Was sind eigentlich personenbezogene Daten?

Die Uhr tickt! Es bleiben nur mehr wenige Monate, um in Ihrem Unternehmen die DSGVO umzusetzen. Bedenkt man die hohen Strafen, die bei Nichteinhaltung drohen (bis zu 20 Millionen Euro oder 4% des globalen Umsatzes – je nachdem was höher ist), sollte man so rasch als möglich mit der Umsetzung beginnen. Ein Kernthema der Datenschutz-Grundverordnung ist der Schutz von personenbezogenen Daten. Doch was versteht man darunter eigentlich?

Personenbezogene Daten: die Definition

Unter personenbezogenen Daten versteht man all jene Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Das heißt, alle Informationen, die etwas über eine Person aussagen, sind personenbezogene Daten. Das muss nicht zwingend nur mit dem Erscheinungsbild einer Person, wie beispielsweise der Haarfarbe oder dem Fingerabdruck zusammenhängen. Auch Daten über die man einen Personenbezug herstellen kann – sogar wenn diese gesichert sind – sind personenbezogene Daten. Zum Beispiel fällt die Martrikelnummer eines Studenten unter die personenbezogenen Daten, selbst wenn die Identität des Studierenden darüber nicht direkt preisgegeben wird. Die Universität hat die Information, zu wem die Martrikelnummer gehört, aufbewahrt, weshalb man einen Personenbezug zu der Nummer herstellen könnte.

Besondere personenbezogene Daten: die sensiblen Daten

Die DSGVO definiert außerdem eine besondere Kategorie der personenbezogenen Daten, nämlich sensible Daten. Darunter fallen alle personenbezogenen Daten aus denen beispielsweise die rassische oder ethnische Herkunft, weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen. Darüber hinaus zählen die Verarbeitung von genetischen und biometrischen Daten, Gesundheitsdaten oder auch Daten zum Sexualleben zu den sensiblen Daten.

Die Datenschutz-Grundverordnung verbietet grundsätzlich die Verarbeitung von sensiblen Daten. Es wurden jedoch einige Ausnahmen definiert, darunter fällt unter anderem, wenn die Daten offenkundig selbst veröffentlicht wurden, zum Schutz lebenswichtiger Interessen bei Einwilligungsunfähigkeit und natürlich wenn der Betroffene seine Erlaubnis zur Verarbeitung gibt.

Datenschutzrechtliche Risiken und die Folgenabschätzung

Aufgepasst bei der Verarbeitung sensibler Daten! In manchen Fällen, wie beispielsweise der Verwendung neuer Technologien, bei denen ein hohes datenschutzrechtliches Risiko für die Rechte und Freiheiten natürlicher Personen besteht, ist eine Datenschutz-Folgenabschätzung notwendig. Das betrifft zum Beispiel:

Profiling-Maßnahmen, die als Grundlage für Bewertungen der Fähigkeiten einer Person dienen (z.B.: Versicherungen, Kreditinstitute)Die Häufige Verarbeitung von sensiblen Daten (z.B.: Arztpraxis, Rechtsanwaltskanzlei)Die Überwachung natürlicher Personen (z.B.: Überwachsungskamera vor dem Geschäft, elektronische Zeiterfassungskarten im Unternehmen)

Die Risikobestimmung richtet sich nach der Schwere des Schadens und der Eintrittswahrscheinlichkeit. Umso höher die Eintrittswahrscheinlichkeit und umso gravierender der voraussichtliche Schaden, desto eher müssen Gegenmaßnahmen installiert werden. Zur Risikoabschätzung und Umsetzung sollte ein Datenschutzbeauftragter bestimmt oder extern engagiert werden. Selbstverständlich müssen betroffene Personen über etwaige Risiken und Maßnahmen, ihre sensiblen Daten betreffend informiert werden.

Wir bieten Ihnen umfassende Beratung zur neuen Datenschutz-Rechtslage sowie bei der Unterstützung bei der technischen Umsetzung der DSGVO. Vereinbaren Sie noch heute ein Beratungsgespräch mit uns!

Valerija Nikolic
02.10.2017, 00:00