single.php
< Beitrag von Samira Nuhu

DSGVO Basics: Personenbezogene Daten und ihre Verarbeitung

Das Ziel der DSGVO ist es, die Grundrechte und Grundfreiheiten natürlicher Personen zu stärken, besonders deren Recht auf den Schutz ihrer personenbezogenen Daten (Art. 1 Abs. 2 DSGVO). Aber wie sind personenbezogene Daten definiert? Und wie ist die Verarbeitung dieser Daten geregelt?

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informa­tionen, durch die eine Person eindeutig identifiziert werden kann. Auch Teilinformationen können personenbezogene Daten sein. Dies gilt immer dann, wenn die Kombination von Teilinformationen die Identifikation einer bestimmten Person zulässt. Zur Identifikation von Personen eigenen sich Daten wie z. B. diese:

Beispiele für personenbezogene Daten

Die DSGVO schützt personenbe­zogene Daten unabhängig davon, welche Technik zur Datenverar­bei­tung genutzt wird. So gilt die Verordnung sowohl für die automatisierte wie auch für die manuelle Verarbeitung der personenbe­zoge­nen Daten. Dabei ist es nicht entscheidend, wie die Daten gespeichert werden. Sei es in einem IT-System gespeichert oder auf Papier dokumentiert – in beiden Fällen gelten für personenbezogene Daten die in der DSGVO festgelegten Datenschutzklauseln.

Und was ist mit anonymisierten oder pseudonymisierten Daten?

Lassen sich die strengen Schutz-Vorgaben für personenbezogene Daten umgehen oder aufweichen, indem man diese Daten anonymisiert oder pseudonymisiert? Wer personenbezogene Daten anonymisiertverändert sie so, dass sich die Daten nicht mehr eindeutig einer Person zuordnen lassen (z. B. durch Löschen der Daten, die die Identifizierung der Person ermöglichen). Wer personenbezogene Daten pseudonymisiert, ersetzt die Daten durch einen Code oder Schlüssel (z. B. mehrstellige Buchstaben- und/oder Zahlenkombination).

Sowohl bei der Anonymisierung als auch bei der Pseudonymisierung bleiben die Daten personenbezogene Daten, wenn sie zur erneuten Identifizierung einer Person genutzt werden können. Anders ist es, wenn personenbezogenen Daten so anonymisiert sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Dann handelt es nicht mehr um personenbezogene Daten. Dies ist allerdings auch nur dann der Fall, wenn die Anonymisierung unumkehrbar ist.

Mit anderen Worten: Alle Informationen, die auf irgendeine Art und Weise Rückschlüsse auf eine natürliche Person zulassen, sind personenbezogene Daten.

Wann ist die Verarbeitung personenbezogener Daten rechtmäßig?

Die Verarbeitung personenbezogener Daten ist laut Art. 6 Abs. 1 DSGVO dann erlaubt, wenn mindestens eine der folgenden 6 Bedingungen erfüllt ist:

Bedingungen für die Verarbeitung von personenbezogenen Daten

Die DSGVO erlaubt die Verarbeitung personenbezogener Daten also nur dann, wenn diese Verarbeitung:

  1. zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Beispiel: die Erstellung eines Angebots oder eines Kostenvoranschlags.
  2. zur Erfüllung einer rechtlichen Verpflichtung notwendig ist. Beispiel: die Einhaltung gesetzlicher Aufbewahrungsfristen.
  3. dem Schutz lebenswichtiger Interessen der betroffenen Person dient.
  4. im Sinne des öffentlichen Interesses oder in Ausübung öffentlicher Gewalt geschieht.
  5. zur Wahrung des berechtigten Interesses des Unternehmens (Verantwortlichen) erforderlich ist und die Interessen, Grundfreiheiten und Grundrechte der betroffenen Person nicht überwiegen. Dabei müssen die berechtigten Interessen des Unternehmens müssen gut begründet sein. Dafür ein Beispiel:  Ein Fleischgroßhändler (= Verantwortlicher) bietet per Postmailing allen Restaurants seiner Stadt feinstes Iberico Fleisch an. Da dieses Mailing sicher nicht im Interesse der veganen Restaurantbesitzer ist, handelt es sich hier um eine unrechtmäßige Verarbeitung der personenbezogenen Daten durch den Fleischhändler.
  6. Für alle anderen Fälle, auf die die aufgeführten 5 Punkte nicht zutreffen, muss die betreffende Person der Verarbeitung ihrer Daten explizit zustimmen. Das heißt: Die betroffene Person muss unmissverständlich ihren Willen bekunden, dass sie mit der Verarbeitung ihrer Daten für einen oder mehrere klar definierte Zwecke einverstanden ist.

Die Einwilligung muss bestimmte Bedingungen erfüllen. Sie muss

  1. in einer verständlichen, leicht zugänglichen Form, in einfacher Sprache und ohne missbräuchliche Klauseln abgefasst sein.
  2. freiwillig erfolgen.
  3. das Recht auf Widerruf ohne Nachteile für den Betroffenen enthalten.

Deutsches Datenschutzrecht und DSGVO – wo sind die Unterschiede?

Das deutsche Datenschutzrecht gilt im internationalen Vergleich als recht streng. Was bleibt und was ändert sich mit der Umsetzung der DSGVO? Antworten auf diese Fragen im nächsten Blog-Beitrag von Samira Nuhu.

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.