Wer sich mit Datenschutzthemen beschäftigt, kommt um ein Thema nicht herum: Der Umgang mit personenbezogenen Daten zieht sich wie der berühmte rote Faden durch die gesamte DSGVO. Und das nicht ohne Grund, denn schließlich hängt da einiges dran. Warum und wie Ihr Fahrplan aussieht, erfahren Sie in diesem Beitrag.
Doch bevor wir uns den richtigen Umgang mit personenbezogenen Daten ansehen, sollten wir zunächst einmal klären:
Was sind personenbezogene Daten überhaupt?
Eine ganz wichtige Frage, um die Dringlichkeit des Themas zu verstehen. Zum Glück reicht hier wie so oft in Datenschutz-Fragen ein Blick in die DSGVO. Artikel 4 definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Einfacher ausgedrückt: Personenbezogene Daten sind sämtliche Informationen, mit denen Sie eine Person identifizieren könnten, also
- Demographische Daten wie Geburtsdatum, Familienstand
- Kennnummern wie die Sozialversicherungsnummer
- Onlinedaten wie die IP-Adresse
- Bankdaten wie Kontonummer, aber auch Einkommen
- Zeugnisse
sowie besonders schützenswerten Daten, die Rückschluss auf die Lebensführung zulassen:
- Sexuelle Orientierung
- Politische Ansichten
- Religion
- Genetische Informationen
- Krankendaten
Diese Identifizierung kann übrigens auch rein theoretisch geschehen. Beispiel: Sie erfahren aus Unterlagen, dass eine Ihnen unbekannte Person grüne Haare hat, weiblich, japanischer Nationalität und 74 Jahre alt ist. Sie wissen, dass Sie diese Dame bei einer Begegnung sofort erkennen würden. Genauso könnten Sie eine Person über ihre Kundennummer in Ihrem Unternehmen identifizieren. Es wird uns also klar: Jeder von uns ist irgendwie identifizierbar. Deshalb wird der Umgang mit personenbezogenen Daten auch klar geregelt, was uns zur nächsten Frage führt:
Warum muss ich beim Umgang mit personenbezogenen Daten besonders aufpassen?
Wenn jeder von uns aufgrund von Informationen identifiziert werden kann und sogar Rückschlüsse auf unsere Lebensführung möglich sind (Stichwort gläserner Mensch), macht uns das natürlich angreifbar. Von Privatsphäre ganz zu schweigen. Besonders in der digitalen Welt wird dieses Thema immer kritischer, da viele Menschen schon mit ihren eigenen Daten nicht besonders achtsam umgehen. Ein Grund, warum sich Datenschutz-Experten angesichts des gedankenlosen Umgangs der Nutzer mit den sozialen Netzwerken die Hände über dem Kopf zusammenschlagen.
Unternehmen tragen beim Umgang mit personenbezogenen Daten eine besonders große Verantwortung, denn sie verwalten teilweise sehr sensible Informationen einer großen Anzahl von Menschen, die darauf vertrauen, dass ihre Daten bei dem Unternehmen in sicheren Händen sind. Geraten die Informationen in die falschen Hände, weil beispielsweise ein schädlicher Link in einer E-Mail geklickt wurde, ist das natürlich fatal.
Wie sieht nun also der sachgemäße Umgang mit personenbezogenen Daten aus?
Zunächst einmal sollten Sie wissen, dass die Verarbeitung personenbezogener Daten nur unter fest geregelten Umständen gestattet sind, wie sie Artikel 6 der DSGVO auflistet. Ganz klassisch wäre das zum Beispiel die ausdrückliche Einwilligung der betroffenen Person.
Um beim Umgang mit personenbezogenen Daten nichts zu übersehen, hilft die Einteilung nach drei wichtigen Bereichen: IT, Mitarbeiter und die Verarbeitung.
Aufgaben der IT: Sicherheit der gesammelten Daten
Stellen wir uns Ihr Unternehmen als Festung vor, in deren Innerem nicht nur Ihre Einnahmen, sondern auch sämtliche Daten gelagert werden. Damit nicht jeder einfallen kann, braucht diese Festung einen Schutzwall – Cybersicherheit. Dieser Schutzwall setzt sich aus einer Firewall und Sicherheitssoftware zusammen, aber auch aus verschlüsselter Kommunikation, sicheren Passwörtern und regelmäßigen Updates sämtlicher Software. Lagern Sie Daten noch analog, müssen die natürlich auch geschützt werden: Mit abschließbaren Schränken oder Türen und einem Sicherheitssystem.
Auch Mitarbeiter müssen im Umgang mit personenbezogenen Daten geschult werden
Die größte Schwachstelle, was den Datenschutz angeht, sind leider immer noch die Mitarbeiterinnen und Mitarbeiter. Deshalb ist es besonders wichtig, dass Sie Ihre Leute zum sicheren Umgang mit Daten anhalten, sie regelmäßig schulen lassen und das Einhalten der Vorgaben auch überprüfen.
Die richtige Verarbeitung der Daten
In die Datenschutzerklärung Ihres Unternehmens (die öffentlich einsehbar sein sollte) gehören klare Angaben, auf welche Weise Sie gesammelte Daten verarbeiten und zu welchen Zwecken. Löschen Sie Daten dann, sobald sie nicht mehr gebraucht werden. Das gilt sowohl für digitale als auch für analoge Daten. Die dürfen nicht einfach im Papierkorb entsorgt werden, sondern müssen so vernichtet werden, dass daraus keine Informationen gewonnen werden können.
Und last but not least ein Punkt, der vielen Unternehmen Kopfzerbrechen bereitet: Sobald Sie Daten auf irgendeine Weise an Drittunternehmen weiterreichen, müssen betroffene Personen auch darüber informiert werden. Dabei wird häufig übersehen, dass darunter zum Beispiel auch Plugins fallen, die Sie auf Ihrer Webseite installiert haben. Im Zuge des aktuellen Privacy-Shield-Urteils sind Sie nun als Webseiten-Besitzer außerdem dazu verpflichtet, ausdrücklich auf sämtliche Ihrer Partner und Dienste hinzuweisen, die in den USA sitzen!
Sie sehen: Im Umgang mit personenbezogenen Daten gibt es einiges zu beachten – und das ist auch gut so, oder nicht? Sie möchten nicht, dass der Paketdienstleister Ihre Adresse einfach weitergibt oder dass jeder im Wartezimmer des Arztes Ihre Diagnose erfährt. Genauso erwarten auch Ihre Kunden und Webseiten-Besucher, dass Sie mit deren Daten sorgsam umgehen. Das ist übrigens nicht nur aus reiner Höflichkeit zu tun – denn bei Nichteinhaltung der DSGVO drohen Ihnen saftige Bußgelder. In dem Sinne: Seien Sie sich immer bewusst, wie empfindlich personenbezogene Daten sind und handeln Sie entsprechend!