Umgang-mit-personenbezogenen-Daten
4. Februar 2022

Umgang mit personenbezogenen Daten: Das gilt es zu beachten!

Der Umgang mit personenbezogenen Daten wird auf europäischer Ebene durch die Datenschutzgrundverordnung (kurz: DSGVO) geregelt. Dabei kommt dem Schutz der sensiblen Daten eine besondere Relevanz zu. lawpilots zeigt, was Unternehmen beim Umgang mit personenbezogenen Daten beachten müssen und wo Fallstricke liegen, die unbedingt zu vermeiden sind.

Umgang mit personenbezogenen Daten – so verhalten sich Unternehmen rechtskonform

Der Umgang mit personenbezogenen Daten ist das zentrale Regelungsziel der europäischen Datenschutzgrundverordnung (DSGVO) und somit Dreh- und Angelpunkt für das rechtskonforme Verhalten von Unternehmen, die personenbezogene Daten erheben und verarbeiten. 

Nicht immer ist für Unternehmen bzw. für Mitarbeitende in der täglichen Arbeit aber klar, 

  • wann und wo mit personenbezogenen Daten gearbeitet wird,
  • was überhaupt zulässig beim Umgang mit personenbezogenen Daten ist,
  • wo bereits geprüfte Prozesse im Unternehmen bestehen,
  • ob die betroffene Person überhaupt weiß, dass personenbezogene Daten abgefragt werden,
  • welche Informationen an die Betroffenen rechtlich weitergegeben werden müssen,
  • in welchen Fällen der/die Datenschutzbeauftragte gefragt ist,
  • wann Datenschutz eine Rolle spielt und wann nicht.

Sicher haben sich viele Mitarbeitende, die mit sensiblen Kundendaten im Unternehmen zu tun haben, diese oder ähnliche Fragen bereits gestellt. Dazu erklärt Datenschutzexpertin und Rechtsanwältin Kathrin Schürmann:

„In der Regel werden Sie relativ wenig mit personenbezogenen Daten von Kund:innen zu tun haben, außer Sie arbeiten im Kundenservice Ihres Unternehmens. Dort kommt es sicherlich häufiger vor, dass beispielsweise Auskunftsanfragen oder Anfragen zur Löschung, Sperrung oder Berichtigung an Sie gerichtet werden. Es kann aber auch in anderen Abteilungen dennoch vorkommen. Falls Sie also zum Beispiel eine E-Mail bekommen, in der eine betroffene Person Auskunft über die bei Ihnen gespeicherten Daten verlangt, ist es wichtig, dass sie diese Anfrage keinesfalls ignorieren. Auch dann, wenn Sie nicht mit dem Prozess vertraut sind, es also keine Templates für Ihren Bereich gibt, sollten Sie diese E-Mail nicht löschen, sondern Ihre(n) Datenschutzbeauftragte(n) um Rat fragen oder ihm/ihr diese Mail weiterleiten. Er/Sie wird mit den definierten Prozessen in Ihrem Unternehmen vertraut sein und Ihnen kompetent weiterhelfen.“

Um zu verstehen, warum der Umgang mit personenbezogenen Daten im Unternehmen zum Problem oder Risiko werden kann, muss klar sein, um was es sich dabei überhaupt handelt und wo in der täglichen Arbeit Berührungspunkte zu erwarten sind.

Was sind personenbezogene Daten?

Personenbezogene Daten werden in Art. 4 DSGVO definiert. Demnach zählen zu den personenbezogen Daten alle Informationen, die den Rückschluss auf eine bestimmte Person erlauben. Dazu gehören beispielsweise:

  • Name, Geburtsdatum, Alter, Anschrift, Geburtsort, Telefonnummer, E-Mail-Adresse
  • Sozialversicherungsnummer, Steuer-ID, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, Personalkennziffer, Gesundheitsdaten
  • Kontonummer, SCHUFA-Auskunft, Bonitätsprüfungen, Kontostände
  • IP-Adresse, Standortdaten, GPS-Daten
  • Geschlecht, Hautfarbe, Haarfarbe, Augenfarbe, Figur, Kleidergröße, Schuhgröße
  • Fahrzeugdaten, Autokennzeichen, Zulassungsdaten, Eintragungen im Grundbuch
  • Kundendaten, Bestellungen, Zahlungsarten
  • Schulzeugnisse, Abschlusszertifikate, Schulungsunterlagen, Qualifikationsnachweise

Die Bandbreite von personenbezogenen Daten macht deutlich, dass es im Alltag kaum möglich ist, an diesen vorbeizukommen. Das gilt nicht nur im Privatleben, sondern gerade auch im beruflichen Kontext.

Was zählt nicht zu personenbezogenen Daten?

Nicht alle Daten sind personenbezogene Daten nach Maßgabe der DSGVO. Oft ist es jedoch nicht so einfach, eine klare Zuordnung vorzunehmen. Grundsätzlich keine personenbezogenen Daten sind alle Informationen, die anonymisiert sind. Sie erlauben keinen Rückschluss auf eine identifizierte oder identifizierbare Person. Ebenfalls als nicht personenbezogen gelten Sachdaten, da diese sich nicht auf eine Person, sondern auf einen Gegenstand beziehen. 

Eine wichtige Ausnahme sind zudem Informationen, die sich auf eine juristische Person beziehen. Dazu gehören:

  • Vereine
  • Aktiengesellschaften
  • GmbHs
  • Genossenschaften
  • Behörden
  • Stiftungen

Juristische Personen fallen ebenfalls nicht in den Schutzbereich der Datenschutzgrundverordnung – es sei denn, die Information erstreckt sich bis auf die natürliche Person, die hinter der juristischen Person steht. Dazu zählen beispielsweise Geschäftsführer:innen, Mitglieder im Aufsichtsrat oder Shareholder.

Wo und wann wird mit personenbezogenen Daten gearbeitet?

Besonders im Arbeitsalltag ergibt sich eine Vielzahl an Berührungspunkten mit personenbezogenen Daten. Das gilt beispielsweise für Mitarbeitende im Personalmanagement, aber auch für Mitarbeitende in der Logistik, im Rechnungswesen, bei der IT-Sicherheit und auch im Kundenservice.  Wichtig in diesem Zusammenhang: Gibt es im Unternehmen in der täglichen Arbeit Berührungspunkte mit personenbezogenen Daten, ist der Datenschutz uneingeschränkt zu beachten. In der Konsequenz heißt das: Sämtliche Vorgaben aus der DSGVO sind anzuwenden – dazu zählt insbesondere, dass die personenbezogenen Daten ohne Einwilligung der Betroffenen nicht an Dritte weitergegeben werden dürfen.

Wie wird der Datenschutz von personenbezogenen Daten im Unternehmen sichergestellt?

Die Einhaltung der datenschutzrechtlichen Vorgaben, die sich in Bezug auf den Umgang mit personenbezogenen Daten aus der DSGVO und auch aus dem Bundesdatenschutzgesetz (kurz: BDSG) ergeben, obliegt im Unternehmen nach dem Wortlaut der Datenschutzgrundverordnung dem/der sogenannten „Verantwortlichen“. Das ist regelmäßig die Geschäftsführung bzw. der Vorstand oder die/der Vertretungsberechtigte des Unternehmens. 

Im unternehmerischen Alltag wird die Verantwortung für den Datenschutz regelmäßig delegiert. Die DSGVO stellt dafür das Instrument der/des Datenschutzbeauftragten zur Verfügung. Datenschutzbeauftragte übernehmen dabei vor allem die Kontrolle darüber, dass die datenschutzrechtlichen Vorschriften eingehalten werden und wirken beratend bei allen Fragestellungen zum Thema Datenschutz. 

Achtung: Die Geschäftsführung wird durch die Bestellung eines/einer Datenschutzbeauftragten nach Art. 37 DSGVO grundsätzlich nicht von der Verantwortung und der damit verbundenen Haftung für Datenschutzverstöße bei personenbezogenen Daten entbunden. 

Wie können Unternehmen zusätzlich für den Schutz von personenbezogenen Daten sorgen?

Der Umgang mit und der Schutz von personenbezogenen Daten ist im Unternehmen auch Aufgabe der Mitarbeitenden. Hier obliegt es den Verantwortlichen und den Führungskräften, diese entsprechend zu schulen. Mit den Online-Schulungen von lawpilots bietet sich die Möglichkeit, auch inhouse allen Mitarbeitenden flexibel und passgenau auf das Unternehmen zugeschnitten die wichtigsten Grundlagen zum Umgang und Schutz von personenbezogenen Daten zu vermitteln. Damit sind Ihre Mitarbeitenden auf allen Hierarchieebenen für den Arbeitsalltag und Situationen, in denen Berührungspunkte mit personenbezogenen Daten bestehen, gewappnet.

11. Februar 2022
Lieferkettengesetz: So vermeiden Sie Compliance-Fallen!
28. Januar 2022
Datenschutz im Alltag: Darum ist der Schutz von Daten wichtig!
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,65 von 5 Sternen 1856 Bewertungen auf ProvenExpert.com