stehen im Mittelpunkt der datenschutzrechtlichen Regelungen in der Datenschutzgrundverordnung (DSGVO). Es handelt sich nach der gesetzlichen Definition um Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (Betroffener) beziehen. Man unterscheidet zwischen verschiedenen Arten von personenbezogenen Daten. Aus datenschutzrechtlicher Sicht ist ihr Schutzbedürfnis dabei unterschiedlich ausgeprägt. Einige Kategorien von personenbezogenen Daten gelten als besonders sensibel und genießen einen erhöhten rechtlichen Schutz. Der Umgang mit ihnen fordert erhöhte Achtsamkeit.

Besonders schutzwürdige personenbezogene Daten


Zu besonderen Kategorien personenbezogener Daten gehören nach Art. 9 Abs. 1 DSGVO Angaben zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschauliche Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zur Gesundheit, zum Sexualleben oder sexuellen Orientierung sowie genetische und biometrische Daten, die in Art. 4 Nr. 13 und 14 DSGVO definiert werden.

Die Verarbeitung von besonderen Kategorien personenbezogener Daten


Die Datenschutzgrundverordnung verbietet die Verarbeitung besonderer Kategorien personenbezogener Daten. Die Verarbeitung dieser Daten ist nur in besonderen Ausnahmefällen gestattet. Einer der wichtigsten betrifft die Verarbeitung aufgrund einer ausdrücklichen Einwilligung durch den Betroffenen nach Art. 9 Abs. 2 lit. a DSGVO.

Einwilligung in die Verarbeitung von besonderen Kategorien personenbezogener Daten

Die Einwilligung zur Verarbeitung muss ausdrücklich erfolgen und sich explizit auf die Verarbeitung von besonderen Kategorien personenbezogener Daten beziehen, nachdem der Betroffene auf die Sensitivität der Daten hingewiesen worden ist. Schlüssiges Handeln ist nicht ausreichend. Des Weiteren muss die Einwilligung freiwillig erfolgen. Insbesondere im Rahmen entsprechender Rechtsverhältnisse, wie zum Beispiel einem Arbeitsverhältnis, kann die Freiwilligkeit infrage stehen, wenn der Arbeitnehmer in einer speziellen Abhängigkeit zum Arbeitgeber steht. Freiwilligkeit wird angenommen, wenn für die beschäftigte Person mit der Einwilligung ein rechtlicher beziehungsweise wirtschaftlicher Vorteil erreicht werden soll. Die Freiwilligkeit einer Einwilligungserklärung eines Arbeitnehmers ist nur gegeben, wenn trotz rechtlichem Über-Unterordnungsverhältnis zu seinem Arbeitgeber die Verweigerung der Einwilligungserklärung keine nachteiligen Konsequenzen mit sich bringt – z. B. wenn die Verweigerung zur Veröffentlichung des Mitarbeiterfotos auf Xing nicht den Ausschluss von Firmen-Events zur Folge hat. Wichtig ist, dass auch den Arbeitgeber die oben genannte Hinweispflicht über die Verarbeitung treffen. Der Arbeitnehmer muss über den festgelegten Zweck der Verarbeitung aufgeklärt und entsprechend über sein Widerrufsrecht nach Art. 7 Abs. 3 S.1 DSGVO in Kenntnis gesetzt werden.

Besondere Kategorien von personenbezogenen Daten beachten

Aufgrund ihrer Schutzbedürftigkeit und der Eingriffsintensität in die Rechte und Freiheiten Betroffener, unterliegen die besondere Kategorien personenbezogener Daten zusätzlichen Anforderungen. So ist bei deren Verarbeitung schneller eine Einwilligungserklärung der betroffenen Person einzuholen. Um den Anforderungen der DSGVO gerecht zu werden, sollten nicht nur die technischen und organisatorischen Maßnahmen in diesem Bereich überprüft werden, sondern auch die entsprechenden Formulierungen in Einwilligungserklärungen. Im Zweifel muss vor der Verarbeitung besonderer Kategorien personenbezogener Daten immer geprüft werden, ob diese von einem Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO gedeckt ist. Dabei kommen neben der Einwilligung durch den Betroffenen noch weitere Erlaubnistatbestände infrage. Insgesamt sollten sich Unternehmen immer bewusst sein, dass die Verarbeitung von besonderen Kategorien personenbezogener Daten die Ausnahme darstellt.

Was macht personenbezogene Daten so schützenswert?


Aus Sicht des Datenschutzes ist der Umgang mit personenbezogenen Daten eine heikle Angelegenheit. Diese Daten erlauben in besonderer Weise die Identifikation einer bestimmten Person und lassen auch Rückschlüsse auf die Lebensführung zu (vgl. Besonders schützenswürdige personenbezogene Daten).

Personenbezogene Daten sind für Unternehmen „bares Geld“, da sie unter anderem dazu dienen können, gezielte Marketing- und Verkaufsstrategien auf den Einzelnen anzuwenden. Entsprechende Instrumente sind im Adress- und Datenhandel zu sehen. Hier legt der Gesetzgeber teilweise besonders strenge Maßstäbe an den Datenschutz an, auch wenn solche an sich eigentlich nicht verboten sind. Teilweise überlappt sich der Datenschutz mit anderen Persönlichkeitsrechten wie dem Recht am eigenen Bild. Fotografien anderer Personen dürfen beispielsweise nicht ohne weiteres veröffentlicht werden. Im Social Media Bereich wird das oft vergessen.

4. Umgang mit personenbezogenen Daten

Personenbezogene Daten beziehen sich auf eine bestimmte Person oder machen eine Person bestimmbar. An diesem Terminus setzt die Datenschutzgrundverordnung an. Diese knüpft dabei nur an natürlichen Personen an, nicht an die Daten juristischer Personen. Der Umgang mit diesen personenbezogenen Daten ist besonderen Regeln unterworfen.

Was prägt den Umgang mit personenbezogenen Daten aus Sicht der Betroffenen?


Ein wesentlicher Gesichtspunkt im Hinblick auf personenbezogene Daten sind die Grundsätze der Verarbeitung gemäß Art. 5 DSGVO. Die Verarbeitung solcher Daten ist nur rechtmäßig, wenn eine der Bedingungen des Art. 6 Abs. 1 lit. a bis f DSGVO erfüllt ist. Im Unternehmensalltag heißt das zum Beispiel, dass bestimmte Datenverarbeitungen beim Besuch von Webseiten, wie das Setzen von Marketing-Cookies, nur zulässig sind, wenn der Dateninhaber ausdrücklich eingewilligt hat. Betroffene sollten im Übrigen auch selbst sorgsam mit ihren personenbezogenen Daten umgehen und diese nicht leichtfertig herausgeben.

Der Umgang mit personenbezogenen Daten in Unternehmen

Unternehmen werden daran gemessen, wie sie mit personenbezogenen Daten umgehen, sprich wie ernst sie das Thema Datenschutz nehmen. Dabei hat sich die rechtskonforme Herangehensweise von Unternehmen beim Thema Datenschutz längst zu einem harten Wettbewerbsvorteil sowohl im Bereich B2B als auch im Endkundensegment entwickelt. Unternehmen werden im Hinblick auf ihren Internetauftritt und den dort realisierten Datenschutzbestimmungen in Bezug auf personenbezogene Daten bewertet.

Was bedeutet der Umgang mit personenbezogenen Daten für die Unternehmenspraxis?


Die Unternehmen haben bei der Verarbeitung von personenbezogenen Daten bestimmte Grundsätze zu befolgen. Ein willkürliches und ungeplantes „Datensammeln“ ist nicht erlaubt. Die Verarbeitung von personenbezogenen Daten darf nur rechtmäßig, zweckgebunden und sachlich richtig erfolgen. Außerdem ist sie ihrem Umfang nach auf Daten zu beschränken, die zur Zweckerfüllung notwendig sind. Ob Internethändler beispielsweise zwingend eine Telefonnummer brauchen, um eine Bestellung abzuwickeln, ist fraglich. Daten dürfen nicht länger als notwendig gespeichert werden, müssen also gelöscht werden, wenn der Zweck der Verarbeitung erfüllt wurde.

Datenschutz umfasst technische und organisatorische Maßnahmen, die das Unternehmen anzuwenden hat. Mitarbeiter müssen zur Vertraulichkeit und zur Beachtung des Datenschutzes verpflichtet werden. Insgesamt ist im Umgang mit personenbezogenen Daten von Unternehmensseite her immer besondere Aufmerksamkeit gefragt, damit relevante Vorschriften in diesem Bereich nicht übersehen und vor allem auch angemessen umgesetzt werden.

5. Weitergabe von personenbezogenen Daten

Obwohl die Weitergabe personenbezogener Daten zu den klassischen Verarbeitungsformen gehört und insoweit schon lange im Fokus entsprechender datenschutzrechtlicher Regelungen steht, bereitet das Thema in der praktischen Anwendung vielen Unternehmen Schwierigkeiten.

Die Weitergabe personenbezogener Daten als intensiver Eingriff
 

Wer personenbezogene Daten weitergibt, greift intensiv in die Rechte der betroffenen Person ein. Deshalb müssen sowohl Unternehmen als auch Privatpersonen vor einer solchen Weitergabe prüfen, ob ihr Verhalten rechtmäßig nach Art. 6 DSGVO ist. Jede Form von Unachtsamkeit und Fahrlässigkeit an dieser Stelle im Umgang mit personenbezogenen Daten kann rechtliche Sanktionen, wie Bußgelder, und vor allem auch faktische Folgen für die betroffene Person mit sich ziehen. Man kann davon ausgehen, dass die Weitergabe von personenbezogenen Daten auch im besonderen Interesse der Aufsichtsbehörden liegt. Vor dem Hintergrund der durch die DSGVO festgesetzten hohen Bußgelder, sollten sich Unternehmen gründlich mit der Thematik auseinandersetzen. Außerdem ist man bei einem Verstoß gegen entsprechende Datenschutzvorschriften auch schnell im Bereich weiterer rechtlicher Verstöße wie des Persönlichkeitsrechts angekommen. Das kann zu erheblichen Schadensersatzforderungen führen.

In unserem Video erkären wir Ihnen genau, welche Voraussetzungen erfüllt sein müssen, damit personenbezogene Daten weitergegeben werden dürfen.

6. Löschen von personenbezogenen Daten

Wer Daten sammelt, muss auf der anderen Seite auch für die Löschung und Vernichtung sorgen, sobald bestimmte Bedingungen gegeben sind. Bereits die alte Rechtslage regelte unter anderem in § 35 Bundesdatenschutzgesetz entsprechende Löschungs- und Sperrtatbestände für erhobene Daten. Die seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung stärkt die Rechte von Dateninhabern hinsichtlich der Löschung von Daten. Damit setzt die DSGVO unter anderem europaweit das sogenannteRecht auf Vergessenwerdenregulatorisch um. In dem europäischen Gesetz zum Datenschutz werden die Rechte der Betroffenen deutlich gestärkt und der Pflichtenkreis der Unternehmen beim Löschen und Vernichten von Daten erweitert.

Was heißt Löschen von Daten?


Weder die entsprechenden Vorschriften im Bundesdatenschutzgesetz noch der einschlägige Art. 17 DSGVO definieren den Begriff „Daten löschen“. Sind die Daten auf einem wiederbeschreibbaren Medium gespeichert worden, sind sie mit einer entsprechend darauf ausgerichteten Löschsoftware endgültig und wirksam vom Datenträger zu löschen. Im Kontext von Internet- und Programmanwendungen steht die Löschung von Daten für eine Löschung der entsprechenden Verknüpfung beziehungsweise der Kodierung. Löschen und Vernichten von Daten kann technisch daher unterschiedliche Maßnahmen erfassen.

Relevante Löschungstatbestände


Art. 17 Abs. 1 DSGVO stellt einen Katalog von Löschungstatbeständen vor. Danach sind Daten zu löschen, wenn:

  • der Zweck der Datenverarbeitung weggefallen ist. Hintergrund ist der Gedanke, dass die entsprechenden Daten nicht mehr benötigt werden.

  • der Dateninhaber seine Einwilligung zur Datenerhebung widerruft. Wenn es keine andere Rechtsgrundlage für die Datenverarbeitung gibt, fehlt in diesem Fall eine rechtliche Basis für die zukünftige Speicherung der Daten.

  • der Dateninhaber Widerspruch gegen eine Datenverarbeitung eingelegt hat. Auch hier fehlt es an einer Rechtsgrundlage für die entsprechende Datenverarbeitung, wenn keine weiteren Gründe für das Unternehmen zur Datenverarbeitung bestehen.

  • feststeht, dass die personenbezogenen Daten von vornherein unrechtmäßig erhoben beziehungsweise verarbeitet wurden. In diesem Fall fehlte es von Beginn an einer Rechtsgrundlage für die Datenverarbeitungsmaßnahme.

  • der Löschungsvorgang in Erfüllung einer Rechtspflicht nach EU-Recht oder auf nationaler Rechtsgrundlage notwendig ist.

  • es sich um personenbezogene Daten eines Kindes handelt, die im Kontext von entsprechenden Dienstleistungen aus dem Bereich des Internets erhoben worden sind. Personenbezogene Daten von Kindern fallen unter besonderen Schutz und sollen nicht im Rahmen von Internetangeboten wie Webshops, Online-Spielen oder anderen Medien gesammelt werden.

Daten vernichten – weitere Anforderungen an die Umsetzung


Ist ein Löschungsgrund gegeben, muss das Unternehmen die Daten unverzüglich löschen. Unverzüglich heißt, die Löschungsvorgänge sind ohne schuldhaftes Zögern vorzunehmen. Das bedeutet, dass dem Verantwortlichen – abgestellt auf den konkreten Einzelfall – eine angemessene Zeit zur Umsetzung des Löschvorgangs ohne eigene Verzögerungen zusteht. Im Falle eines Betroffenenantrages auf Löschung seiner Daten muss der Betroffene:

  • spätestens innerhalb eines Monats nach Zugang seines Löschungsantrags über entsprechende Maßnahmen zur Löschung informiert werden

  • oder über die Gründe informiert werden, die zu einer Ablehnung seines Antrags führen.

Wer Daten erhebt und verarbeitet, muss regelmäßig selbst prüfen, ob und wann ein Löschungsgrund für die erhobenen Daten relevant wird. In diesem Kontext ist auch zu beachten, dass bei Vorliegen einer Löschungspflicht sämtliche Empfänger von Daten über den Löschungsvorgang zu informieren sind (folgt aus Art. 19 DSGVO und Art.17 Abs. 2 DSGVO).

Die Mitteilungspflichten gegenüber einer unbestimmten Anzahl von Adressaten hat besondere Bedeutung, weil auch mit dieser Vorschrift die Rechte der Betroffenen gestärkt werden. Die Mitteilungspflichten beziehen sich sogar auf Adressaten, die außerhalb der Europäischen Gemeinschaft ansässig sind. Die Vorschrift in der EU-Datenschutzgrundverordnung kann Unternehmen zukünftig vor gewisse technische Herausforderungen stellen. Als Umsetzungsakte sind insbesondere

  • Veröffentlichungen zum Löschungstatbestand auf Webseiten des datenverarbeitenden Unternehmens oder dort, wo die betroffenen Daten primär veröffentlicht wurden, vorzunehmen.

  • Techniken analog dem Digital Rights Management anzuwenden, was allerdings zurzeit noch strittig ist.

Löschungsanspruch von Betroffenen


Inhaber von personenbezogenen Daten können selbstständig einen entsprechenden Antrag auf Löschung ihrer Daten beim Unternehmen stellen. Es wird empfohlen, diesen Antrag in Textform (z. B. E-Mail) zu verfassen. Einher geht der Antrag mit einer entsprechenden Identitätsprüfung des Antragstellers. Dieser Löschungsanspruch ist auch im Kontext von Art. 15 DSGVO zu sehen, nachdem Auskunftsrechte zu gesammelten und gespeicherten Daten bestehen. Sollte eine Löschung abgelehnt werden, hat die datenverarbeitende Stelle diese Ablehnung zu begründen.

Weitere Themen in der Kategorie Datenschutz Grundlagen

Aktuelle Beiträge zum Thema Personenbezogenen Daten