2. September 2022

Was sind personenbezogene Daten? – DSGVO

Inhaltsverzeichnis
Blogbeitrag personenbezogene Daten

Personenbezogene Daten stehen im Mittelpunkt der DSGVO (Datenschutz-Grundverordnung). Viele Organisationen sind sich jedoch immer noch nicht sicher, was genau „personenbezogene Daten“ sind.

Das ist besorgniserregend, denn wenn Organisationen ihre Compliance-Anforderungen nicht erfüllen, riskieren sie Datenschutzverletzungen und Disziplinarmaßnahmen.

Dennoch können wir verstehen, warum Unternehmen mit diesem Aspekt der DSGVO immer noch Schwierigkeiten haben. Vor allem, wenn sie keinen eigenen Datenschutzbeauftragten haben.

Das Problem ist, dass die Verordnung keine endgültige Liste enthält, was personenbezogene Daten sind und was nicht. Es liegt an den Unternehmen, die Definition der DSGVO richtig zu interpretieren:

Personenbezogene Daten sind Angaben über eine bestimmte oder eine bestimmbare Person. Der Begriff entstammt dem Datenschutzrecht.

https://de.wikipedia.org/

Mit anderen Worten werden personenbezogene Daten als alle Informationen definiert, die sich eindeutig auf eine bestimmte Person beziehen.

Die DSGVO sagt, dass Informationen immer dann als personenbezogene Daten gelten, wenn eine Person direkt oder indirekt identifiziert werden kann. Dies kann „durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Das ist eine ganze Menge an Informationen. Unter bestimmten Umständen kann die IP-Adresse, die Haarfarbe, der Beruf oder die politische Meinung einer Person als personenbezogene Daten betrachtet werden.

Die Einschränkung „unter bestimmten Umständen“ ist hervorzuheben, denn ob Informationen als personenbezogene Daten gelten, hängt oft von dem Kontext ab, in dem sie erhoben werden.

Kontext ist alles bei personenbezogenen Daten

Unternehmen sammeln in der Regel viele verschiedene Arten von Informationen über Personen. Selbst wenn ein Teil der Daten eine Person nicht individualisiert, kann er zusammen mit anderen Informationen relevant werden.

Ein Unternehmen bittet um die Eingabe des Berufs, der Person, welche ein Dokument von der Webseite herunterladen will.

Dies fällt nicht in den Anwendungsbereich der DSGVO, da eine Berufsbezeichnung höchstwahrscheinlich nicht nur für eine Person gilt und diese einmalig identifiziert. Ausgenommen ist wahrscheinlich nur Kanzler:in :D.

In ähnlicher Weise könnte ein Unternehmen zusätzlich nach dem Unternehmen fragen, für das die Person arbeitet, was wiederum nicht zur Identifizierung einer Person verwendet werden könnte, es sei denn, sie wäre der einzige Mitarbeiter.

In vielen Fällen können diese Informationen jedoch zusammen verwendet werden, um die Zahl der natürlichen, lebenden Personen so weit einzugrenzen, dass Sie die Identität einer Person mit einiger Sicherheit feststellen können. Mit anderen Worten: Wenn Sie sich auf eine Person mit einer bestimmten Berufsbezeichnung in einer bestimmten Organisation beziehen, kann es nur eine Person geben, auf die diese Beschreibung passt.

Leitpfaden, was personenbezogene Daten sind (oder sein könnten)

Wie wir bereits erklärt haben, kann es schwierig sein zu sagen, ob bestimmte Informationen der DSGVO-Definition von personenbezogenen Daten entsprechen.

  • Biografische Informationen oder die aktuelle Lebenssituation, einschließlich Geburtsdaten, Sozialversicherungsnummern, Telefonnummern und E-Mail-Adressen.
  • Aussehen, Erscheinungsbild und Verhalten, einschließlich Augenfarbe, Gewicht und Charaktereigenschaften.
  • Daten über den Arbeitsplatz und Informationen über die Ausbildung, einschließlich Gehalt, Steuerinformationen und Studentennummern.
  • Private und subjektive Daten, einschließlich Religionszugehörigkeit, politische Meinungen und Geotracking-Daten.
  • Gesundheit, Krankheit und Genetik, einschließlich Krankengeschichte, genetische Daten und Informationen über Krankheitsurlaub.

Wie sollten Unternehmen mit personenbezogenen Daten umgehen?

Wenn Sie sich nicht sicher sind, ob es sich bei den von Ihnen gespeicherten Informationen um personenbezogene Daten handelt oder nicht, sollten Sie auf Nummer sicher gehen.

Das bedeutet, dass Sie sicherstellen müssen, dass die Verarbeitung personenbezogener Daten auf das Notwendige beschränkt ist und dass Sie die Daten nur so lange aufbewahren, wie sie ihren Zweck erfüllen.

Sie sollten auch die Pseudonymisierung und/oder Verschlüsselung von Informationen in Erwägung ziehen. Insbesondere, wenn es sich um eine besondere Kategorie personenbezogener Daten nach Art. 9 DSGVO handelt.

Bei der Pseudonymisierung werden Daten maskiert, indem identifizierende Informationen durch künstliche Identifikatoren ersetzt werden.

Obwohl sie für den Datenschutz von zentraler Bedeutung ist und zum Schutz der Privatsphäre und der Sicherheit personenbezogener Daten beitragen kann, hat die Pseudonymisierung ihre Grenzen. Aus diesem Grund wird in der Datenschutz-Grundverordnung auch die Verschlüsselung erwähnt wird.

Auch bei der Verschlüsselung werden Informationen unkenntlich gemacht, indem Identifikatoren durch etwas anderes ersetzt werden. Während jedoch bei der Pseudonymisierung jeder, der Zugang zu den Daten hat, einen Teil des Datensatzes einsehen kann, erlaubt die Verschlüsselung nur zugelassenen Nutzern den Zugriff auf den gesamten Datensatz.

Pseudonymisierung und Verschlüsselung können gleichzeitig oder getrennt verwendet werden.

Fragen Sie uns!

Fragen Sie einen Datenschutzbeauftragten, wenn Sie unsicher sind.
Diejenigen, die eine kontinuierliche Beratung zum Umgang mit den von ihnen erhobenen personenbezogenen Daten suchen, sollten sich an einen Datenschutzbeauftragten (DSB) wenden.

Ein DSB ist ein unabhängiger Experte, der Organisationen bei der Einhaltung der DSGVO berät. Er ist für zahlreiche Aufgaben zuständig, darunter:

Information und Beratung der Organisation und ihrer Mitarbeiter über ihre Pflichten;
Überwachung der Datenschutzrichtlinien und -verfahren der Organisation;
Empfehlungen an die Geschäftsleitung, wenn Datenschutz-Folgenabschätzungen erforderlich sind und
als Kontaktstelle zwischen der Organisation und ihrer Aufsichtsbehörde zu fungieren.
Die Datenschutz-Grundverordnung schreibt vor, dass bestimmte Unternehmen einen Datenschutzbeauftragten bestellen müssen – aber selbst wenn Sie diese Kriterien nicht erfüllen, kann es von großem Nutzen sein, einen solchen zu bestellen.

Weitere Artikel
DSGVO Strafen
Höhe der Bußgelder bei DSGVO-Verstößen

Wer die Regeln der DSGVO nicht einhält, kommt um ein Bußgeld selten herum. Welche Bußgelder, für welches Vergehen gezahlt werden, ist dabei sehr unterschiedlich.

Blogbeitrag WordPress
WordPress-Sicherheit – Was ist zu tun!

WordPress ist das meistgenutzte CMS weltweit. Aus diesem Grund wächst auch das Interesse Cyberkrimineller. Wie du dich richtig schützen kannst und worauf zu achten ist, zeigen wir dir!