Der Schutz personenbezogener Daten ist ein zentrales Thema im digitalen Zeitalter. Doch was genau sind personenbezogene Daten? Die Datenschutz-Grundverordnung (DSGVO) definiert dies genau. Sie macht vor allem Vorgaben für den Umgang mit personenbezogenen Daten für Unternehmen. Die Umsetzung der Richtlinien ist wichtig, da Unternehmen bei Nichteinhaltung hohe Bußgelder drohen.
Im folgenden Blogbeitrag erläutern wir die wichtigsten Bestimmungen der DSGVO und was diese konkret für Arbeitgeber bedeuten.
Key Facts
- Die DSGVO regelt den Schutz personenbezogener Daten und legt den rechtlichen Rahmen für den Umgang mit diesen Daten EU-weit fest.
- Für Unternehmen ergeben sich aus der DSGVO eine Reihe von Pflichten, bei deren Nichteinhaltung hohe Bußgelder drohen.
- Zu den personenbezogenen Daten gehören u. a. allgemeine Daten, Kennnummern, Online-Daten, biometrische Daten, Gesundheitsdaten oder auch finanzielle Infos.
- Was sind personenbezogene Daten?
- Personenbezogene Daten – Datenschutz und die Datenschutzgrundverordnung (DSGVO)
- Für Arbeitgeber: Was sind die wichtigsten Regelungen der DSGVO?
- Wann dürfen personenbezogene Daten verarbeitet werden?
- Welche Daten dürfen gespeichert und verarbeitet werden?
- Wann müssen personenbezogene Daten gelöscht werden?
- Wie können Unternehmen Zustimmung zur Verarbeitung und Speicherung von personenbezogenen Daten einholen?
- Was fällt nicht unter personenbezogene Daten?
- Personenbezogene Daten – Unternehmen Beispiele
Was sind personenbezogene Daten?
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine identifizierbare Person ist jemand, die direkt oder indirekt durch Verwendung zusätzlicher Informationen identifiziert werden kann.
Zu den personenbezogenen Daten gehören:
- Allgemeine Daten wie Vor- und Nachname einer Person, Geburtsdatum und -ort, Anschrift (Straße, Hausnummer, Postleitzahl, Stadt)
Die häufig gestellte Frage: Gehört der Name schon zu personenbezogenen Daten? kann also eindeutig bejaht werden.
Personenbezogene Daten Alter: Auch das Alter gehört zu den personenbezogenen Daten. - Kennnummern wie Sozialversicherungsnummer, Ausweis- oder Personalnummer
- Online-Daten wie IP-Adresse, Online-Benutzererkennung bzw. Online-Kennung(z. B. Benutzer*innenname)
- Biometrische Daten wie z. B. Fingerabdrücke, Gesichtserkennungsdaten
- Gesundheitsdaten
- Finanzielle Informationen, z. B. Bankkontonummer, Kreditkartendaten
- Berufliche Information, z. B. Arbeitgeber, Berufsbezeichnung, Ausbildung
- Kund*innen- oder Bestelldaten
- Physische Merkmale wie Haarfarbe, Größe oder Augenfarbe
Neben diesen „klassischen“ Daten gibt es auch besondere Kategorien personenbezogener Daten, die bspw. Gesundheitsdaten, ethnische Herkunft, politische Meinungen, oder Daten über strafrechtlich Relevantes enthalten.
Personenbezogene Daten – Datenschutz und die Datenschutzgrundverordnung (DSGVO)
Der Begriff der „personenbezogenen Daten“ ist Kernbegriff des Datenschutzes und der Datenschutzgesetze. Die Grundlage dafür bildet das Recht auf Privatsphäre und den Schutz ebendieser personenbezogener Informationen einer Person.
EU-weit ist der Schutz dieser Daten in der Datenschutz-Grundverordnung (DSGVO) geregelt. Das Gesetz definiert den Umfang der schützenswerten Informationen und den rechtlichen Rahmen für den Umgang mit diesen Daten.
Warum trat die DSGVO in Kraft?
Die Datenschutz-Grundverordnung trat 2018 EU-weit in Kraft. Sie ersetzte die zuvor geltende Datenschutzrichtlinie von 1995.
Ziel der DSGVO war es, den Datenschutz in der gesamten Europäischen Union zu harmonisieren und den Schutz personenbezogener Daten zu stärken.
Für Arbeitgeber: Was sind die wichtigsten Regelungen der DSGVO?
Mit der DSGVO müssen auch Unternehmen verstärkt auf Datenschutz achten und darauf, wie sie Ihre Dokumente managen. Hier sind einige Regelungen, die Arbeitgeber direkt betreffen:
- Einwilligung:
Die DSGVO legt strengere Anforderungen für die Einholung einer wirksamen Einwilligung zur Verarbeitung personenbezogener Daten fest. Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. - Rechte der betroffenen Personen:
Die DSGVO stärkt die Rechte der betroffenen Personen, darunter das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch. Insgesamt gilt also ein Recht auf informationelle Selbstbestimmung. - Meldepflicht bei Datenpannen:
Unternehmen sind verpflichtet, Datenpannen, bei denen ein Verstoß gegen den Schutz personenbezogener Daten vorliegt, den Datenschutzbehörden innerhalb von 72 Stunden zu melden. - Datenschutzbeauftragte*r:
Unternehmen müssen unter bestimmten Umständen eine*n Datenschutzbeauftragte*n benennen, der die Einhaltung der Datenschutzbestimmungen überwacht und berät. - Datenschutz-Folgenabschätzung:
Unternehmen müssen eine Datenschutz-Folgenabschätzung durchführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten der betroffenen Personen mit sich bringt. - Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default):
Unternehmen müssen Datenschutzmaßnahmen von Anfang an in ihre Produkte, Dienstleistungen und Geschäftsprozesse integrieren. - Dokumentationspflicht:
Unternehmen müssen umfangreiche Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen, einschließlich der Zwecke der Verarbeitung, der Kategorien der verarbeiteten Daten, der Datenempfänger und der Speicherfristen. - Internationale Datenübermittlung:
Die DSGVO enthält strengere Regeln für die Übermittlung personenbezogener Daten außerhalb der EU.
Wichtig: Für Arbeitgeber ist es wichtig, diese Bestimmung einzuhalten. Bei Verstößen drohen laut § 83 der DSGVO Geldbußen von bis zu 20.000 Euro oder 2 % des Jahresumsatzes eines Unternehmens fällig.
Wann dürfen personenbezogene Daten verarbeitet werden?
Personenbezogene Daten dürfen gemäß § 6 DSGVO verarbeitet werden, wenn eine rechtliche Grundlage für die Verarbeitung vorliegt. Das ist unter anderem im Folgenden der Fall:
- Einwilligung: Die Verarbeitung ist rechtmäßig, wenn die betroffene Person ihre ausdrückliche Einwilligung gegeben hat.
Beispiel: Ein Online-Shop möchte personalisierte Werbe-E-Mails an die Kund*innen senden. Bevor dies geschehen kann, müssen die Kund*innen ihre ausdrückliche Einwilligung dazu geben.
- Vertragserfüllung: Die Verarbeitung kann rechtmäßig sein, wenn sie zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erfolgt.
Beispiel: Eine Versicherungsgesellschaft muss personenbezogene Daten der Kund*innen verarbeiten, um einen Versicherungsvertrag abzuschließen und die damit verbundene Leistung bereitzustellen.
- Erfüllung rechtlicher Verpflichtungen: Die Verarbeitung kann erforderlich sein, um gesetzlichen Verpflichtungen nachzukommen. Das kann bspw. bei der Erfüllung von Steuer- oder Buchhaltungsvorschriften der Fall sein.
Beispiel: Ein Unternehmen ist gesetzlich verpflichtet, die Lohnsteuer der Mitarbeitenden zu berechnen und an die Steuerbehörde abzuführen. Dafür müssen personenbezogene Daten wie Name und Sozialversicherungsnummer verarbeitet werden.
- Wahrnehmung berechtigter Interessen: Die Verarbeitung kann auf der Grundlage berechtigter Interessen des Verantwortlichen oder eines Dritten erfolgen, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.
Beispiel: Eine Einzelhändlerin überwacht die Geschäftsräume mithilfe von Sicherheitskameras, um Diebstahl und Vandalismus zu verhindern. Die Überwachung erfolgt auf Grundlage des berechtigten Interesses der Einzelhändlerin, ihr Eigentum zu schützen.
Welche Daten dürfen gespeichert und verarbeitet werden?
Laut § 5 DSGVO dürfen Daten nur so lange gespeichert und verarbeitet werden, wie
- sie zweckgebunden sind
Beispiel: Ein Unternehmen speichert Kundendaten zur Abwicklung von Bestellungen. Nach Auslieferung der Bestellung darf den Kund*innen ohne weitere Einwilligung keine Werbung zugesandt werden.
- sie nicht unrechtmäßig erhoben wurden.
- die Einwilligung nicht widerrufen wurde.
- eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist.
- sie sachlich richtig und auf dem neuesten Stand sind.
- sie in einem dem Zweck dienlichen angemessen Umfang erhoben worden sind (Datenminimierung)
Wann müssen personenbezogene Daten gelöscht werden?
DSGVO Personenbezogene Daten löschen
Laut § 17 DSGVO müssen Daten gelöscht werden, wenn diese
- nicht mehr zweckdienlich sind
- unrechtmäßig erhoben worden sind
- mit einer Einwilligung widerrufen wurden
Wie können Unternehmen Zustimmung zur Verarbeitung und Speicherung von personenbezogenen Daten einholen?
Die Zustimmung zur Verarbeitung und/oder Speicherung personenbezogener Daten können Unternehmen auf verschiedene Weise einholen. Hier einige konkrete Beispiele:
- Opt-In-Kästchen: Auf Ihren Webseiten können Arbeitgeber sogenannte Opt-In-Kästchen verwenden, um die Zustimmung der Benutzer*innen einzuholen. Diese müssen das Kästchen aktiv ankreuzen, um der Verarbeitung ihrer Daten zuzustimmen. Zum Beispiel kann ein Online-Shop ein Opt-In-Kästchen verwenden, um die Benutzer*innen um Zustimmung zur Verwendung der E-Mail-Adresse für Marketingzwecke zu bitten.
- Eindeutige Zustimmungserklärung: Unternehmen können eine eindeutige Zustimmungserklärung bereitstellen, in der die Zwecke, für die die Daten verarbeitet werden sollen, klar und deutlich angegeben sind. Die Benutzer*innen müssen die Erklärung lesen und aktiv zustimmen, indem sie beispielsweise auf einen „Zustimmen“-Button klicken.
- Schriftliche Einwilligung: In einigen Fällen kann es erforderlich sein, dass Unternehmen eine schriftliche Einwilligung zur Verarbeitung personenbezogener Daten einholen. Die schriftliche Einwilligung kann in Form eines unterschriebenen Dokuments oder eines elektronischen Verfahrens erfolgen. DSGVO – Schriftliche Erklärung Muster: Online finden sich zahlreiche Vorlagen, die sie für die unterschiedlichsten Zwecke nutzen können.
- Vertragliche Zustimmung: Wenn die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags erforderlich ist, kann die Zustimmung implizit in den Vertragsbedingungen enthalten sein. Zum Beispiel kann ein Telekommunikationsunternehmen die Zustimmung zur Verarbeitung personenbezogener Daten als Teil des Vertrags zur Erbringung von Dienstleistungen beinhalten.
Was fällt nicht unter personenbezogene Daten?
Nicht alle Informationen gelten als personenbezogene Daten. Wenn bestimmte Daten keine direkte Verbindung zu einer identifizierten oder identifizierbaren natürlichen Personen herstellen können, gelten sie nicht als personenbezogene Daten.
Dazu gehören beispielsweise:
- Anonymisierte Daten: Daten, die so modifiziert wurden, dass sie nicht mehr einer bestimmten Person zugeordnet werden können. Beispiel: Statistische Daten
- Juristische Personen
- Allgemein zugängliche Informationen: Informationen, die öffentlich verfügbar sind und keine Verbindung zu einer bestimmten Person herstellen.
- Verstorbene Personen
- Geschäftsdaten wie Firmenname und Geschäftsadresse
Personenbezogene Daten – Unternehmen Beispiele
Als Arbeitgeber fragen Sie sich bestimmt, inwiefern Sie überhaupt mit personenbezogenen Daten während der Arbeit zu tun haben. Es gibt eine Reihe von Fällen, in denen Unternehmen mit personenbezogenen Daten von Kund*innen, Mitarbeitenden oder Geschäftspartner*innen zu tun haben.
Personenbezogene Daten Beispiele
- Kundenmanagement: Unternehmen sammeln und speichern personenbezogene Daten wie Namen, Kontaktdaten, Zahlungsinformation und Kaufhistorie ihrer Kund*innen, um Bestellungen zu bearbeiten, Kundenservice anzubieten und Verträge zu verwalten.
- Daten von Mitarbeitenden: Unternehmen erfassen personenbezogene Daten ihrer Mitarbeiter*innen wie Name, Kontaktdaten, Sozialversicherungsnummer und Bankverbindung für Personalverwaltungszwecke, Lohnabrechnungen o. ä. in der Personalakte.
- Marketing und Werbung: Unternehmen verarbeiten personenbezogene Daten, um Marketingkampagnen zu planen und durchzuführen. Dazu gehören Informationen über das Nutzungsverhalten von Kund*innen, Präferenzen und demografische Daten, um Zielgruppen besser anzusprechen.
- Kund*innenanalyse: Ein Bankinstitut analysiert personenbezogene Daten wie Einkommen, Ausgabeverhalten und Kreditwürdigkeit, um z. B. eine Kreditentscheidung zu treffen.
- Soziale Netzwerke: Eine Social-Media-Plattform sammelt und analysiert personenbezogene Daten wie Interesse, Beziehungen, Standortinformationen und Aktivitäten, um personalisierte Inhalte bereitzustellen und Werbung zu optimieren.
Somit hat also jede HR-Abteilung tagtäglich mit personenbezogenen Daten zu tun und muss auch wissen, wie sie DSGVO-konform mit diesen umzugehen hat. Hohe Bußgelder für Datenschutzverstöße sowie Rufschädigung sind nur einige der Gründe, die für eine ordentliche Auseinandersetzung mit Datenschutzregeln sprechen.
Bei Factorial nehmen wir das Thema Sicherheit ernst und bei der Verwendung unserer HR-Software können Sie sich drauf verlassen, dass Ihre Mitarbeiterdaten in sicheren Händen sind.