Neueste Beiträge
Personenbezogene Daten: Definition, DSGVO und Schutz
Möchten Sie Cookies? Die Frage begegnet uns mittlerweile auf jeder Website. Der Grund: Ein Unternehmen darf personenbezogenen Daten von uns nicht ungefragt speichern und verarbeiten – das regelt die Europäische Datenschutzgrundverordnung (DSGVO).
Doch was genau sind personenbezogene Daten – und was nicht? Welche Regeln gelten dafür? Dieser Artikel erklärt die Grundlagen anhand von praktischen Beispielen.
Personenbezogene Daten im Personalbereich DSGVO-konform speichern.
Definition: Was sind personenbezogene Daten?
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 46 Abs. 1 Bundesdatenschutzgesetz [BDSG]). Dazu gehören unter anderem Kontaktdaten, Bankdaten, Daten zur Internetnutzung oder Informationen zum Aussehen.
Solche Daten genießen durch die DSGVO besonderen Schutz. Sie garantiert EU-Bürger:innen das Recht auf informationelle Selbstbestimmung: Jede:r einzelne darf selbst entscheiden, welche Daten er oder sie wem preisgeben möchte und zu welchem Zweck.
Die Erklärung von zwei Begriffen im Gesetzestext hilft, näher zu bestimmen, welche Daten personenbezogen sind und welche nicht:
Bestimmte oder bestimmbare Personen (DSGVO-Definition: identifiziert oder identifizierbar): Die Daten müssen entweder direkt einer konkreten oder bestimmten Person zuordenbar sein; oder sie müssen sich durch zusätzliches Wissen oder zusätzlichen Aufwand einer bestimmbaren Person zuordnen lassen. Dieses Wissen kann auch von Dritten stammen.
Natürliche Personen: Die Person, auf die sich die Daten beziehen, muss ein lebender Mensch sein. Daten zu sogenannten juristischen Personen – wie Unternehmen und andere Organisationen – sowie zu verstorbenen Personen gelten nicht als personenbezogen.
Zusammengefasst: Informationen, die sich direkt oder indirekt einem bestimmten lebenden Mensch zuordnen lassen, sind personenbezogene Daten. Der Schutz der DSGVO gilt grundsätzlich weltweit; er bezieht die Daten aller EU-Bürger:innen mit ein, unabhängig von deren Wohn- oder Aufenthaltsort. (Außerhalb der EU dürfte der Schutz natürlich schwer durchsetzbar sein.)
Welche Daten sind nicht personenbezogen?
Im Umkehrschluss sind Daten nicht personenbezogen, wenn sie nicht einer einzelnen, natürlichen, lebenden Person zuordenbar sind: etwa anonymisierte Daten (wie bei einer Wahl oder Umfrage), Daten, die zu Unternehmen und anderen Organisationen gehören, oder Daten mit Bezug zu nicht mehr lebenden Personen.
Ist Ihre Personalabteilung DSGVO-konform aufgestellt?
Unsichere Tools oder keine Kontrolle über Excel-Dateien: Manchmal tappt selbst die beste HR-Abteilung in eine Datenschutzlücke. Mit Personios HR Software kann Ihnen das nicht passieren.
Personio kostenlos testenKategorien und Beispiele personenbezogener Daten
Welche Daten sind alles personenbezogene Daten? Prinzipiell gehören alle Daten dazu, auf die die oben genannten Kriterien zutreffen. Die folgende Liste ist eine Auswahl der am häufigsten verwendeten Personendaten:
Allgemeine Daten zur Person
Namen
Kontaktdaten: Adresse, Telefonnummer, E-Mail-Adresse
Geburtsdatum, Alter, Geburtsort, Staatsangehörigkeit, Familienstand
Oft gefragt: Gehört der Name zu den personenbezogenen Daten? Ja, ganz eindeutig. Lebende Personen sind über ihren Namen identifizierbar, deshalb gehört er zu den personenbezogenen Daten.
Physische Merkmale der Person
Geschlecht
Haar-, Augen- und Hautfarbe
Größe, Gewicht, Körperbau
besondere Merkmale
Finanz- und Besitzdaten
Konto- und Kreditkartennummern
Kontostände und Transaktionen
Angaben zu Krediten/Schulden oder Anlagen/Vermögen
Angaben zum Einkommen
Angaben zu Immobilienbesitz
Kennnummern
Kunden-, Mitglieds-, Personal-, Ausweisnummern usw.
Autokennzeichen
Online-Daten
IP-Adresse
Standorte
Kundendaten
Bestellungen, Retouren
Zahlungen
Personaldaten, berufliche Daten
Angaben zu Ausbildung und beruflichem Werdegang
Zeugnisse und Zertifikate
Urlaubs- und Krankheitszeiten
Höhe und Zusammensetzung von Lohn oder Gehalt
Datenschutz in der HR und am Arbeitsplatz
Wie können Arbeitgeber Personaldaten korrekt verarbeiten? Welche Rechte haben Arbeitnehmende? All das erfahren Sie in unseren ausführlichen Ratgebern:
Besondere Kategorien
Unter „besondere Arten personenbezogener Daten“ nennt § 9 DSGVO sensible Daten, die besonders schützenswert sind. Dazu gehören:
Angaben zu rassischer und ethnischer Herkunft
Angaben zu politischen, religiösen oder weltanschaulichen Überzeugungen
Angaben zur Gewerkschaftszugehörigkeit
Genetische Daten
Biometrische Daten, wie Fingerabdrücke oder Netzhaut-Scans
Gesundheitsdaten
Angaben zum Sexualleben oder zur sexuellen Orientierung
DSGVO: Datenschutzvorschriften für personenbezogene Daten
Sobald personenbezogener Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten dafür die Vorschriften der DSGVO. Was muss im Umgang mit den Daten beachtet werden?
Welche Daten dürfen gespeichert und verarbeitet werden?
Personendaten zu speichern und zu verarbeiten ist grundsätzlich verboten – es sei denn, es liegt ein Fall vor, in dem es ausdrücklich erlaubt ist. Auch dann gilt das Gebot der Datensparsamkeit: Es dürfen nur die Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind, also so wenig wie möglich.
§ 6 DSGVO definiert vier Fälle oder Rechtsgrundlagen für die Datenverarbeitung:
Einwilligung
Eine Person kann freiwillig zustimmen, dass ihre Daten verarbeitet werden dürfen. Zuvor muss die Person jedoch informiert worden sein, welche Daten für welchen Zweck verwendet werden sollen. Die Einwilligung ist jederzeit widerrufbar.
Beispiel: Eine Person akzeptiert Cookies für die Nutzungsanalyse auf einer Website und willigt ein, dass die Nutzungsdaten für die Marktforschung verwendet werden dürfen.
Vertragsverhältnis
Um einen Vertrag zu schließen und zu erfüllen, dürfen personenbezogene Daten verarbeitet werden.
Beispiel: Ein Arbeitgeber speichert Daten über seine Arbeitnehmer:innen in seiner Personalsoftware, um das im Arbeitsvertrag vereinbarte Arbeitsverhältnis ausführen zu können. Oder ein Unternehmen speichert die Adresse von Kund:innen für die Lieferung.
Berechtigtes Interesse
Personendaten dürfen verarbeitet werden, wenn ein berechtigtes Interesse daran stärker wiegt als der Schutz der Freiheit der Betroffenen und eine Einschränkung rechtfertigt.
Beispiel: Ein Unternehmen überwacht die Internetnutzung seiner Beschäftigten, um die IT-Sicherheit sicherzustellen und Betrug zu verhindern.
Gesetzliche Verarbeitungsermächtigungen
Die Datenverarbeitung ist ebenfalls zulässig, wenn sie erforderlich ist, um gesetzliche Pflichten zu erfüllen.
Beispiel: Das Finanzamt verarbeitet die Finanzdaten aller Bürger:innen, um die gesetzlich festgelegten Steuern einziehen zu können.
DSGVO-konform als Arbeitgeber
Wie stellen Arbeitgeber sicher, dass sie mit Personaldaten datenschutzkonform umgehen? Welche organisatorischen und technischen Vorkehrungen müssen sie treffen? Die kostenlose Checkliste für HR-Verantwortliche listet alles Wichtige auf.
Checkliste kostenlos herunterladenWas ist die Zweckbindung?
Personenbezogene Daten dürfen nur zweckgebunden verarbeitet werden; also jeweils nur für den Zweck, für den eine Rechtsgrundlage vorliegt. Die Daten dürfen nicht einfach für weitere Zwecke verwendet werden.
Beispiel: Eine Kundin hat bei einer Bestellung im Online-Shop Ihre E-Mail-Adresse angegeben, um Informationen zur Lieferung zu erhalten. Das Unternehmen darf die Adresse nicht (ohne zusätzliche Einwilligung) nutzen, um ihr einen Newsletter zuzusenden.
Was ist die Informationspflicht?
Wer personenbezogene Daten speichert und verarbeitet, muss die Betroffenen darüber transparent und vollständig informieren: welche Daten verarbeitet werden und zu welchen Zwecken, und welche Rechte Betroffene in Verbindung mit der Datenverarbeitung haben. (§ 12-14 DSGVO)
Was ist das Auskunftsrecht?
Damit Menschen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können, müssen sie wissen, wer welche Daten von ihnen verarbeitet. Daher gewährt ihnen § 15 das Recht, darüber jederzeit Auskunft von den Verantwortlichen zu verlangen.
Wann müssen die Daten gelöscht werden?
Laut § 17 DSGVO müssen personenbezogene Daten unter anderem gelöscht werden, wenn
sie für den vorgesehenen Zweck nicht mehr benötigt werden,
die Einwilligung zur Verarbeitung widerrufen wird, oder
die Daten unrechtmäßig erhoben wurden.
Wenn es gesetzliche Vorschriften gibt, dass die Daten länger aufbewahrt werden müssen, setzen diese das Recht auf Löschung außer Kraft.
Warum sind personenbezogene Daten schützenswert?
Datenschutzgesetze in Deutschland gibt es seit den 1970-er Jahren. Durch die Digitalisierung hat das Thema nochmals eine ganz neue Bedeutung bekommen: heute lassen sich mühelos Milliarden an Datensätzen zu jeder einzelnen Person erfassen, verarbeiten und analysieren. Es ist kaum möglich, zu kontrollieren, wer die Daten nutzt und zu welchen Zwecken. Gleichzeitig steigt das Risiko von IT-Sicherheitslücken und Cyberangriffen, bei denen Daten gestohlen und später missbraucht werden.
Unsere Daten verraten viel über uns und bieten Angriffsflächen, um uns zu schaden oder zu manipulieren. Mögliche Risiken sind etwa:
Identitätsdiebstahl, Betrug: Kriminelle nutzen die persönlichen Daten anderer Personen, um online Waren einzukaufen oder Zugang zu bestimmten Diensten zu erhalten
Diskriminierung: Aufgrund von Daten zur Gesundheit lehnen Arbeitgeber bestimmte Kandidat:innen von vornherein ab.
Meinungsmanipulation: Politische Parteien spielen gezielte Wahlwerbung an Menschen mit einer bestimmten Weltanschauung aus.
Überwachung: Ein Staat kontrolliert die Bewegungen seiner Bürger:innen mithilfe von Videoüberwachung und Software zur Gesichtserkennung.
Es ist meist unproblematisch, wenn Personendaten für den ursprünglichen Zweck verwendet werden. Das Risiko besteht darin, dass gespeicherte Daten leicht missbraucht werden können; Gesetze drohen zwar Strafen an, können Missbrauch aber letztlich nicht verhindern. Daher sollte alle von uns darauf bedacht sein, verantwortungsvoll mit unseren Daten und denen von anderen umzugehen.