Beim Datenschutz geht es in erster Linie um den Schutz von personenbezogenen Daten. Hier erfahren Sie, was personenbezogene Daten einfach erklärt ausmacht und wie Sie nach den Datenschutzgrundsätzen mit ihnen umgehen.
Personenbezogene Daten einfach erklärt
Was sind personenbezogene Daten?
Personenbezogene Informationen sind für die Identifizierung von Personen unerlässlich. Sie können für eine Vielzahl von Zwecken genutzt werden, z. B. um mit ihnen in Kontakt zu treten oder Rückschlüsse auf ihren Charakter zu ziehen. Gemäß dem Recht auf informationelle Selbstbestimmung steht jedem Menschen fast grundsätzlich frei, selbst darüber zu entscheiden, ob die eigenen persönlichen Informationen verarbeitet werden dürfen oder nicht.
Hier erfahren Sie, welche Arten von personenbezogenen Daten es gibt, warum personenbezogene Daten so wichtig sind und wie sie innerhalb eines Unternehmens geschützt werden können.
Beispiele für personenbezogene Daten
• Angaben über die „persönlichen Verhältnisse“ des Betroffenen selbst, die seiner Identifizierung oder Charakterisierung dienen:
Vor- und Nachnamen, Geburtsdatum, Zeugnisse, Kfz-Kennzeichen, Fotos, Hobbys oder Online-Kennungen
• „Sachliche Verhältnisse“ sind Angaben über Sachverhalte, die sich auf den Betroffenen beziehen und ihn z. B. identifizierbar machen:
Einkommen, Vermögen, Vertragsbeziehungen, Umfang der Internetnutzung.
Die besonderen Kategorien personenbezogener Daten
Einen besonderen Stellenwert gemäß der Datenschutz Grundverordnung (DSGVO) haben die sogenannten sensiblen oder auch besonderen Daten. Hier fallen folgende Informationen drunter:
Im Art. 9 der DSGVO heißt es dazu:
„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“
Diese Datenkategorien werden vom Gesetzgeber als besonders schützenswert betrachtet, weshalb für sie strengere Vorschriften gelten. In der Regel genießen diese sensiblen personenbezogenen Daten einfach erklärt einen besonderen Schutz.
Personenbezogene Daten Liste
Weitere Beispiele für die Verarbeitung von personenbezogenen Daten
In der heutigen Welt möchte jede Person ihre Daten ordentlich gespeichert und geschützt wissen.
Damit Sie sich jedoch im Umgang mit Ihren eigenen oder den Informationen anderer sicher fühlen, müssen Sie sich darüber im Klaren sein, wo überall Daten erfasst und verarbeitet werden. Erst ein Bewusstsein darüber, an welchen Stellen im Alltag überall personenbezogene Daten verarbeitet werden, sensibilisiert uns für das mögliche Missbrauchspotenzial, das aggregierte Daten innehaben!
Diese Auflistung beinhaltet viele Institutionen und Stellen, mit denen wir tagtäglich zu tun haben, ist allerdings nicht vollständig. Offensichtliche Informationen, wie Ihren Namen, Ihre E-Mail Adresse, Anschrift und das Geburtsdatum werden nicht durchgehend genannt.
Adresshandel
- Merkmale, die zu Werbezwecken
gesammelt und weitergegeben werden
Arbeitgeber
- Qualifikationen
- abrechnungsrelevante Daten
- Bankverbindung
- Arbeitszeit/ Urlaub
- Steuernr.
- Sozialversicherungsnr.
Autovermietung
- Führerscheindaten
- Informationen über Abrechnungen
- Bankverbindung
- Kreditkartendaten
- Fahrzeugdaten
- Übernahmeort eines Fahrzeugs
- Abgabeort eines Fahrzeugs
Bank
- Bankverbindung
- Einkommensstatus
- Daten zum Zahlungsverkehr
- Abhebungen an Geldautomaten
inkl. Standorte und Uhrzeit - Steuernr.
Bücherei
- entliehene Bücher und Medien
Agentur für Arbeit
- Sozialversicherungsnr.
- Daten über frühere Einkommen und Beschäftigungsverhältnisse,
- Abrechnungsdaten
- Bankverbindung
Einwohnermeldeamt
- Daten nach dem Meldegesetz
Einzelhandel
- Bankverbindung
- Kreditkartendaten
- Gekaufte Artikel
Energieversorger
- Bankverbindung
- Abrechnungs- und Vertragsdaten
- Daten zum Energieverbrauch
Fach-/Hausarzt
- Krankenversicherung
- Gesundheitsdaten
Finanzamt
- Steuernr.
- Steuerrelevante Daten
über Einkommen und Eigentum
GEZ
- Daten zur Rundfunkabrechnung
- Bankverbindung
Hotel
- Daten aus Meldeformular
gemäß Meldegesetz - mitreisende Personen
- Bankverbindung
- Kreditkartendaten
Jobbörsen
- Telefon
- Schulabschlüsse
- Berufsausbildung
- ehemalige Arbeitgeber
- Zeugnisse
Kirche
- Religionszugehörigkeit
- Hochzeit
- Taufe
- Kommunion/Konfirmation
Kraftfahrtbundesamt
- Fahrzeug- und Halterdaten
aller zugelassenen Fahrzeuge - "Punkte in Flensburg"
- Führerscheindaten
- Fahrerkarte (Bus/Lkw)
Krankenhaus
- Krankenversicherung
- Gesundheitsdaten
- Kontaktdaten von Angehörigen
Krankenversicherung
- Informationen zum Versicherungsvertrag
- Daten zu mitversicherten Angehörigen
- Sozialversicherungsnr.
- Gesundheitsstatus
Kreditkartenanbieter
- Bankverbindung
- Kreditkartendaten
- Daten zum Zahlungsverkehr
- Zahlungsorte/-uhrzeiten
- Bonität
Kundenkartenanbieter
- Konsumverhalten
- eingelöste Prämien
Leasinggesellschaft
- Abrechnungsdatum
- Bankverbindung
- Kreditkartendaten
- Fahrzeugdaten
Medizinisches Labor
- Krankenversicherung
- Abrechnungsdatum
- Untersuchungsergebnisse
von Blut- und Gewebetests, - z.B. Schwangerschaft, HIV etc.
Onlineshops
- Bankverbindung
- Kreditkartendaten
- angesehene Werbung und Produkte
- bestellte Produkte
- Lieferanschriften
Portale für Onlinespiele
- Pseudonym
- Bankverbindung/Kreditkartendaten
- Bevorzugte Spiele
- Spielstände
- Gewinninfos/Kontostände
Reisebüro
- Reiseziele
- Daten zum Visumsantrag
- Impfnachweise
- Abwesenheitszeiten von der Wohnung (Reisedaten)
Rentenversicherungsträger
- Daten zu Beitragszahlungen
und Rentenhöhe - Sozialversicherungsnr.
Schufa
- Bankverbindungen
- Daten über Kredite und Bonität
Schule
- Erziehungsberechtigte
- Verhaltens- und Leistungsdaten des Kindes
- Daten über Abwesenheitszeiten
Singlebörsen
- Geschlecht
- Bankverbindung
- Kreditkartendaten
- Foto
- Größe/Gewicht
- Hobbys
- sexuelle Vorlieben
- Kinderwunsch
- Bildungsstand
- Einkommen
- Eigenschaften des gesuchten Partners
- Antworten auf "Flirtfragen"
Soziale Netzwerke
- Pseudonyme
- Telefon-Nr.
- besuchte Schule und Abschlüsse
- Vernetzung zu Freunden/Bekannten
- religiöse oder weltanschauliche Überzeugungen
- besuchte Veranstaltungen
- Fotos
- verknüpfte Apps und Konten
- Werbung und Nutzerverhalten
Suchmaschinen
- Online-Daten/Online Kennung
- Angaben zu Gesundheit und Krankheitsstatus
- persönliche Vorlieben
- Werbung und Konsumverhalten
- Daten über die psychischen, wirtschaftlichen und kulturellen Zustände
- Standortdaten
Standesamt
- Daten über Hochzeiten und Scheidungen
- Daten der Kinder
- Daten der Eltern
Steuerberater
- Pseudonyme
- Einkommens- und Vermögensdaten
- Steuernr.
Telekommunikationsanbieter
- Abrechnungsdaten
- Daten über das Surfverhalten/Online Daten
- Bankverbindung
- Verbindungsdaten aller Anrufe
Vereine
- Abrechnungsdaten
- Bankverbindung
- Mitgliedsinformationen
(z.B. über eine ausgeübte Sportart)
Versandhandel
- Abrechnungsdaten
- Bankverbindung
- evtl. Daten über Ratenkredite, Konsumverhalten
Versicherungen
- Bankverbindung
- Daten über Versicherungsverträge
- evtl. Gesundheitsdaten
Dies ist lediglich ein Auszug möglicher Datenpunkte, bei denen Sie Spuren hinterlassen.
Wie Sie sehen, kommt da schnell einiges zusammen.
Warum müssen personenbezogene Daten geschützt werden?
Der Schutz personenbezogener Daten ist aus vielen Gründen wichtig.
Personenbezogene Daten können für Datenmissbrauch oder das Ausnutzen von einem IT- System bzw. von IT Sicherheitslücken verwendet werden. Dies kann etwa im Falle von Betrug oder Identitätsdiebstahl schwerwiegende Folgen haben.
So können Betrüger mithilfe Ihrer Kreditkartennummer z.B. Flugtickets buchen oder sogar in Ihrem Namen strafrechtlich in Erscheinung treten.
Außerdem werden personenbezogene Daten oft genutzt, um Bewertungen von oder Entscheidungen über Menschen zu treffen. So kann ein Unternehmen personenbezogene Daten nutzen, um zu entscheiden, ob es jemandem einen Kredit oder eine Versicherung gewährt oder nicht. Erfährt eine Versicherung, bei der Sie eine Lebensversicherung abschließen möchten, z. B., dass Ihr Lieblingshobby das Fallschirmspringen ist, ist es nicht unwahrscheinlich, dass sie Ihren Versicherungstarif auf dieser Grundlage deutlich erhöht.
Die Verwendung der Daten von einer bestimmten oder bestimmbaren natürlichen Person kann auch Auswirkungen auf ihre beruflichen oder sozialen Perspektiven haben. So zum Beispiel in einem Streitfall vor dem Arbeitsgericht Herne im März 2016. Mit seinem privaten Profil, auf dem er seinen Arbeitgeber öffentlich verlinkt hatte, kommentierte ein Mitarbeiter einen öffentlichen Nachrichten-Artikel über einen Brand in einer Flüchtlingsunterkunft.
Seine Worte
"hoffe das alle verbrennen,,, die nicht gemeldet sind."
führten dazu, dass er von seinem Arbeitgeber außerordentlich gekündigt wurde.
Auch werden persönliche Daten im beruflichen Kontext oft zur Qualifikationsbewertung eines potenziellen Mitarbeiters verwendet. Viele Unternehmen überprüfen hierzu insbesondere die Profile von potenziellen Bewerbern in den sozialen Medien als Teil des Bewerbungsverfahrens.
Wann dürfen personenbezogene Daten verarbeitet werden?
In der Regel wird eine Verarbeitung personenbezogener Daten auf der Grundlage Ihrer Einwilligung (Recht auf informationelle Selbstbestimmung) oder einer gesetzlichen Anordnung, die Daten zu erheben und zu speichern, vollzogen. Die Europäische Datenschutz Grundverordnung (DSGVO), welche die gesetzliche Grundlage für alle Detailfragen zum Datenschutz innerhalb von Europa bietet, sieht neben diesen beiden Gründen noch eine Reihe weiterer Anwendungsfälle, bei denen eine Verarbeitung von Daten erlaubt ist.
Diese finden Sie in Artikel 6 (Rechtmäßigkeit der Verarbeitung) in der DSGVO.
Vereinfacht dargestellt handelt es sich hier um:
- eine Vertragsanbahnung
- eine Situation, in der es um Leben und Tod geht
- ein öffentliches Interesse
- ein berechtigtes Interesse der verarbeitenden Stelle
Wie kann man personenbezogene Daten schützen?
Im privaten Kontext steht und fällt der Schutz von personenbezogenen Daten v. a. mit dem eigenen Umgang mit jenen Daten. Seien Sie sorgsam, wo Sie welche Informationen über sich und andere preisgeben und machen Sie von Ihren Rechten als Betroffener Gebrauch, um z. B. Daten-verarbeitende Stellen nach dem Verbleib Ihrer Daten zu befragen und die jeweilige Löschung der Daten zu verlangen, wo es möglich ist.
Doch auch wenn Sie hier alles richtig machen, kann es trotzdem sein, dass Sie Opfer eines Missbrauchs Ihrer personenbezogenen Daten werden, wenn z. B. eine Datenbank einer lokalen Kommunalbehörde gehackt und dadurch Ihre Daten im Darknet veröffentlicht werden.
Im beruflichen Alltag haben wir alle tagtäglich mit personenbezogenen Daten von Kunden, Kollegen oder Lieferanten zu tun. Anhand der Telefonnummer im Display erkennen wir den Anrufer. Der Name und der Arbeitgeber des Absenders einer E-Mail können aus der jeweiligen E-Mail-Adresse entnommen werden.
Neben diesen relativ „normalen“ Daten fällt jedoch eine Menge weiterer personenbezogener Angaben – insbesondere in elektronischer Form – an, deren Veröffentlichung für betroffene Personen unter Umständen unangenehme Folgen haben kann. Denken Sie beispielsweise an Lohn- und Gehaltsinformationen, Angaben zum Impfstatus, Bankverbindungen, Privatadressen, Bonitätsdaten etc.
Beispiele für technische Maßnahmen zum Schutz von personenbezogenen Daten sind:
- die Verschlüsselung von Backups auf einer externen Festplatte, wo täglich die gesamte Kundendatenbank gesichert wird
- das Löschen nicht mehr benötigter Daten, deren Aufbewahrung keinen sinnvollen Zweck mehr erfüllt
- die Nutzung von Passwortmanagern zur Sicherstellung von sicheren Passwörtern
Beispiele für organisatorische Maßnahmen zum Schutz von personenbezogenen Daten sind:
- das Abschließen von Auftragsverarbeitungsverträgen mit Dritten, die Zugriff auf personenbezogene Daten aus dem Unternehmen haben
- die Schulung der Belegschaft zum sensiblen Umgang mit personenbezogenen Daten
- die Festlegung klarer Verfahren bei der Verarbeitung personenbezogener Daten.
Zwei Verfahren zum Schutz personenbezogener Daten
Zwei mögliche Wege aus der Datensicherheit, um personenbezogene Daten zu schützen, liegen in der Pseudonymisierung (der Verschlüsselung des Personenbezugs) und der Anonymisierung (z. B. wenn Sie personenbezogene Daten schwärzen).
Als Unternehmer müssen Sie bei der Verarbeitung von datenschutzrelevanten Daten unbedingt den Unterschied zwischen anonymen und pseudonymen Daten kennen und wissen, wie Sie die Daten Ihrer Kunden, Lieferanten und Mitarbeiter entsprechend schützen können. Beide Datentypen haben ihre Vor- und Nachteile, daher sollten Sie immer individuell pro Anwendungsfall schauen, wann Sie auf welchen Datentypen zurückgreifen.
Wann sind personenbezogene Daten pseudonymisiert?
Personenbezogene Daten sind pseudonymisiert, wenn bei ihnen die identifizierenden Elemente entfernt wurden, es aber anschließend noch möglich ist, dass eine Person mit den Daten in Verbindung gebracht werden kann. Wenn Sie zum Beispiel Max Mustermann heißen, so wären Sie pseudonymisiert einfach "Max M.". Pseudonymisierte Daten stellen einen gewissen Schutz für die Daten einer Person dar, können jedoch stets "entschlüsselt" werden, wenn nicht ausreichend Sicherheitsvorkehrungen zu ihrem Schutz getroffen werden.
Wann sind personenbezogene Daten anonymisiert?
Personenbezogene Daten anonymisieren ist vorwiegend sinnvoll, wenn ihr eigentlicher Personenbezug für das Unternehmen keinerlei Relevanz hat. Das kann etwa sein, wenn Sie eine E-Mail-Umfrage machen, um herauszufinden, wie es statistisch um die Ernährungsweise Ihrer Kontakte steht.
Nun befragen Sie 100 Kontakte per Mail, ob sie Veganer, Vegetarier, Fleischfresser etc. sind.
Sie bitten alle Teilnehmenden Ihnen die jeweilige Präferenz als formlose Antwortmail zukommen zu lassen.
Die jeweilige Antwort führt dazu, dass Sie die jeweilige Ernährungsweise mit einer bestimmten E-Mail-Adresse und somit einer eindeutig identifizierbaren Person verknüpfen, was für Ihre Umfrage aber eigentlich keine Bedeutung hat. In dieser Erhebung zählt am Ende das Gesamtergebnis. Also erfassen Sie die jeweiligen Antworten gesammelt in einer Exceltabelle und löschen anschließend die E-Mails. Dies stellt sicher, dass die für die Umfrage nicht relevanten Daten entfernt werden, sodass die Antworten der befragten Personen nicht mehr eindeutig zugeordnet werden können und letztlich die personenbezogenen Daten anonymisiert verarbeitet werden.
Genau genommen, handelt es sich bei anonymisierten Daten nicht mehr um personenbezogene Informationen, da bei ihnen alle identifizierenden Informationen entfernt wurden und nicht mehr mit bestimmten oder bestimmbaren natürlichen Personen in Verbindung gebracht werden können.
Anonymisierte Daten bieten das höchste Maß an Datenschutz für eine identifizierte oder identifizierbare natürliche Person, da sie nicht zurückverfolgt werden können. Je nachdem welchen Grund es für ihre Speicherung gibt, kann es hier aber auch schnell passieren, dass die Daten unbrauchbar werden, sobald sie zu stark anonymisiert wurden.
Zusammenfassendes Fazit
Sowohl als Privatperson, aber auch als Mitarbeiter oder Unternehmer ist es wichtig, sich mit personenbezogenen Daten auseinanderzusetzen. Eine sensible Handhabung schützt Sie und darüber hinaus auch andere davor, dass personenbezogene Daten in falsche Hände geraten.
Die DSGVO (Datenschutz Grundverordnung) will allen Menschen gleichermaßen, unabhängig von Status, Position oder Herkunft eine Kontrolle über die eigenen personenbezogenen Daten geben. Damit eine für eine Datenverarbeitung verantwortliche Stelle personenbezogene Angaben verarbeiten kann, wird meistens die Zustimmung der jeweiligen Person, die die Daten zur Verfügung stellt, eingeholt.
Hierdurch bekommt eine Verarbeitung der Daten letztlich einen rechtlichen Rahmen, der im Wesentlichen den Datenschutz im Rechtsraum der EU als solchen ausmacht.
FAQ - Häufig gestellte Fragen zu personenbezogenen Daten
Personenbezogene Daten dürfen so lange gespeichert werden, bis die zulässige Dauer der Speicherung, die durch den jeweiligen Zweck einer Datenverarbeitung bestimmt wird, erreicht wurde. Dieser sogenannte "Grundsatz der Zweckbindung" ist ein zentraler Bestandteil in der DSGVO. Er besagt, dass Unternehmen nur dann personenbezogene Daten verarbeiten dürfen, wenn der Speicherungszweck klar definiert ist und sichergestellt wird, dass die Daten gelöscht werden, sobald sie nicht mehr für den ursprünglichen Zweck benötigt werden. Allgemeingültige Aufbewahrungsfristen für personenbezogene Daten existieren nicht. In einigen Fällen kann es aber sein, dass andere gesetzliche Aufbewahrungspflichten eine längere Speicherung der Daten voraussetzen. Solche finden sich bspw. im Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO) für alle steuerrelevanten Daten im Unternehmen.
Ja, innerhalb der EU gilt jedes Foto oder auch z. B. Video, auf dem eine natürliche Person erkennbar ist, als ein personenbezogenes Datum. Dies trifft selbstverständlich nicht auf reine Landschaftsaufnahmen zu.
Die Klassifikation von Fotos als personenbezogenen Daten hat weitreichende Konsequenzen, z. B. für Fotografen und soziale Netzwerke, da sie natürliche Personen u. A. vor einer unerlaubten Vervielfältigung des eigenen Bildes schützen soll.
Das Gehalt als solches gehört erstmal nicht zu den personenbezogenen Daten, solange es nicht mit einer Person verknüpft oder verknüpfbar wird. Sobald die Gehaltsinformationen jedoch Rückschlüsse darauf zulassen, wer damit bezahlt wird oder wie viel er oder sie verdient, wird auch das Gehalt personenbezogen.
Jedes Mal, sobald irgendeine Art von Information genutzt wird, ob personenbezogen oder nicht, fällt dies unter den Begriff der Verarbeitung. Hierzu zählen u. A. die folgenden Handlungen:
- das Bereitstellen, Präsentieren, Übermitteln, Verbreiten und Vervielfältigen von Informationen
- das Korrigieren, Verändern, Organisieren und Zusammenführen von Informationen
- das Erfassen, Aufzeichnen und Auslesen von Informationen
- das Lagern und Speichern von Informationen
Spätestens seit dem Urteil des EuGH aus 2016 ist klar, dass IP-Adressen als personenbezogene Daten gelten. Auch wenn nicht immer unbedingt eine unter einer solchen Kennung surfende Person eindeutig identifiziert werden kann, so gilt dies im Regelfall doch zumindest für diejenige/denjenigen, auf deren/ dessen Namen der jeweilige Internetanschluss angemeldet wurde.
Dies ist vor allem von Website-Betreibern zu beachten, da alle gängigen Serversysteme auf denen Websites ausgeliefert werden, IP-Adressen von Haus aus verarbeiten. Vorsicht ist vor allem geboten bei Hostingangeboten außerhalb des europäischen Wirtschaftsraumes sowie bei einer Menge Tools für die eigene Website. Hier kommt es bei einer sorglosen Verwendung schnell zu einer illegalen Übertragung der personenbezogenen IP-Adresse in (den Datenschutz-betreffende) unsichere Drittländer wie z. B. die USA, was häufig zu Problemen oder Rechtsstreitigkeiten führen kann. Unterstützung im Bereich Online-Datenschutz finden Sie hier.
Jenny Weigandt