Personenbezogene Daten & DSGVO

Ob soziale Netzwerke, staatliche Institutionen oder auch private Unternehmen - alle sammeln und speichern tagtäglich eine enorme Menge an Daten. Dies führt zu einer immer größeren Anhäufung von Datensätzen einzelner User. Die Datenschutzgrundverordnung (nachfolgend DSGVO genannt), die seit Ende Mai 2018 europaweit gilt, soll für eine rechtskonforme Verarbeitung der sog. “personenbezogenen Daten” sorgen und den Umgang mit diesen Daten in der EU regeln.

Definition personenbezogener Daten

Gleich zwei Gesetzesverordnungen regeln in Deutschland den Umgang mit personenbezogenen Daten. Das ist zum einen das Bundesdatenschutzgesetz (nachfolgend BDSG genannt) und zum anderen die europaweit geltende DSGVO. Beide Verordnungen definieren den Begriff der personenbezogenen Daten gleichermaßen: Personenbezogene Daten sind “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen” (Art. 4 Abs.1 DSGVO oder Art. 46 Abs. 1 BDSG). Im Umkehrschluss bedeutet das, dass eine Person anhand seiner / ihrer Daten identifiziert werden kann.

Kategorien personenbezogener Daten

Beispiele für personenbezogene Daten

Welche Daten identifizieren eine Person und gelten somit als personenbezogene Daten? Auch hier gibt uns die DSGVO eine genaue Definition, auch wenn eine abschließende Zusammenfassung aufgrund der Vielzahl an unterschiedlichen Daten nur schwer möglich ist. Nachfolgend eine Liste samt Beispielen, die einen ersten Eindruck geben soll was unter personenbezogene Daten fällt:

allgemeine Personendaten

  • Name
  • Geburtsdatum
  • Alter
  • Geburtsort
  • Anschrift
  • E-Mail-Adresse
  • Telefonnummer
  • Foto
  • Ausbildung
  • Beruf
  • Familienstand
  • Staatsangehörigkeit
  • religiöse und politische Einstellungen
  • Sexualität
  • Gesundheitsdaten
  • Vorstrafen usw.

physische Merkmale

  • Geschlecht
  • Haut-, Haar- und Augenfarbe
  • Statur
  • Kleidergröße
  • Schuhgröße
  • Fingerabdruck usw.

Besitzmerkmale

  • Fahrzeug- und Immobilieneigentum
  • Grundbucheintragungen
  • Kfz-Kennzeichen
  • Zulassungsdaten usw.

Kennnummern

  • Sozialversicherungsnummer
  • Steueridentifikationsnummer
  • Nummer bei der Krankenversicherung
  • Personalausweisnummer
  • Matrikelnummer usw.

Bankdaten

  • Kontonummern
  • Kreditinformationen
  • Kontostände usw.

Online-Daten

  • IP-Adresse
  • Standortdaten
  • Unique Identifier (z.B. Cookies) usw.

Kundendaten

  • Bestellungen
  • Adressdaten
  • Kontodaten usw.

Werturteile

  • Schul- und Arbeitszeugnisse usw.

sachliche Verhältnisse

  • Einkommen
  • Kapitalvermögen
  • Schulden
  • Eigentum usw.

Zusätzlich nennt der Gesetzgeber eine weitere Kategorie personenbezogener Daten, die sogenannte besondere Kategorie personenbezogener Daten oder auch “sensible Daten” genannt. Diese Daten unterliegen einem noch höheren Schutz, da deren Verarbeitung rechtlich verboten ist (Art. 9 Abs. 1 DSGVO). Zu den sensiblen Daten gehören Angaben über die Herkunft, politische Meinungen, philosophische und religiöse Überzeugungen, Zugehörigkeit zu Gewerkschaften, genetische und biometrische Daten, gesundheitsbezogene Daten und Daten zur Sexualität und sexueller Orientierung.

Für Webseitenbetreiber bedeutet der Schutz personenbezogener Daten nach der DSGVO: Sie benötigen gemäß Erwägungsgrund 30 DSGVO für die Verwendung bestimmter Webtechnologien wie Cookies, Pixel etc. eine Rechtsgrundlage (Art. 6 DSGVO oder ggf. Art. 9 DSGVO) und müssen demnach ggf. eine Einwilligung ihrer Nutzer einholen.

Grundsätze der Verarbeitung personenbezogener Daten

Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO

Wie und in welcher Form personenbezogene Daten generell verarbeitet werden dürfen, regelt im Allgemeinen Art. 5 DSGVO.

Rechtmäßigkeit

Diese Grundlage der DSGVO besagt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn eine Rechtsgrundlage, insbesondere in Form einer Einwilligung, vorliegt.

Transparenz

Art. 5 Abs. 1a DSGVO soll gewährleisten, dass betroffene Personen ihre Betroffenenrechte und generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. Der Grundsatz der Transparenz wird in Art. 12 ff. DSGVO durch Informationspflichten bei der Erhebung von personenbezogenen Daten als auch durch das Auskunftsrecht der betroffenen Person präzisiert.

Weitergehend soll der Datenschutz durch Technik (data protection by design; Art. 25 Abs. 1 DSGVO) als auch durch datenschutzfreundliche Voreinstellungen (data protection by default; Art. 25 Abs. 2 DSGVO) die Transparenz gewährleisten und erhöhen.

Auf die Transparenz und Informationspflicht wird im Erwägungsgrund 39 DSGVO besonders eingegangen:

(…) Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können (…)

Zweckbindung

Der Zweck einer Datenerhebung von personenbezogenen Daten muss drei Voraussetzungen erfüllen:

  1. Der Zweck der Verarbeitung muss festgelegt
  2. legitim
  3. und eindeutig sein

Zusätzlich ist eine Weiterverarbeitung von personenbezogenen Daten möglich, sofern die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken der Erhebung vereinbar sind (Art. 5 Abs. 1b DSGVO).

Datenminimierung

Diese Vorschrift ist an die bisher bestehenden Gesetze der Datensparsamkeit, sowie der Datenvermeidung (Art. 3a BDSG) angelehnt. Demnach dürfen nur für den verwendeten Zweck notwendige und angemessene personenbezogene Daten verarbeitet werden (Prinzip der Datenminimierung; Art. 5 Abs. 1b DSGVO).

Richtigkeit

Personenbezogene Daten, die im “Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, (müssen) unverzüglich gelöscht oder berichtigt werden” (Art. 5 Abs. 1d DSGVO).

Speicherbegrenzung

Die Speicherbegrenzung verlangt, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie es für den Zweck notwendig ist, Personen identifizieren zu müssen (Art. 5 Abs. 1e DSGVO). Die personenbezogenen Daten müssen also gelöscht werden, sobald die Speicherung der Daten für den Verarbeitungszweck nicht mehr erforderlich ist oder die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1b DSGVO).

Integrität und Vertraulichkeit

Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit dieser Daten gewährleistet ist. Mit inbegriffen ist hier auch der Schutz vor unbefugter und unrechtmäßiger Verarbeitung (z.B. durch ein Account- / Rechtemanagement), unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten (Art. 5 Abs. 1f DSGVO).

Um diese Sicherheit zu gewährleisten sind geeignete technische und organisatorische Maßnahmen zu treffen. Darunter fallen beispielsweise die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten als auch die Verfügbarkeit und den Zugang zu diesen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 DSGVO).

Rechenschaftspflicht

Die Rechenschaftspflicht verlangt die Einhaltung aller Grundsätze aus Art. 5 Absatz 1 DSGVO (Rechtmäßigkeit sowie Transparenz, Zweckbindung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit).

Rechtmäßige Verwendung von personenbezogenen Daten

Ohne eine Rechtsgrundlage, welche die Verarbeitung erlaubt, dürfen personenbezogene Daten grundsätzlich nicht verarbeitet werden. Aus diesem Grund wird hier von einem Verbot mit Erlaubnisvorbehalt gesprochen.

Art. 6 DSGVO regelt, wann die Verarbeitung personenbezogener Daten ausnahmsweise erlaubt ist. Für personenbezogene Daten besonderer Kategorien (“sensible Daten”) greift Art. 9 DSGVO.

Rechtsgrundlagen nach Art. 6 DSGVO

Nach Art. 6 DSGVO ist die Verarbeitung von personenbezogenen Daten ausnahmsweise erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

  • Mit Einwilligung der betroffenen Personen (lesen Sie mehr zu den 7 Einwilligungskriterien nach DSGVO)
  • Bei Bestehen einer vertraglichen Verpflichtung
  • Zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht)
  • Wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist
  • Zum Schutz lebenswichtiger Interessen einer Person und
  • Aus einem überwiegenden berechtigten Interesse des Verantwortlichen, wobei eine Interessenabwägung erforderlich ist

Rechtsgrundlagen nach Art. 9 DSGVO

Für die Verarbeitung besonderer personenbezogener Daten ist eine gesonderte Rechtsgrundlage nach Art. 9 DSGVO notwendig, da diese Daten einer höheren Schutzwürdigkeit bedürfen.

Die Verarbeitung solcher Daten ist ausnahmsweise nur erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

  • Der Betroffene hat der Verarbeitung ausdrücklich eingewilligt
  • Die Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig
  • Aufgrund eines erheblichen öffentlichen Interesses
  • Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin erforderlich

Weitergabe von Daten an Dritte

Die Weiterleitung von personenbezogenen Daten an Dritte wird nicht zwangsläufig durch das Existieren einer Rechtsgrundlage erlaubt. Besonders innerhalb eines Konzerns wird das relevant, in welcher die gemeinsame Verarbeitung der Daten durch die Teilung der Ressourcen verschiedener Unternehmen zwar praktisch, allerdings nicht ohne Weiteres erlaubt ist.

Ein überwiegend berechtigtes Interesse bzgl. der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken kann nach Erwägungsgrund 48 DSGVO angenommen werden. Sofern die Übermittlung allerdings nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist, bedarf es einer anderen Rechtsgrundlage, um selbst die konzerninterne Übermittlung von Daten zu legitimieren.

Personenbezogene Daten: Rechte als Betroffener

Was sind die Rechte der Betroffenen?

Natürlich haben auch die betroffenen Personen, deren personenbezogene Daten erhoben wurden, gewisse Rechte: Die sogenannten Betroffenenrechte. Denn im weiteren Sinne können personenbezogene Daten als Eigentum einer Person aufgefasst werden. Die DSGVO regelt in Art. 13-23 alle Rechte betroffener Personen. Die wichtigsten Rechte stellen wir im Folgenden vor:

Informationsrecht

Das Informationsrecht ist vielleicht die wichtigste Rechtsgrundlage für Betroffene. Sollten personenbezogene Daten einer Person erhoben werden, muss diese Person vor allem über den Namen und die Kontaktdaten des für die Daten einer Person Verantwortlichen (und ggfs. seines Vertreters) informiert werden (Art. 13 Abs. 1 DSGVO). Ebenfalls müssen der betroffenen Person “der Zweck und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung” mitgeteilt werden.

Das Informationsrecht regelt weiterhin die allgemeine Information aller Betroffenen über die Rechte der Auskunft, Berichtigung, Löschung, Einschränkung, des Widerspruchs und der Datenübertragbarkeit. Der betroffenen Person müssen alle Informationen zum Zeitpunkt der Datenerhebung übermittelt werden, d.h. in dem Moment, indem beispielsweise eine Webseite aufgerufen wird, müssen alle zuvor genannten Informationen unverzüglich mitgeteilt werden (Art. 13 DSGVO).

Auskunftsrecht

Sollten personenbezogenen Daten verarbeitet werden, kann die betroffene Person zu jeder Zeit Auskunft über den Empfänger, den Zweck, als auch welche Daten verarbeitet wurden und wie lange diese gespeichert werden, verlangen (Art. 15 DSGVO).

Berichtigungsrecht

Ändern sich personenbezogene Daten (zum Beispiel die E-Mail-Adresse) hat jede Person das Recht auf die Korrektur der personellen Daten (Art. 16 DSGVO).

Recht auf Datenlöschung / Recht auf Vergessenwerden

Betroffene haben das Recht, alle personenbezogenen Daten, unter den folgenden Voraussetzungen, unverzüglich löschen zu lassen:

  • Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig
  • Die Daten wurden unrechtmäßig verarbeitet
  • Der Betroffene widerruft seine Einwilligung in die Datenverarbeitung
  • Der Betroffene legt Widerspruch gegen die Verarbeitung seiner Daten ein
  • Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet (Art. 17 DSGVO, Erwägungsgrund 65 DSGVO, Erwägungsgrund 66 DSGVO)

Zu beachten ist, dass der Verantwortliche die Daten nach einem Antrag der betroffenen Person unverzüglich löschen muss, d.h. ohne “schuldhaftes Zögern”. Deshalb hat der Verantwortliche regelmäßig zu prüfen, ob neue Löschungsanträge vorliegen und muss diese auch unverzüglich prüfen.

Spätestens innerhalb eines Monats nach Eingang des Löschungsantrags muss der Verantwortliche die betroffene Person über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung informieren.

Recht auf Einschränkung der Verarbeitung

Dieses Recht gibt Betroffenen die Möglichkeit, die Verarbeitung der eigenen personenbezogenen Daten einzuschränken, sofern:

  • der Betroffene die Richtigkeit der Daten in Frage stellt,
  • die Verarbeitung unrechtmäßig ist,
  • die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
  • der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat (Art. 18 DSGVO)

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit erlaubt Betroffenen gespeicherte Daten von einem Verantwortlichen auf einen weiteren Verantwortlichen übertragen zu lassen, sofern eine Einwilligung des Betroffenen vorliegt und die Verarbeitung der Daten mithilfe automatisierter Verfahren erfolgt (Art. 20 DSGVO).

Widerspruchsrecht

Die DSGVO ermöglicht es weiterhin Betroffenen gegen die Verarbeitung ihrer Daten Widerspruch einzulegen. Damit ist es dem Verantwortlichen untersagt, personenbezogene Daten zu verarbeiten, es sei denn “er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen” (Art. 21 DSGVO).

Für Webseiten und Online Marketing ist besonders Art. 21 Abs. 2 DSGVO interessant. Dieser behandelt das Thema Direktwerbung und besagt, dass ein Betroffener jederzeit das Recht besitzt, Widerspruch gegen die Verwendung seiner personenbezogenen Daten zum Zweck der Direktwerbung einzulegen (Erwägungsgrund 70 DSGVO). Dies gilt sowohl für postalische und telefonische, als auch E-Mail-Werbung und folglich auch Newsletter.

Was droht bei Missachtung der DSGVO?

Seit dem Inkrafttreten der DSGVO ist die Höhe der Bußgeldzahlungen im Gegensatz zum BDSG enorm angestiegen. Die DSGVO erhöht die Bußgeldzahlungen und Strafen bei Verstößen gegen den Datenschutz und verschärft somit das Bundesdatenschutzgesetz. Die DSVGO sieht Strafen in Höhe von “bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatz” vor (Art. 83 Abs. 5 DSGVO). Dadurch soll auf die Dringlichkeit des Datenschutzes hingewiesen werden und Unternehmen vor der Missachtung abschrecken.

Nachdem die französische Datenschutzbehörde CNIL Mitte Januar 2019 die mit 50 Millionen Euro bisher höchste DSGVO-bedingte Strafe gegen den Internetriesen Google verhängte, lassen nun auch die deutschen Datenschutzbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Taten sprechen. Wie die Datenschutzbehörde bei einem Trackingcheck von 40 Top-Websites anlässlich des Safer Internet Days 2019 festgestellt hat, holen diese die Besucher-Einwilligungen nicht DSGVO-konform ein - mit Konsequenzen für die betroffenen Unternehmen. Das BayLDA prüft aktuell die Einleitung von Bußgeldverfahren (mehr erfahren).

Fazit

Die DSGVO möchte die Rechte der Betroffenen in den Vordergrund stellen und ihnen die Hoheit über ihre eigenen Daten geben. Um als Unternehmen personenbezogene Daten verarbeiten zu dürfen, muss in den meisten Fällen eine Einwilligung der betroffenen Person vorliegen, möchte man keine Risiken bezüglich Bußgeldern eingehen. Mit einer Einwilligung der betroffenen Person kann ein Unternehmen in jedem Fall sicher sein, dass die Verarbeitung dieser personenbezogenen Daten zu den angegebenen Zwecken im Einklang mit der DSGVO steht.

Die DSGVO gibt für eine konforme Einwilligungen einige Kriterien vor. Wie eine DSGVO-konforme Einwilligung aussieht und welche Kriterien diese genau erfüllen muss, haben wir Ihnen in unserem Artikel “Die 7 Kriterien einer DSGVO-konformen Einwilligung” für Sie festgehalten.

Infografik: Personenbezogene Daten

Eine Übersicht, was die DSGVO unter personenbezogene Daten versteht, haben wir Ihnen nachfolgenden auch übersichtlich in einer Infografik festgehalten.

Infografik: Personenbezogene Daten
Download PNG
Wissen ›
Usercentrics Knowledge Hub: Hier teilen wir unser Wissen und geben Ihnen tiefgehende Einblicke.
Presse ›
Usercentrics in der Presse: Hier finden Sie eine Übersicht unserer Pressemitteilungen sowie eine Historie unserer Artikel.
Whitepaper ›
Geballtes Wissen: Mit unseren Whitepapern erhalten Sie strategische und operative Einblicke.
Webinare ›
Sie haben eines unserer Live-Webinare verpasst? Die Aufzeichnungen haben wir hier für Sie bereitgestellt.
Legal Update
Immer up-to-date: Mit unserem Legal Update halten wir Sie auf dem Laufenden über aktuelle Trends rund ums Thema Datenschutz.
Neues Whitepaper
Checklisten und praktische Hinweise zum korrekten Umgang mit Cookies und User-Identifiern nach DSGVO.