Person mit Tablet

Datenschutz bei personenbezogenen Daten

Was sind personenbezogene Daten und welche Vorgaben gibt es zum Beispiel zu Weitergabe und Löschung?

  • Über 2.000 Kunden in Deutschland und Europa
  • Team von 80+ Fachexperten
  • DEKRA- und TÜV-zertifiziertes Expertenteam

Externer Datenschutzbeauftragter

Personenbezogene Daten nach DSGVO

Der Umgang mit personenbezogenen Daten ist ein von Unternehmen oft vernachlässigter Bereich. Doch wer Daten von Kunden und Mitarbeitern erfasst, muss sich damit auseinandersetzen, ob es sich dabei um personenbezogene Daten handelt. Der Umgang mit diesen Daten unterliegt besonderen Regeln. Personenbezogene Daten werden in der DSGVO definiert. Informieren Sie sich hier, ob Sie in Ihrem Unternehmen personenbezogene Daten erheben und wie Sie mit diesen umgehen müssen.



1. Was sind personenbezogene Daten?

Gemäß Art. 4 Nr. 1 DSGVO fallen unter den Begriff personenbezogene Daten alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Jeder Mensch gilt, Zeit seines Lebens, als natürliche Person. Als identifizierbar gilt eine Person dann, wenn sie direkt oder indirekt identifiziert werden kann. Eine Person wird beispielsweise identifizierbar durch Zuordnung einer Kennung (z.B. Kundennummer, Personalnummer oder Onlinekennung) oder durch die Kombination mehrerer Informationen. Dabei ist es ausreichend, wenn die Daten die Identifizierung der betroffenen Person theoretisch ermöglichen, nicht ob die Person tatsächlich identifiziert wird. 

Art. 4 Nr. 1 DSGVO stellt klar, dass unter personenbezogene Daten Angaben fallen, welche Einblicke in die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität von natürlichen Personen ermöglichen.   
Offensichtlich fallen daher beispielsweise Namen und Telefonnummern unter personenbezogene Daten. Daneben sind aber auch das Aussehen einer Person oder sogar die IP-Adresse dazu geeignet, eine Person zu identifizieren. Darüber hinaus können auch weniger eindeutige Informationen, wie beispielsweise die Arbeitszeiten oder ein Streckenverlauf unter personenbezogenen Daten fallen.

Infografik personenbezogene Daten

2. Personenbezogene Daten im Unternehmen

Unternehmen, die sich unmittelbar oder mittelbar mit Datenverarbeitung befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes sowie unter spezifische Regelungen. In Art. 5 Abs. 1 DSGVO sind die Grundsätze für die Verarbeitung personenbezogener Daten festgelegt. Diese Grundsätze sind bei der Verarbeitung personenbezogener Daten im Unternehmen unbedingt zu berücksichtigen – deren Einhaltung muss darüber hinaus vom Verantwortlichen nachgewiesen werden können (sog. Rechenschaftspflichten, Art. 5 Abs. 2 DSGVO).

Gemäß Art. 5 Abs.1 DSGVO gelten die folgenden Grundsätze:

  • Rechtmäßigkeit der Verarbeitung: Nach Art. 6 DSGVO ist eine Verarbeitung bei Vorliegen einer entsprechenden Rechtsgrundlage oder einer Einwilligung des Betroffenen rechtmäßig.

  • Verarbeitung nach Treu und Glauben: Da die Generalklausel sehr abstrakt formuliert ist, ist eine Beurteilung nur am konkreten Einzelfall unter Beurteilung der Gesamtumstände möglich. Hierunter fällt beispielsweise der Vorrang der Direkterhebung, wonach der Verantwortliche personenbezogene Daten direkt beim Betroffenen und nicht indirekt durch einen Dritten erheben soll, da der Betroffene regelmäßig mit einer Dritterhebung nicht rechnen kann.

  • Transparenz: Dem Grundsatz der Transparenz soll etwa durch die Informationspflichten der Art. 12ff. DSGVO nachgekommen werden. Dieser Grundsatz soll gewährleisten, dass die Betroffenen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können und zu jederzeit wissen und verstehen, wer, wozu, wie ihre personenbezogenen Daten verarbeitet.

  • Zweckbindung: Jeder Verarbeitung personenbezogener Daten muss ein bestimmter Zweck zugrunde liegen. Die Erhebung personenbezogener Daten darf nach Art. 5 Abs. 1b DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.

  • Datenminimierung: Personenbezogene Daten müssen gemäß Art. 5 Abs. 1c DSGVO dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es gilt also der Grundsatz: so wenig personenbezogene Daten wie möglich erheben.

  • Richtigkeit der Datenverarbeitung: Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und auf dem neuesten Stand sein. Betroffene haben gemäß Art. 16 DSGVO das Recht, die Berichtigung unrichtiger Daten zu verlangen.

  • Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Ist die Speicherung für die Zwecke, für die sie verarbeitet werden, nicht mehr notwendig, so müssen die Daten gemäß Art. 17 Abs.1a DSGVO gelöscht werden.

  • Integrität und Vertraulichkeit: Personenbezogene Daten müssen darüber hinaus gemäß Art. 5 Abs. 1f DSGVO in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung. Dies soll durch geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO erfolgen.

3. Arten personenbezogener Daten

Personenbezogene Daten stehen im Mittelpunkt der datenschutzrechtlichen Regelungen in der Datenschutzgrundverordnung (DSGVO). Es handelt sich nach der gesetzlichen Definition um Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (Betroffener) beziehen. Man unterscheidet zwischen verschiedenen Arten von personenbezogenen Daten. Aus datenschutzrechtlicher Sicht ist ihr Schutzbedürfnis dabei unterschiedlich ausgeprägt. Einige Kategorien von personenbezogenen Daten gelten als besonders sensibel und genießen einen erhöhten rechtlichen Schutz. Der Umgang mit ihnen fordert erhöhte Achtsamkeit.

Besonders schutzwürdige personenbezogene Daten


Zu besonderen Kategorien personenbezogener Daten gehören nach Art. 9 Abs. 1 DSGVO Angaben zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschauliche Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zur Gesundheit, zum Sexualleben oder sexuellen Orientierung sowie genetische und biometrische Daten, die in Art. 4 Nr. 13 und 14 DSGVO definiert werden.

Die Verarbeitung von besonderen Kategorien personenbezogener Daten


Die Datenschutzgrundverordnung verbietet die Verarbeitung besonderer Kategorien personenbezogener Daten. Die Verarbeitung dieser Daten ist nur in besonderen Ausnahmefällen gestattet. Einer der wichtigsten betrifft die Verarbeitung aufgrund einer ausdrücklichen Einwilligung durch den Betroffenen nach Art. 9 Abs. 2 lit. a DSGVO.

Einwilligung in die Verarbeitung von besonderen Kategorien personenbezogener Daten

Die Einwilligung zur Verarbeitung muss ausdrücklich erfolgen und sich explizit auf die Verarbeitung von besonderen Kategorien personenbezogener Daten beziehen, nachdem der Betroffene auf die Sensitivität der Daten hingewiesen worden ist. Schlüssiges Handeln ist nicht ausreichend. Des Weiteren muss die Einwilligung freiwillig erfolgen. Insbesondere im Rahmen entsprechender Rechtsverhältnisse, wie zum Beispiel einem Arbeitsverhältnis, kann die Freiwilligkeit infrage stehen, wenn der Arbeitnehmer in einer speziellen Abhängigkeit zum Arbeitgeber steht. Freiwilligkeit wird angenommen, wenn für die beschäftigte Person mit der Einwilligung ein rechtlicher beziehungsweise wirtschaftlicher Vorteil erreicht werden soll. Die Freiwilligkeit einer Einwilligungserklärung eines Arbeitnehmers ist nur gegeben, wenn trotz rechtlichem Über-Unterordnungsverhältnis zu seinem Arbeitgeber die Verweigerung der Einwilligungserklärung keine nachteiligen Konsequenzen mit sich bringt – z. B. wenn die Verweigerung zur Veröffentlichung des Mitarbeiterfotos auf Xing nicht den Ausschluss von Firmen-Events zur Folge hat. Wichtig ist, dass auch den Arbeitgeber die oben genannte Hinweispflicht über die Verarbeitung treffen. Der Arbeitnehmer muss über den festgelegten Zweck der Verarbeitung aufgeklärt und entsprechend über sein Widerrufsrecht nach Art. 7 Abs. 3 S.1 DSGVO in Kenntnis gesetzt werden.

Besondere Kategorien von personenbezogenen Daten beachten

Aufgrund ihrer Schutzbedürftigkeit und der Eingriffsintensität in die Rechte und Freiheiten Betroffener, unterliegen die besondere Kategorien personenbezogener Daten zusätzlichen Anforderungen. So ist bei deren Verarbeitung schneller eine Einwilligungserklärung der betroffenen Person einzuholen. Um den Anforderungen der DSGVO gerecht zu werden, sollten nicht nur die technischen und organisatorischen Maßnahmen in diesem Bereich überprüft werden, sondern auch die entsprechenden Formulierungen in Einwilligungserklärungen. Im Zweifel muss vor der Verarbeitung besonderer Kategorien personenbezogener Daten immer geprüft werden, ob diese von einem Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO gedeckt ist. Dabei kommen neben der Einwilligung durch den Betroffenen noch weitere Erlaubnistatbestände infrage. Insgesamt sollten sich Unternehmen immer bewusst sein, dass die Verarbeitung von besonderen Kategorien personenbezogener Daten die Ausnahme darstellt.

Was macht personenbezogene Daten so schützenswert?


Aus Sicht des Datenschutzes ist der Umgang mit personenbezogenen Daten eine heikle Angelegenheit. Diese Daten erlauben in besonderer Weise die Identifikation einer bestimmten Person und lassen auch Rückschlüsse auf die Lebensführung zu (vgl. Besonders schützenswürdige personenbezogene Daten).

Personenbezogene Daten sind für Unternehmen „bares Geld“, da sie unter anderem dazu dienen können, gezielte Marketing- und Verkaufsstrategien auf den Einzelnen anzuwenden. Entsprechende Instrumente sind im Adress- und Datenhandel zu sehen. Hier legt der Gesetzgeber teilweise besonders strenge Maßstäbe an den Datenschutz an, auch wenn solche an sich eigentlich nicht verboten sind. Teilweise überlappt sich der Datenschutz mit anderen Persönlichkeitsrechten wie dem Recht am eigenen Bild. Fotografien anderer Personen dürfen beispielsweise nicht ohne weiteres veröffentlicht werden. Im Social Media Bereich wird das oft vergessen.

4. Umgang mit personenbezogenen Daten

Personenbezogene Daten beziehen sich auf eine bestimmte Person oder machen eine Person bestimmbar. An diesem Terminus setzt die Datenschutzgrundverordnung an. Diese knüpft dabei nur an natürlichen Personen an, nicht an die Daten juristischer Personen. Der Umgang mit diesen personenbezogenen Daten ist besonderen Regeln unterworfen.

Was prägt den Umgang mit personenbezogenen Daten aus Sicht der Betroffenen?


Ein wesentlicher Gesichtspunkt im Hinblick auf personenbezogene Daten sind die Grundsätze der Verarbeitung gemäß Art. 5 DSGVO. Die Verarbeitung solcher Daten ist nur rechtmäßig, wenn eine der Bedingungen des Art. 6 Abs. 1 lit. a bis f DSGVO erfüllt ist. Im Unternehmensalltag heißt das zum Beispiel, dass bestimmte Datenverarbeitungen beim Besuch von Webseiten, wie das Setzen von Marketing-Cookies, nur zulässig sind, wenn der Dateninhaber ausdrücklich eingewilligt hat. Betroffene sollten im Übrigen auch selbst sorgsam mit ihren personenbezogenen Daten umgehen und diese nicht leichtfertig herausgeben.

Der Umgang mit personenbezogenen Daten in Unternehmen

Unternehmen werden daran gemessen, wie sie mit personenbezogenen Daten umgehen, sprich wie ernst sie das Thema Datenschutz nehmen. Dabei hat sich die rechtskonforme Herangehensweise von Unternehmen beim Thema Datenschutz längst zu einem harten Wettbewerbsvorteil sowohl im Bereich B2B als auch im Endkundensegment entwickelt. Unternehmen werden im Hinblick auf ihren Internetauftritt und den dort realisierten Datenschutzbestimmungen in Bezug auf personenbezogene Daten bewertet.

Was bedeutet der Umgang mit personenbezogenen Daten für die Unternehmenspraxis?


Die Unternehmen haben bei der Verarbeitung von personenbezogenen Daten bestimmte Grundsätze zu befolgen. Ein willkürliches und ungeplantes „Datensammeln“ ist nicht erlaubt. Die Verarbeitung von personenbezogenen Daten darf nur rechtmäßig, zweckgebunden und sachlich richtig erfolgen. Außerdem ist sie ihrem Umfang nach auf Daten zu beschränken, die zur Zweckerfüllung notwendig sind. Ob Internethändler beispielsweise zwingend eine Telefonnummer brauchen, um eine Bestellung abzuwickeln, ist fraglich. Daten dürfen nicht länger als notwendig gespeichert werden, müssen also gelöscht werden, wenn der Zweck der Verarbeitung erfüllt wurde.

Datenschutz umfasst technische und organisatorische Maßnahmen, die das Unternehmen anzuwenden hat. Mitarbeiter müssen zur Vertraulichkeit und zur Beachtung des Datenschutzes verpflichtet werden. Insgesamt ist im Umgang mit personenbezogenen Daten von Unternehmensseite her immer besondere Aufmerksamkeit gefragt, damit relevante Vorschriften in diesem Bereich nicht übersehen und vor allem auch angemessen umgesetzt werden.

5. Weitergabe von personenbezogenen Daten

Obwohl die Weitergabe personenbezogener Daten zu den klassischen Verarbeitungsformen gehört und insoweit schon lange im Fokus entsprechender datenschutzrechtlicher Regelungen steht, bereitet das Thema in der praktischen Anwendung vielen Unternehmen Schwierigkeiten.

Die Weitergabe personenbezogener Daten als intensiver Eingriff
 

Wer personenbezogene Daten weitergibt, greift nachhaltig in die Rechte der betroffenen Person ein. Deshalb müssen sowohl Unternehmen als auch Privatpersonen vor einer solchen Weitergabe prüfen, ob ihr Verhalten rechtmäßig nach Art. 6 DSGVO ist. Jede Form von Unachtsamkeit und Fahrlässigkeit an dieser Stelle im Umgang mit personenbezogenen Daten kann rechtliche Sanktionen wie Bußgelder und vor allem auch faktische Folgen für die betroffene Person mit sich ziehen. Man kann davon ausgehen, dass die Weitergabe von personenbezogenen Daten auch im besonderen Interesse der Aufsichtsbehörden liegt. Vor dem Hintergrund der durch die DSGVO festgesetzten hohen Bußgelder, sollten sich Unternehmen gründlich mit der Thematik auseinandersetzen. Außerdem ist man bei einem Verstoß gegen entsprechende Datenschutzvorschriften auch schnell im Bereich weiterer rechtlicher Verstöße wie der Verletzung des Persönlichkeitsrechts angekommen. Das kann zu erheblichen Schadensersatzforderungen führen.

In unserem Video erkären wir Ihnen genau, welche Voraussetzungen erfüllt sein müssen, damit personenbezogene Daten weitergegeben werden dürfen.

6. Löschen von personenbezogenen Daten

Wer Daten sammelt, muss auf der anderen Seite auch für die Löschung und Vernichtung sorgen, sobald bestimmte Bedingungen gegeben sind. Die DSGVO setzt unter anderem europaweit das sogenannte Recht auf Vergessenwerden  um. Die Rechte der Betroffenen werden dadurch deutlich gestärkt und die Pflichten der Unternehmen beim Löschen und Vernichten von Daten erweitert.

Was heißt Löschen von Daten?


Weder die entsprechenden Vorschriften im Bundesdatenschutzgesetz noch der einschlägige Art. 17 DSGVO definieren den Begriff „Daten löschen“. Grundsätzlich gilt: gelöscht ist, was nicht mehr wiederhergestellt werden kann. Sind die Daten also auf einem wiederbeschreibbaren Medium gespeichert worden, sind sie mit einer entsprechend darauf ausgerichteten Löschsoftware endgültig und wirksam vom Datenträger zu löschen. Im Kontext von Internet- und Programmanwendungen kann die Löschung von Daten für eine Löschung der entsprechenden Verknüpfung beziehungsweise der Kodierung stehen. Löschen und Vernichten von Daten kann technisch daher unterschiedliche Maßnahmen erfassen.

Relevante Löschungstatbestände


Art. 17 Abs. 1 DSGVO stellt einen Katalog von Löschungstatbeständen vor. Danach sind Daten zu löschen, wenn:

  • der Zweck der Datenverarbeitung weggefallen ist. Hintergrund ist der Gedanke, dass die entsprechenden Daten nicht mehr benötigt werden.

  • der Dateninhaber seine Einwilligung zur Datenerhebung widerruft. Wenn es keine andere Rechtsgrundlage für die Datenverarbeitung gibt, fehlt in diesem Fall eine rechtliche Basis für die zukünftige Speicherung der Daten.

  • der Dateninhaber Widerspruch gegen eine Datenverarbeitung eingelegt hat. Auch hier fehlt es an einer Rechtsgrundlage für die entsprechende Datenverarbeitung, wenn keine weiteren Gründe für das Unternehmen zur Datenverarbeitung bestehen.

  • feststeht, dass die personenbezogenen Daten von vornherein unrechtmäßig erhoben beziehungsweise verarbeitet wurden. In diesem Fall fehlte es von Beginn an einer Rechtsgrundlage für die Datenverarbeitungsmaßnahme.

  • der Löschungsvorgang in Erfüllung einer Rechtspflicht nach EU-Recht oder auf nationaler Rechtsgrundlage notwendig ist.

  • es sich um personenbezogene Daten eines Kindes handelt, die im Kontext von entsprechenden Dienstleistungen aus dem Bereich des Internets erhoben worden sind. Personenbezogene Daten von Kindern fallen unter besonderen Schutz und sollen nicht im Rahmen von Internetangeboten wie Webshops, Online-Spielen oder anderen Medien gesammelt werden.

Daten vernichten – weitere Anforderungen an die Umsetzung


Ist ein Löschungsgrund gegeben, muss das Unternehmen die Daten unverzüglich löschen. Unverzüglich heißt, die Löschungsvorgänge sind ohne schuldhaftes Zögern vorzunehmen. Das bedeutet, dass dem Verantwortlichen – abgestellt auf den konkreten Einzelfall – eine angemessene Zeit zur Umsetzung des Löschvorgangs ohne eigene Verzögerungen zusteht. Im Falle eines Betroffenenantrages auf Löschung seiner Daten muss der Betroffene:

  • spätestens innerhalb eines Monats nach Zugang seines Löschungsantrags über entsprechende Maßnahmen zur Löschung informiert werden

  • oder über die Gründe informiert werden, die zu einer Ablehnung seines Antrags führen.

Wer Daten erhebt und verarbeitet, muss regelmäßig selbst prüfen, ob und wann ein Löschungsgrund für die erhobenen Daten relevant wird. In diesem Kontext ist auch zu beachten, dass bei Vorliegen einer Löschungspflicht sämtliche Empfänger von Daten über den Löschungsvorgang zu informieren sind (folgt aus Art. 19 DSGVO und Art.17 Abs. 2 DSGVO).

Die Mitteilungspflichten gegenüber einer unbestimmten Anzahl von Adressaten hat besondere Bedeutung, weil auch mit dieser Vorschrift die Rechte der Betroffenen gestärkt werden. Die Mitteilungspflichten beziehen sich sogar auf Adressaten, die außerhalb der Europäischen Gemeinschaft ansässig sind. Die Vorschrift in der EU-Datenschutzgrundverordnung kann Unternehmen zukünftig vor gewisse technische Herausforderungen stellen. Als Umsetzungsakte sind insbesondere

  • Veröffentlichungen zum Löschungstatbestand auf Webseiten des datenverarbeitenden Unternehmens oder dort, wo die betroffenen Daten primär veröffentlicht wurden, vorzunehmen.

  • Techniken analog dem Digital Rights Management anzuwenden, was allerdings zurzeit noch strittig ist.

Löschungsanspruch von Betroffenen


Betroffene Personen können selbstständig einen entsprechenden Antrag auf Löschung ihrer Daten beim Unternehmen stellen. Es wird empfohlen, diesen Antrag in Textform (z. B. E-Mail) zu verfassen. Einher geht der Antrag mit einer entsprechenden Identitätsprüfung des Antragstellers. Dieser Löschungsanspruch ist auch im Kontext von Art. 15 DSGVO zu sehen, nachdem Auskunftsrechte zu gesammelten und gespeicherten Daten bestehen. Sollte eine Löschung abgelehnt werden, hat die datenverarbeitende Stelle diese Ablehnung zu begründen.

Häufig gestellte Fragen zu personenbezogenen Daten

Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nr. 1 DSGVO). Eine Person wird identifizierbar durch die Zuordnung einer Kennung oder durch die Kombination mehrerer Informationen. Es genügt dabei, wenn die Daten die Identifizierung der betroffenen Person theoretisch ermöglichen.

Unter den personenbezogenen Daten definieren BDSG (§ 46 Nr. 14 a-e BDSG-neu) und DSGVO (Artikel 4, 9 DSGVO) einige Daten als besonders schützenswert. Besonders schützenswert sind demzufolge Daten, welche Angaben zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschauliche Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zur Gesundheit, zum Sexualleben oder der sexuellen Orientierung machen, oder bei welchen es sich um genetische und biometrische Daten handelt. Die DSGVO verbietet die Verarbeitung dieser Daten und reglementiert besondere Ausnahmefälle, in welchen die Verarbeitung dieser Daten gestattet ist, beispielsweise die Verarbeitung aufgrund einer ausdrücklichen Einwilligung durch den Betroffenen nach Art. 9 Abs. 2a DSGVO.

Personenbezogene Daten ermöglichen die Identifikation einer Person und lassen Rückschlüsse auf deren Lebensführung zu. Gleichzeitig ist Big Data zu einem wichtigen Wettbewerbsfaktor geworden, für viele Unternehmen sind personenbezogene Daten die Grundlage ihres Geschäftsmodells. Marketing- und Verkaufsstrategien können auf den Einzelnen angewandt werden, beispielsweise durch personalisierte Werbung. Parallel dazu steigt bei den Verbrauchern die Wahrnehmung zunehmend zum gläsernen Menschen zu werden, und Fälle von Datenklau und Datenmissbrauch durch Phishing führen zu Besorgnis. Die DSGVO legt daher Grundsätze und Spielregeln fest, die Unternehmen und Behörden in die Pflicht nehmen, den Schutz der Daten ihrer Kunden zu gewährleisten.

Informationen über juristische Personen wie Gesellschaften, Vereine und Stiftungen werden nicht durch die DSGVO geschützt. Des Weiteren lassen vollständig anonymisierte Daten keinen Rückschluss auf eine Person zu, sind daher keine personenbezogenen Daten und fallen nicht unter den Anwendungsbereich der DSGVO. Problematisch können pseudonymisierte Daten sein, die mit Zusatzwissen die Bestimmung einer Person ermöglichen – in aller Regel handelt es sich dabei um personenbezogene Daten und die Vorgaben der DSGVO müssen auch für diese pseudonymisierten Daten beachtet werden. Jedoch müssen bei pseudonymisierten Daten häufig nicht ganz so strikte Sicherheitsmaßnahmen angewendet werden, da die Pseudonymisierung an sich schon eine solche Schutzmaßnahme ist.

Personenbezogene Daten dürfen von Unternehmen nur für eindeutige und legitime Zwecke erhoben und verarbeitet werden – dies besagt die sogenannte Zweckbindung. Das heißt konkret, dass die erhobenen Daten gelöscht werden müssen, sobald der Zweck, für den Sie erhoben wurden – zum Beispiel eine Reklamation – erfüllt wurde. Liegt eine gesetzliche Aufbewahrungsfrist (z.B. aus dem Steuerrecht) für die personenbezogenen Daten vor, müssen diese erst nach Ablauf der Aufbewahrungsfrist gelöscht werden.

Wenn Sie mit der Verarbeitung Ihrer personenbezogenen Daten nicht mehr einverstanden sind, dann können Sie von Ihrem Recht auf Löschung nach Art. 17 DSGVO Gebrauch machen. Schreiben Sie dazu einfach dem betreffenden Unternehmen, von dem Sie z.B. einen Newsletter abonniert haben, dass Sie Ihre Einwilligung zur Verarbeitung Ihrer Daten widerrufen und die Löschung der Daten fordern. Bitten Sie zudem um eine Bestätigung der Aktion. Das entsprechende Unternehmen muss dann innerhalb eines Monats Ihrer Anfrage nachkommen. Wird die Löschung abgelehnt, so muss das Unternehmen dies stichhaltig, z.B. mit einer gesetzlichen Pflicht zur Aufbewahrung, begründen. Weitere Informationen hierzu finden Sie auf der Seite zum Thema „Recht auf Löschung“.


Weitere Themen in der Kategorie Datenschutz Grundlagen

Aktuelle Beiträge zum Thema Personenbezogenen Daten

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr