Personenbezogene Daten – umfassender DSGVO-Leitfaden

Die Frage nach Cookies findet man mittlerweile auf allen Webseiten. Grund dafür ist die Europäische Datenschutzgrundverordnung (DSGVO). Die legt fest, dass Unternehmen personenbezogene Daten nicht ungefragt speichern und verarbeiten dürfen.

Doch was genau sind personenbezogene Daten? Und welche Vorschriften gelten dafür? In diesem Glossarbeitrag werden wir Ihnen die Grundlagen mithilfe von konkreten Beispielen erläutern.

Was sind personenbezogene Daten?

Gemäß § 46 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer identifizierten oder identifizierbaren natürlichen Person. 

Das bedeutet, die Daten müssen entweder direkt einer konkreten oder bestimmten Person zuzuordnen sein. Oder sie müssen sich durch zusätzliches Wissen oder zusätzlichen Aufwand einer bestimmbaren Person zuordnen lassen. 

Wichtig ist, dass die Person, auf die sich die Daten beziehen, ein lebender Mensch sein muss. Daten über Unternehmen und andere Organisationen sowie über verstorbene Personen gelten nicht als personenbezogen.

Über die DSGVO

Die DSGVO bietet EU-Bürgern das Recht auf informationelle Selbstbestimmung. Das heißt, jede Person hat das Recht zu entscheiden, welche Daten sie wem preisgeben möchte. Und zu welchem Zweck. 

Der Schutz der DSGVO ist weltweit gültig. Er erfasst die Daten aller EU-Bürger, unabhängig von ihrem Wohn- oder Aufenthaltsort.

Kategorien und Beispiele personenbezogener Daten

Die Kategorien personenbezogener Daten, die am häufigsten verwendet werden, umfassen:

  • Allgemeine Daten zur Person (zum Beispiel Namen, Kontaktdaten, Geburtsdatum, etc.)
  • Physische Merkmale der Person (zum Beispiel Geschlecht, Haar-, Augen- und Hautfarbe, etc.)
  • Finanz- und Besitzdaten (zum Beispiel Konto- und Kreditkartennummern, Kontostände, etc.)
  • Kennnummern (zum Beispiel Kunden-, Mitglieds-, Personal-, Ausweisnummern, Autokennzeichen, etc.)
  • Online-Daten (zum Beispiel IP-Adresse, Standorte, etc.)
  • Kundendaten (zum Beispiel Bestellungen, Retouren, Zahlungen, etc.)
  • Personaldaten, berufliche Daten (zum Beispiel Angaben zu Ausbildung und beruflichem Werdegang, Zeugnisse und Zertifikate, etc.)

Besondere Kategorien personenbezogener Daten

Der § 9 DSGVO definiert „besondere Arten personenbezogener Daten“. Diese sensiblen Daten sind besonders schützenswert und umfassen Informationen zu: 

  • rassischer und ethnischer Herkunft
  • politischen, religiösen oder weltanschaulichen Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetischen und biometrischen Daten
  • Gesundheitsdaten
  • Angaben zum Sexualleben oder zur sexuellen Orientierung

Rechte und Pflichten im Umgang mit personenbezogenen Daten

Unternehmen, die personenbezogene Daten verarbeiten, müssen die betroffenen Personen darüber informieren, welche Daten verarbeitet werden. Und zu welchen Zwecken. Dazu gehören auch Informationen über die Rechte, die die betroffenen Personen in Bezug auf die Datenverarbeitung haben.

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Es sei denn, es liegt eine Einwilligung vor. Oder die Verarbeitung ist zum Beispiel aufgrund eines Vertragsverhältnisses oder einer gesetzlichen Verpflichtung erforderlich. Die Datenverarbeitung muss zudem einen bestimmten Zweck erfüllen und darf nicht einfach für weitere Zwecke verwendet werden.

Darum sind personenbezogene Daten schützenswert

Personenbezogene Daten sind schützenswert, weil sie viele Informationen über uns offenbaren. Und potenzielle Angriffspunkte für Missbrauch oder Manipulation bieten. Durch die Digitalisierung können heute mühelos Milliarden von Datensätzen zu jeder einzelnen Person erfasst, verarbeitet und analysiert werden. Dabei ist es kaum möglich, zu kontrollieren, wer diese Daten nutzt und zu welchen Zwecken.

Risiken im Zusammenhang mit personenbezogenen Daten umfassen den Identitätsdiebstahl, Betrug, Diskriminierung, Meinungsmanipulation und Überwachung. Daher sollte jeder von uns darauf bedacht sein, verantwortungsvoll mit unseren Daten und denen von anderen umzugehen.

Die Nutzung personenbezogener Daten ist meist unproblematisch, wenn sie für den ursprünglichen Zweck verwendet wird. Das Risiko besteht darin, dass gespeicherte Daten leicht missbraucht werden können. Daher ist es wichtig, geeignete Datenschutzmaßnahmen zu ergreifen und die geltenden gesetzlichen Bestimmungen zu beachten.

Die Rolle der DSGVO im Schutz personenbezogener Daten

Die Europäische Datenschutzgrundverordnung (DSGVO) ist ein entscheidendes Instrument im Schutz personenbezogener Daten innerhalb der Europäischen Union. Sie stellt sicher, dass Organisationen und Unternehmen personenbezogene Daten so verarbeiten, dass die Rechte und Freiheiten der betroffenen Personen geschützt bleiben. 

Dabei legt die DSGVO große Verantwortung auf die Organisationen und Unternehmen. Sie müssen nachweisen können, dass sie gesetzlich zur Verarbeitung personenbezogener Daten befugt sind. Und dass sie geeignete Maßnahmen zum Schutz dieser Daten getroffen haben.

Zustimmung zur Datenverarbeitung

Ein wichtiger Aspekt der DSGVO ist die Anforderung, dass eine Person ihre ausdrückliche Zustimmung zur Verarbeitung ihrer personenbezogenen Daten geben muss. Diese Zustimmung muss freiwillig, spezifisch, informiert und eindeutig sein. Und die Person hat das Recht, ihre Zustimmung jederzeit zu widerrufen. 

Darüber hinaus muss die Person, die die Zustimmung gibt, mindestens 16 Jahre alt sein. Es sei denn, die nationale Gesetzgebung des betreffenden EU-Mitgliedstaats sieht ein niedrigeres Alter vor. Dieses darf jedoch nicht unter 13 Jahre liegen. Ansonsten muss die Zustimmung des Erziehungsberechtigten eingeholt werden.

Anforderungen an die Verarbeitung personenbezogener Daten

Die DSGVO legt auch bestimmte Anforderungen daran fest, wie personenbezogene Daten verarbeitet werden dürfen. So müssen die Daten rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. 

Die Daten müssen für spezifische, ausdrücklich genannte und legitime Zwecke erhoben werden. Und dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken nicht vereinbar ist. 

Zudem dürfen nicht mehr Daten erhoben werden, als für die Erfüllung dieser Zwecke notwendig ist. Zudem müssen die Daten auf dem neuesten Stand gehalten werden. Nur so kann sichergestellt werden, dass ungenaue personenbezogene Daten unverzüglich gelöscht oder berichtigt werden.

Sicherheit personenbezogener Daten

Ein weiterer Schwerpunkt der DSGVO ist die Sicherheit personenbezogener Daten. Organisationen und Unternehmen müssen geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Sicherheitsniveau zu gewährleisten.

Dazu gehören: 

  • die Verschlüsselung personenbezogener Daten
  • die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die die Daten verarbeiten
  • die Fähigkeit, die Verfügbarkeit und den Zugang zu den Daten schnell wiederherzustellen, falls es zu einem physischen oder technischen Zwischenfall kommt

Rechte der betroffenen Personen

Die DSGVO verleiht den betroffenen Personen eine Reihe von Rechten in Bezug auf ihre personenbezogenen Daten. 

Dazu gehört das Recht:

  • auf Zugang zu ihren Daten
  • auf Berichtigung ungenauer Daten
  • auf Löschung ihrer Daten
  • auf Einschränkung der Verarbeitung ihrer Daten
  • auf Datenübertragbarkeit. 

Die betroffenen Personen haben auch das Recht, einer Verarbeitung ihrer Daten zu widersprechen. Und sie haben das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht.

Die DSGVO stellt sicher, dass personenbezogene Daten im Einklang mit den Grundrechten und -freiheiten der betroffenen Personen verarbeitet werden. Dabei geht es nicht nur um den Schutz der Privatsphäre, sondern auch um die Sicherstellung der Transparenz und der Kontrolle über die eigenen Daten. 

Es ist wichtig, dass sowohl Organisationen und Unternehmen als auch Einzelpersonen die Bedeutung des Schutzes personenbezogener Daten und der Wahrung ihrer Privatsphäre verstehen.

 

FAQ

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören unter anderem Kontaktdaten sowie Informationen über das Aussehen der Person.

Was regelt die DSGVO in Bezug auf personenbezogene Daten?

Die DSGVO regelt, wie Unternehmen und Organisationen personenbezogene Daten verarbeiten dürfen. Sie stellt sicher, dass die Daten sicher und verantwortungsbewusst verarbeitet werden. Und dass die Rechte der betroffenen Personen gewahrt werden.

Was bedeutet das Recht auf informationelle Selbstbestimmung?

Das Recht auf informationelle Selbstbestimmung ist das Recht eines jeden Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden.

Was ist das Auskunftsrecht?

Das Auskunftsrecht gibt den betroffenen Personen das Recht, Informationen darüber zu erhalten, welche personenbezogenen Daten von ihnen verarbeitet werden. Sie können darauf bestehen, dass die verantwortliche Stelle ihnen diese Informationen bereitstellt.

Wann müssen personenbezogene Daten gelöscht werden?

Personenbezogene Daten müssen gelöscht werden, wenn sie für den vorgesehenen Zweck nicht mehr benötigt werden, die Einwilligung zur Verarbeitung widerrufen wird oder die Daten unrechtmäßig erhoben wurden. 

Was passiert, wenn die DSGVO nicht eingehalten wird?

Wenn Unternehmen oder Organisationen gegen die DSGVO verstoßen, können sie mit erheblichen Geldstrafen belegt werden. Darüber hinaus können die betroffenen Personen Schadensersatzansprüche geltend machen.