Kategorien Personenbezogener Daten - DSGVO

Was sind personenbezogene Daten laut DSGVO?

Art. 4 Nr. 1 der DSGVO gibt uns Aufschluss auf diese Frage: personenbezogene Daten sind alle Daten, die Rückschlüsse auf die Identifikation eines Menschen direkt oder indirekt zulassen. Außerdem zählen alle Informationen dazu, die einer bestimmten Person konkret zugeordnet werden können.

Im Klartext heißt das, dass gemäß Grundverordnung nicht nur der Name, eine Kennzahl oder die Standortdaten zu den personenbezogenen Daten zählen, sondern auch Informationen, wie die Erfassung von Arbeitszeiten oder etwa die Beurteilungsergebnisse einer Prüfung.

Zum Schutz von Privatpersonen ist die Definition des Begriffs „personenbezogene Daten“ im Gesetz und in der Rechtsprechung, möglichst weit auszulegen.

Warum müssen personenbezogene Daten besonders geschützt werden?

Anhand von personenbezogenen Daten können Dritte u.a. einzelne Personen identifizieren oder gar Rückschlüsse auf deren Lebensführung ziehen. Viele Unternehmen speichern massenweise personenbezogene Daten – sei es zu Marketing- und Forschungszwecken oder zur Entwicklung von Verkaufsstrategien etc. Bei ihren Kunden steigt zugleich aber die Sorge, mehr und mehr zum gläsernen Menschen zu werden. Auch die Gefahr, dass durch Datenpannen oder Diebstahl (Stichwort „Phishing“) sensible Informationen in die Hände von Kriminellen gelangen könnten wächst immer mehr.

Manche Informationen (etwa zum Sexualleben, zur Gewerkschaftszugehörigkeit oder Weltanschauung) können für einzelne Personen äußerst nachteilig oder gar gefährlich sein. Aus diesem Grund wurden durch die DSGVO entsprechende Regelungen geschaffen, die Unternehmen und Behörden dazu verpflichten sorgsam mit den personenbezogenen Daten umzugehen und dafür zu sorgen, dass diese durch technische und organisatorische Maßnahmen innerhalb des Unternehmens oder der Behörde geschützt sind. Dies gilt des Weiteren auch für deren Dienstleister, die diese einsetzen um personenbezogene Daten zu verarbeiten.

DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie im Handumdrehen Ihren Datenschutz!

Jetzt 14 Tage kostenlos testen

Hier mehr erfahren!

Welche Kategorien personenbezogener Daten gibt es?

In den Kategorien werden verschiedene Einzelmerkmale gebündelt, um diese nicht alle einzeln angeben zu müssen. Man sollte sich jedoch im Vorwege Gedanken darüber machen, welche Einzelangaben man in einer Datenkategorie zusammen fasst und was sinnvoll ist. In unserer Datenschutzmanagementsoftware DSM-Online haben wir einige Standardkategorien zur Auswahl angelegt und diese wie folgt definiert.

Personendaten: Vor- und Nachname, Geburtsdatum, Sterbedatum, Adresse
Vertragsdaten: Jeweilige essentialia negotii des Vertrages; z.B. Beginn, Laufzeit, Beendigung, Vergütung, Inhalt
Adressdaten: Straße, Hausnummer, PLZ, Ort, Land
Bewerberdaten: Alle Daten die im Wege einer Bewerbung dem Verantwortlichen zugesendet werden, wie z.B. Personendaten, Lebenslauf, Qualifikationen, Hobbys
Gewährleistungsdaten: Daten, welche besagen, wann und in welchem Umfang eine gesetzliche Gewährleistung fällig wird
Bankdaten: Name der Bank, BIC und IBAN, Kontoinhaber
Sozialdaten: Beziehungsstatus, verheiratet, geschieden, verwitwet, Kinder
Bonitätsdaten: Kapitalbeteiligungen, Kredite, Ausgaben, Einnahmen, Vermögen, Schulden, usw.
Qualifikationsdaten: Lebensläufe, Zeugnisse, Zertifikatsdaten, Fortbildungsdaten
Stammdaten: Name, Vorname, Geburtstag, Nationalität, Fahrerlaubnisse, Behinderungen, Steuernummer, Unterhaltsverpflichtungen, Lohnpfändung
Versicherungsdaten: Sozialversicherungsnummer, Rentenversicherung, private Altersvorsorge, Arbeitslosen- und Pflegeversicherung
Verhaltensdaten: Abmahnungen, Ermahnungen, Belobigungen, Beurteilungen durch Vorgesetze, Jahresgespräche
Lieferdaten: Waren und Warenmengen, Lieferorte und – zeitpunkte, Empfänger, Versender
Abrechnungsdaten: Lohnabrechnungen, Reisekosten- und Spesenabrechnungen, Leistungsabrechnung aus dem Vertrag, Steuerdaten
Mitarbeiterdaten: Ein- und Austritt im Unternehmen, Name, Funktion, Tätigkeit, interne Kontaktdaten, wie Telefonnummer und E-Mail-Adresse
Behördendaten: Adresse, Kontaktdaten und Zuständigkeiten des Behördenmitarbeiters, Funktion der Behörde, Bebauungspläne, Verkehrspläne
Leistungsdaten: Testergebnisse, Bewertungsergebnisse, Beurteilungsergebnisse
Schadensdaten: Schadenart, Schadentag, Schadenort, Schadenobjekt
Nutzungsdaten: Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien; legaldefiniert in § 15 TMG

Was sind besonders schützenwerte personenbezogene Daten?

In der EU-DSGVO sind einige Datenkategorien besonders benannt, da diese einen höheren Schutzbedarf verlangen. Diese Datenkategorien sind in den Artikeln 9 – Verarbeitung besonderer Kategorien personenbezogener Daten explizit aufgelistet:

„zur rassischen und ethnischen Herkunft“,
„zu politischen Meinungen“,
„zu religiösen oder weltanschaulichen Überzeugungen“,
„zu einer Gewerkschaftszugehörigkeit“,
„zum Sexualleben oder sexuellen Orientierung“
„genetische und biometrische Daten“ hervorgehen, die wiederum in Art. 4 Nr. 13 und 14 DSGVO definiert werden, sowie
Gesundheitsdaten

Die Datenschutz-Grundverordnung untersagt grundsätzlich die Verarbeitung dieser besonders schützenswerter personenbezogener Daten. Die Verarbeitung dieser Kategorie ist ausschließlich in besonderen Ausnahmefällen gestattet. Jedoch muss jedes Unternehmen diese Daten in der Regel verarbeiten, wenn Mitarbeiter eingestellt sind. Im Beschäftigungsverhältnis werden zumindest Daten über die Religion bzw. Gesundheitsdaten verarbeitet.

Des Weiteren werden in Artikel 10 der EU-DSGVO die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten benannt.

Worauf müssen Datenverantwortliche bei der Verarbeitung personenbezogener Daten achten?

Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten. Man benötigt immer eine Rechtsgrundlage um eine Verarbeitung der Datenkategorien durchführen zu können. Ist keine Rechtsgrundlage vorhanden, dürfen die personenbezogenen Daten auch nicht verarbeitet werden. Zu den Rechtsgrundlagen wie in Artikel 6 der EU-DSGVO beschrieben gehören:

die Einwilligung des Betroffenen
ein Vertrag oder eine vorvertragliche Maßnahme
eine rechtliche Verpflichtung, ein Gesetz welches die Verarbeitung verlangt
das lebenswichtige Interesse der betroffenen Person oder einer anderen natürlichen Person
das öffentliche Interesse
die Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten

Neben der Rechtsgrundlage ist es wichtig die Prozesse im so genannten Verzeichnis der Verarbeitungstätigkeiten explizit zu beschreiben wie es in Artikel 30 der EU-DSGVO angegeben ist. Die Betroffenen müssen über die Verarbeitung welche Datenkategorien verarbeitet werden bereits bei der Erhebung informiert werden und die Betroffenen haben Rechte, die man Ihnen gewähren muss, wenn man ihre personenbezogenen Daten verarbeiteten möchte bzw. muss.

Falls ein besonderes Risiko bei der Verarbeitung der personenbezogenen Daten besteht, muss vor der Verarbeitung ein weiteres Element der EU-DSGVO hinzugezogen werden. Das Unternehmen muss mit Hinzunahme seines Datenschutzbeauftragten eine so genannten Datenschutz-Folgenabschätzung durchführen.

Haben Sie weitere Fragen oder benötigen Unterstützung?

DSM-Online hilft Ihnen nicht nur bei der Organisation Ihres Datenschutzes, der Definition Ihrer technischen und organisatorischen Maßnahmen, der Datenschutz-Folgeabschätzung, sondern auch bei der Verwaltung von Betroffenenrechten und Verletzungen, dem Erstellen von Hinweispflichten, Verträgen zur Auftragsverarbeitung, Geheimhaltungsvereinbarungen und vielem mehr.