Was Sind personenbezogene Daten

Um die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) einzuhalten, sollte als erstes ermittelt werden welche personenbezogenen Daten werden in meinem Betrieb verarbeitet. Um diese Aufgabe abzuschließen, müssen personenbezogene Daten erst indentifiziert werden. Dies ist nicht immer einfach.

erstellt am 25. März. 2020 - in Datenschutzgrundlagen

Berücksichtigt wird die Gesetzeslage in Deutschland, in anderen europäischen Ländern gelten teilweise andere Definitionen.

Die DSGVO definiert personenbezogene Daten im Artikel 4. Natürlich geht es schwerpunktmäßig nicht um den Namen oder die Adresse von Menschen, sondern um zusätzliche Informationen die den einzelnen Personen zugeordnet werden können. Es macht keinen Unterschied ob das Datum eine wichtige, sensible oder vollkommen harmlose Information enthält.

Personenbezogene Daten definieren

In Artikel 4 Absatz 1 der DSGVO wird erklärt, was der Ausdruck personenbezogene Daten im Zusammenhang mit der Verordnung bedeutet.

“personenbezogene Daten” alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Nanem, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Mekmalen identifiziet werden kann, die Ausdruck der physicchen, physiologischen, geetischen, psychischen, wirtschaftliechen, klturelen oder szialen Identität dieser natürlichen Person sind;  identifiziert werden kann.

Quelle: Artikel 4 Absatz 1 DSGVO

Somit sind alle Daten, die einer natürlichen Person unmittelbar oder mittelbar zugeordnet werden können, personenbezogene Daten.

Natürliche Personen nach dem Datenschutz 

Eine natürliche Person, ist eine lebende Person also jeder Mensch. Juristische Personen wie z.B. Vereine, Körperschaften oder auch Gesellschaften werden nicht von der DSGVO geschützt. Wobei zu berücksichtigen ist, dass der Geschäftsführer einer GmbH oder der Vorsitzende eines Vereins wiederum eine natürliche Person ist.

Beispiel: Gesellschaft als personenbezogenes Datum.
Hans Meier gründet eine GmbH mit dem Namen “Hans Meier Wuppertal GmbH”. Der Gesellschaftsname kann unmittelbar der Person Meier zugeordnet werden und ist somit ein personenbezogenes Datum.

Unmittelbare personenbezogene Daten 

Unmittelbare personenbezogene Daten können ohne weitere Informationen einer Person zugeordnet werden. Das heißt, die Person ist über das Datum bzw. die Daten identifizierbar. Personenbezogene Daten die direkt (unmittelbar) zugeordnet werden können sind z.B.:
Vorname, Nachname, Alter, Geburtsdatum, Anschrift, Telefonnummer, E-Mailadresse, Internetseite, Auto, KFZ-Kennzeichen, Motorrad, Zeugnisse, Krankendaten, Fotos, Videoaufnahmen und vieles mehr.

Personenbezogene Daten die direkt (unmittelbar) zugeordnet werden können sind z.B.:
Vorname, Nachname, Alter, Geburtsdatum, Anschrift, Telefonnummer, E-Mailadresse, Internetseite, Auto, KFZ-Kennzeichen, Motorrad, Zeugnisse, Krankendaten, Fotos, Videoaufnahmen und vieles mehr.

Mittelbare personenbezogene Daten 

Personenbezogene Daten die ohne erheblichen Aufwand, ggf. auch von dritten, (mittelbar) einer Person zugeordnet werden können.
Dies bedeutet, dass nicht der Verantwortliche die Daten einer Person zuordnen kann, sondern es reicht, wenn ein dritter dies könnte.

Personenbezogene Daten die indirekt (mittelbar) zugeordnet werden können sind z.B.:
Die Kontonummer; über die Kontonummer kann eine Bank den Inhaber des Kontos identifizieren.
Die Fahrgestellnummer; mit der Fahrgestellnummer kann das Strassenverkehrsamt oder ggf. eine Autowerkstatt den Besitzer finden.
Krankenversicherungsnummer, Kundennummer, Mitgliedsnummer eines Vereins, und viele Daten mehr.

Die Bezeichnung “alle Informationen”, im Artikel 4, schließt hier ebenfalls z.B. Prüfungen, Notizen zu Prüfungen oder auch Arbeitszeiten ein, sobald diese Daten einer Person zugeordnet werden könnten.

Personenbezogene Daten im Betrieb ausfindig machen

Um die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie weitere nationale Gesetze einzuhalten, sollten Sie als erstes ermitteln welche personenbezogenen Daten werden in Ihrem Betrieb verarbeitet. Die Verantwortung liegt immer beim Verantwortlichen, dies ist die natürliche oder juristische Person, die über den Zweck und die Mittel der Verarbeitung entscheidet. Z.B. der Firmeninhaber, der Geschäftsführer, der Vermieter oder der Vereinsvorsitzende.
Quelle: Artikel 4 Absatz 7 DSGVO

Um diese Aufgabe abzuschließen, müssen personenbezogene Daten erst identifiziert werden. Dies ist nicht immer trivial. Die meisten verwenden in der heutigen Zeit, E-Mail- und Officeprogramme. Steuerrelevante Dokumente werden dem zuständigen Finanzamt und ggf. einem Steuerberater vorgelegt. Schwieriger wird es bei nicht täglich angewandter oder „versteckter“ Verarbeitung. Dies ist z.B. die Telefonliste, das Navigationsgerät oder der Telefonanbieter der in den Standardeinstellungen alle Telefonate im Webinterface speichert.

Nicht vergessen werden sollte z.B. die Papierablage oder das Visitenkartenbuch. Denn nicht nur elektronisch verarbeitete personenbezogene Daten schützt die DSGVO sondern alle Daten die erhoben, geordnet und verarbeitet werden. Es spielt keine Rolle ob dies in einem Karteikasten oder auf einer Festplatte geschieht.

…jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang …

Quelle Artikel 4 Absatz 2 DSGVO

Checkliste für Verzeichnis von Verarbeitungstätigkeiten erstellen

Sinnvoll ist es eine einfache Checkliste zu erstellen, die alle Programme und Orte auflistet, bei denen personenbezogene Daten verarbeitet werden. Diese Liste bekommt jede*r Mitarbeiter*in und trägt dort alle Programme ein mit denen er/sie täglich arbeitet und alle Tätigkeiten die ausgeführt werden.

Diese könnte in etwa wie folgt aussehen.

Diese Checkliste kann jedem Mitarbeiter zur Verfügung gestellt werden, so dass jeder seine individuellen Programme und Ablagen dokumentieren kann. Dadurch wird eine Übersicht geschaffen, wer wann wo mit personenbezogenen Daten umgeht um diese dann strukturiert in ein Verzeichnis von Verarbeitungstätigkeiten zu übernehmen und ggf. eine Neuorganisation zu implementieren. Damit ist der erste Schritt zur Dokumentationspflicht getan.