Datenschutztag 2021
29. Januar 2021

Was sind personenbezogene Daten und warum muss man sie schützen?


Inhalt:

  1. Was sind personenbezogene Daten?
  2. Wer muss personenbezogene Daten schützen?
  3. Wann dürfen personenbezogene Daten verarbeitet werden?
  4. Umgang mit personenbezogenen Daten
  5. Weitergabe von personenbezogenen Daten

Was sind personenbezogene Daten?

Unter dem Begriff personenbezogene Daten fasst man alle Daten zusammen, die eindeutig einer natürlichen Person zugeordnet werden können. Das sind zum Beispiel:

  • Geschlecht
  • Hautfarbe
  • Name
  • Alter
  • Adresse
  • Telefon- oder Sozialversicherungsnummer
  • Krankendaten oder Zeugnisse u. v. m.

Die Form der Angaben ist dabei nicht von Belang. Auch Bilder, Video- oder Tonbandaufnahmen können personenbezogene Daten beinhalten. Als besonders schützenswerte Daten gelten:

  • die ethnische und kulturelle Herkunft
  • die politische, religiöse gewerkschaftliche oder sexuelle Orientierung von Personen

Die Richtlinien für die Verarbeitung und Anonymisierung von personenbezogenen Daten sind in der Datenschutzgrundverordnung (DSGVO) festgelegt.

Was zählt nicht zu den personenbezogenen Daten?

Nicht alle Daten sind personenbezogene Daten nach Maßgabe der DSGVO. Oft ist es jedoch nicht so einfach, eine klare Zuordnung vorzunehmen.

Keine personenbezogenen Daten sind alle Informationen, die anonymisiert sind. Sie erlauben keinen Rückschluss auf eine identifizierte oder identifizierbare Person. Ebenfalls als nicht personenbezogen gelten Sachdaten, da diese sich nicht auf eine Person, sondern auf einen Gegenstand beziehen.

Keine personenbezogene Daten

Wichtige Ausnahmen sind zudem Informationen, die sich auf eine juristische Person beziehen. Dazu gehören:

  • Vereine
  • Aktiengesellschaften
  • GmbHs
  • Genossenschaften
  • Behörden
  • Stiftungen

Juristische Personen fallen somit nicht in den Schutzbereich der Datenschutzgrundverordnung – es sei denn, die Information erstreckt sich bis auf die natürliche Person, die hinter der juristischen Person steht. Dazu zählen beispielsweise Geschäftsführer, Mitglieder im Aufsichtsrat oder Shareholder.

Wer muss personenbezogene Daten schützen?

Besonders im Arbeitsalltag ergibt sich eine Vielzahl an Berührungspunkten mit personenbezogenen Daten. Das gilt beispielsweise für Mitarbeitende im Personalmanagement, aber auch für Mitarbeitende in der Logistik, im Rechnungswesen, bei der IT-Sicherheit und auch im Kundenservice.

Link zu unseren Datenschutzschulungen für Mitarbeitende

Wichtig in diesem Zusammenhang: Gibt es im Unternehmen in der täglichen Arbeit Berührungspunkte mit personenbezogenen Daten, ist der Datenschutz uneingeschränkt zu beachten.

In der Konsequenz heißt das: Sämtliche Vorgaben aus der DSGVO sind anzuwenden – dazu zählt insbesondere, dass die personenbezogenen Daten ohne Einwilligung der Betroffenen nicht an Dritte weitergegeben werden dürfen.

Wann dürfen personenbezogene Daten verarbeitet werden?

Das Sammeln und die Verarbeitung personenbezogener Daten ist erlaubt, sobald die betroffene Person eingewilligt hat, dass ihre Daten:

  • erhoben
  • gespeichert
  • verändert
  • verarbeitet
  • weitergeben werden dürfen

Auch im Falle einer vertraglichen Verpflichtung oder zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht) ist eine Verarbeitung und das Verwenden von personenbezogenen Daten erlaubt.

Dies gilt ebenfalls, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist bzw. zum Schutz lebenswichtiger Interessen einer Person erfolgt oder wenn das berechtigte Interesse der Organisation an der Verarbeitung gegenüber den Interessen der betroffenen Person überwiegt.

Umgang mit personenbezogenen Daten

Der Umgang mit personenbezogenen Daten wird auf europäischer Ebene durch die Datenschutzgrundverordnung (kurz: DSGVO) geregelt. Dabei kommt dem Schutz der sensiblen Daten eine besondere Relevanz zu.

Europäischer Datenschutztag

Das rechtskonforme Verhalten von Unternehmen, die personenbezogene Daten erheben und verarbeiten, muss gewährleistet werden. Leider ist es für Unternehmen bzw. für Mitarbeitende in der täglichen Arbeit nicht immer klar:

  • wann und wo mit personenbezogenen Daten gearbeitet wird
  • was überhaupt zulässig beim Umgang mit personenbezogenen Daten ist
  • wo bereits geprüfte Prozesse im Unternehmen bestehen
  • ob die betroffene Person überhaupt weiß, dass personenbezogene Daten abgefragt werden
  • welche Informationen an die Betroffenen rechtlich weitergegeben werden müssen
  • in welchen Fällen der/die Datenschutzbeauftragte gefragt ist
  • wann Datenschutz eine Rolle spielt und wann nicht

In unseren Online-Datenschutzschulungen lernen Sie, was Unternehmen beim Umgang mit personenbezogenen Daten beachten müssen und wo Fallstricke liegen, die unbedingt zu vermeiden sind.

Sicher haben sich viele Mitarbeitende, die mit sensiblen Kundendaten im Unternehmen zu tun haben, diese oder ähnliche Fragen bereits gestellt. Dazu erklärt Datenschutzexpertin und Rechtsanwältin Kathrin Schürmann:

„In der Regel werden Sie relativ wenig mit personenbezogenen Daten von Kundinnen und Kunden zu tun haben, außer Sie arbeiten im Kundenservice Ihres Unternehmens. Dort kommt es sicherlich häufiger vor, dass beispielsweise Auskunftsanfragen oder Anfragen zur Löschung, Sperrung oder Berichtigung an Sie gerichtet werden. Es kann aber auch in anderen Abteilungen dennoch vorkommen. Falls Sie also zum Beispiel eine E-Mail bekommen, in der eine betroffene Person Auskunft über die bei Ihnen gespeicherten Daten verlangt, ist es wichtig, dass sie diese Anfrage keinesfalls ignorieren. Auch dann, wenn Sie nicht mit dem Prozess vertraut sind, es also keine Templates für Ihren Bereich gibt, sollten Sie diese E-Mail nicht löschen, sondern Ihre Datenschutzbeauftragten um Rat fragen oder ihnen diese Mail weiterleiten. Er oder Sie wird mit den definierten Prozessen in Ihrem Unternehmen vertraut sein und Ihnen kompetent weiterhelfen.

Um zu verstehen, warum der Umgang mit personenbezogenen Daten im Unternehmen zum Problem oder Risiko werden kann, muss klar sein, um was es sich dabei überhaupt handelt und wo in der täglichen Arbeit Berührungspunkte zu erwarten sind.

Die Bandbreite von personenbezogenen Daten macht deutlich, dass es im Alltag kaum möglich ist, an diesen vorbeizukommen. Das gilt nicht nur im Privatleben, sondern gerade auch im beruflichen Kontext.

Wie wird der Schutz personenbezogener Daten im Unternehmen sichergestellt?

Die Einhaltung der datenschutzrechtlichen Vorgaben, die sich in Bezug auf den Umgang mit personenbezogenen Daten aus der DSGVO und auch aus dem Bundesdatenschutzgesetz (kurz: BDSG) ergeben, obliegt im Unternehmen nach dem Wortlaut der Datenschutzgrundverordnung dem oder der sogenannten „Verantwortlichen“.

Das ist regelmäßig die Geschäftsführung bzw. der Vorstand oder die/der Vertretungsberechtigte des Unternehmens.

Im unternehmerischen Alltag wird die Verantwortung für den Datenschutz regelmäßig delegiert. Die DSGVO stellt dafür das Instrument der oder des Datenschutzbeauftragten zur Verfügung. Datenschutzbeauftragte übernehmen dabei vor allem die Kontrolle darüber, dass die datenschutzrechtlichen Vorschriften eingehalten werden und wirken beratend bei allen Fragestellungen zum Thema Datenschutz.

Achtung: Die Geschäftsführung wird durch die Bestellung eines oder einer Datenschutzbeauftragten nach Art. 37 DSGVO grundsätzlich nicht von der Verantwortung und der damit verbundenen Haftung für Datenschutzverstöße bei personenbezogenen Daten entbunden.

Wie können unternehmen zusätzlich für den Schutz von personenbezogenen Daten sorgen?

Der Schutz von personenbezogenen Daten ist im Unternehmen auch Aufgabe der Mitarbeitenden. Hier obliegt es den Verantwortlichen und Führungskräften, diese entsprechend zu schulen.

Link zu unseren Datenschutzschulungen für Mitarbeitende

Mit unseren Datenschutz-Onlineschulungen bietet sich die Möglichkeit, auch inhouse allen Mitarbeitenden flexibel und passgenau auf das Unternehmen zugeschnitten die wichtigsten Grundlagen zum Umgang und Schutz personenbezogener Daten zu vermitteln. Damit sind Ihre Mitarbeitenden auf allen Hierarchieebenen für den Arbeitsalltag gewappnet.

Weitergabe von personenbezogenen Daten

Die Weitergabe personenbezogener Daten unterliegt datenschutzrechtlich der Maßgabe der Europäischen Datenschutzgrundverordnung (kurz: DSGVO). Diese handhabt den Datentransfer von personenbezogenen Daten vergleichsweise restriktiv. Demnach ist die Übermittlung personenbezogener Daten grundsätzlich unzulässig, wenn sich nicht aus den Ausnahmetatbeständen der DSGVO etwas anderes ergibt.

Weitergabe personenbezogener Daten

Eine ausnahmsweise rechtmäßige Weitergabe von Daten ist dabei an zahlreiche Voraussetzungen geknüpft. Hier erfahren Sie, wie diese aussehen und was Unternehmen und Organisationen im Rahmen von Datentransfers beachten sollten.

Wann ist die Weitergabe von Daten von Bedeutung?

Häufig bilden personenbezogene Daten die Grundlage für eine Vertragsabwicklung. Ein klassisches Beispiel dafür ist der Online-Kauf. Ohne die Abfrage personenbezogener Daten kann ein Online-Shop weder bestellte Waren ausliefern noch eine Rechnung ausstellen oder zur Vertragserfüllung mit der Kundschaft in Kontakt treten.

Typischerweise bedarf es oft nicht nur der Abfrage von personenbezogenen Daten, sondern auch der Weitergabe, die datenschutzrechtlich eine Verarbeitung darstellt. Die DSGVO schließt die Übermittlung personenbezogener Daten an Dritte grundsätzlich aus. Die Rechtmäßigkeit zur Weitergabe kann sich jedoch aus Art. 6 DSGVO ergeben. Dafür gelten die folgenden Voraussetzungen:

  • die betroffenen Personen willigen in die Weitergabe der Daten ein
  • die Weitergabe ist erforderlich, um eine gesetzliche Verpflichtung zu erfüllen
  • durch die Übermittlung der Daten kommt das Unternehmen einer vertraglichen Verpflichtung nach
  • der Datentransfer ist zur Wahrnehmung einer Aufgabe im öffentlichen Interesse notwendig
  • die Datenübermittlung schützt lebenswichtige Interessen einer Person
  • die Weitergabe personenbezogener Daten erfolgt nach strenger Interessenabwägung, die zugunsten des Unternehmens ausfällt

Die DSGVO stellt hohe gesetzliche Anforderungen, um personenbezogene Daten umfassend zu schützen. Unternehmen und Organisationen sind im Rahmen der DSGVO-Konformität zwingend an diese Anforderungen gebunden.

Die hohe Anzahl an Datenschutzvorfällen zeigt Jahr für Jahr, dass hier noch viel Handlungsbedarf besteht. Datenschutzpannen passieren oft aufgrund von Unwissenheit der Mitarbeitenden.

Damit Ihrem Unternehmen weder Bußgelder noch Imageschäden oder Schadensersatzansprüche aufgrund von DSGVO-Verstößen drohen, ist es daher wichtig, dass Sie Ihre Mitarbeitenden nachhaltig zum Thema Datenschutz und zum Umgang mit personenbezogenen Daten schulen.

Zwar sieht die DSGVO derzeit von einer expliziten Pflicht zur Datenschutz-Schulung ab, eine indirekte Pflicht von Unternehmen zur Schulung ist allerdings anzunehmen. Diese folgt aus Art. 5 Abs. 2 DSGVO, der eine allgemeine Nachweispflicht des Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert.

Zudem vermindern nachhaltige Datenschutz-Schulungen der Mitarbeitenden das Risiko für Datenpannen und einhergehende Konsequenzen signifikant.

Wann ist die Weitergabe personenbezogener Daten an Dritte erlaubt?

Eine Weitergabe personenbezogener Daten an Dritte ist nur dann erlaubt, wenn eine Rechtsgrundlage zur Weitergabe vorliegt. Dies kann beispielsweise durch eine Einwilligung der betroffenen Person gegeben sein.

Häufig ergibt sich im unternehmerischen Alltag aber die Frage, an wen überhaupt personenbezogene Daten weitergegeben werden dürfen. Durch die Auslagerung von Aufgaben an Dienstleistende außerhalb des Unternehmens ergibt sich recht schnell die Notwendigkeit von Datentransfers.

Zum Beispiel bei:

  • Rechnungsbearbeitung über externe Cloud-Services;
  • Verwendung von E-Mail-Newsletter-Tools;
  • externe Lohnbuchhaltung;
  • Service für die Kundschaft über eine externe Hotline.

Aber auch im Sinne der Vertragserfüllung ist eine Weitergabe der personenbezogenen Daten gestattet. Als Betreiber eines Onlineshops dürfen Sie beispielsweise die Adressen Ihrer Kunden für den Versand an den jeweiligen Zusteller weitergeben.

Auch in bestimmten Situationen, wenn das berechtigte Interesse Ihrer Organisation überwiegt, ist eine Weitergabe der Informationen gestattet. Dies ist beispielsweise der Fall, wenn Ihr Unternehmen im Sinne der Netzwerksicherheit Maßnahmen zur Überwachung der Computer Ihrer Mitarbeitenden einsetzt. In diesem Fall ist es Ihrem Unternehmen erlaubt, auf die schonendste Methode hinsichtlich der Privatsphäre und der Datenschutzrechte der Mitarbeitenden die personenbezogenen Daten zu diesem Zwecke zu verarbeiten. Dies ist allerdings nur in den EU-Staaten möglich, in denen das nationale Recht nicht über strengere Vorschriften für die Verarbeitung im Arbeitsumfeld vorsieht.

Die DSGVO kennt mehrere Grundlagen für die Weitergabe von Daten an Dritte. Die richtige Rechtsgrundlage richtet sich danach, ob es sich bei der Person, die die Daten weitergibt, und Dritten, an die die Daten weitergegeben werden, um Verantwortliche (Art. 4 Nr. 7 DSGVO) oder Auftragsverarbeitende (Art. 4 Nr. 8 DSGVO) handelt.

Entscheiden zwei Verantwortliche gemeinsam über Zwecke und Mittel einer Verarbeitung personenbezogener Daten, handelt es sich um eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO (engl. „Joint Controllership“).

Entscheiden zwei Verantwortliche jeweils selbstständig über die Datenverarbeitung, spricht man dagegen von einer „Controller-to-Controller“-Vereinbarung. Handelt es sich um zwei Auftragsverabeitende wird eine „Processor-to-Processor“-Vereinbarung geschlossen.

Der häufigste Fall ist jedoch, dass ein Auftragsverabeitender im Auftrag eines Verantwortlichen handelt. In diesem Fall ist nach Maßgabe des Art. 28 DSGVO ein Vertrag zur Auftragsverarbeitung (kurz: AV-Vertrag) abzuschließen. Ein AV-Vertrag zeichnet sich dadurch aus, dass sich Auftragnehmende verpflichten, die erhaltenen Daten nur entsprechend dem zugrundeliegenden Auftrag und nach Weisung der Auftraggebenden zu verarbeiten. Er kann elektronisch geschlossen werden und verlangt keine eigenhändige Unterschrift der Vertragsparteien.

Verstöße und Folgen

Die Weitergabe personenbezogener Daten an Dritte kann schnell zu einem Verstoß gegen die DSGVO-Vorgaben führen, wenn die Voraussetzungen für einen Datentransfer nicht erfüllt sind und somit die Rechtsgültigkeit der Weitergabe scheitert.

Dann drohen Unternehmen hohe Geldbußen sowie der Verlust ihrer Reputation. Der gesetzliche Datenschutz, der durch die DSGVO und ergänzend durch das Bundesdatenschutzgesetz (kurz: BDSG) normiert wird, ist für alle Unternehmen verbindlich.

Personenbezogene Daten fallen nämlich nicht nur in digital arbeitenden Unternehmen an, sondern auch in traditionell arbeitenden Betrieben. Dementsprechend ist das Thema Datenschutz im Handwerk ebenso einschlägig wie in Online-Shops oder in vergleichbaren digitalen Unternehmensstrukturen.

Übermittlung von personenbezogenen Daten in Drittländer

Die Weitergabe personenbezogener Daten wird durch die DSGVO umfassend geregelt. Probleme treten regelmäßig dort auf, wo personenbezogene Daten in Drittländer übermittelt werden. Darunter fallen alle Länder außerhalb des Europäischen Wirtschaftsraums.

Der Transfer von personenbezogenen Daten in Drittländer ist nur dann rechtmäßig, wenn zusätzlich zum AV-Vertrag weitere Voraussetzungen erfüllt sind. Ein Datentransfer ist nur dann zulässig, wenn:

  • Für das jeweilige Drittland ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt
  • Ersatzweise geeignete Garantien nach Art. 46 DSGVO vorliegen
  • In bestimmten Fällen können nach Art. 49 DSGVO Ausnahmen getroffen werden

Besondere Brisanz hat das Thema bei der Datenübermittlung von der EU in die USA. Hier fehlte bisher eine rechtssichere Regelung, die nach Art. 46 DSGVO für einen rechtskonformen Austausch sorgen würde. Auch der 2015 beschlossene Privacy Shield, sowie dessen Nachfolger waren nach Ansicht des Europäischen Gerichtshofes nicht ausreichend, um die gesetzlichen Anforderungen zu erfüllen.

Mittlerweile gibt es hierzu neue Entwicklungen, über die wir in unserem Blogbeitrag „Datenaustausch EU und USA: Einigung auf ein neues Abkommen zum Tausch von Daten“ informieren.


01. Februar 2021
lawpilots gewinnt eLearning Award 2021
22. Januar 2021
Die Gefahren des Insiderhandels
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,64 von 5 Sternen 2074 Bewertungen auf ProvenExpert.com