Was müssen Sie bei der Verarbeitung personenbezogener Daten beachten?

 

Datenschutzrecht gilt heute wie morgen ausschließlich für personenbezogene Daten. Geschützt wird die Privatsphäre des Einzelnen. Dies setzt voraus, dass es einen Bezug zu einer natürlichen Person gibt.

 

Personenbezogene Daten:

Zu den personenbezogenen Daten zählen laut Grundverordnung unter anderem:

  • allgemeine Personendaten: z. B. Name, Geburtsdatum, Geburtsort, Postanschrift, E-Mail-Adresse, Rufnummern
  • körperliche Merkmale: z. B. Geschlecht, Haar- und Augenfarbe, Statur
  • Kennnummern: z. B. Sozialversicherungsnummer, Personalausweisnummer, Steueridentifikationsnummer
  • Online-Daten: z. B. IP-Adresse, Standortdaten
  • Bankdaten: z. B. Kontostände, Kontonummern, Kreditinformationen
  • Vermögen und Besitz: z. B. Immobilien, Fahrzeuge, Grundbucheintragungen, Kfz-Kennzeichen
  • Werturteile: z. B. Schul-, Hochschul- und Arbeitszeugnisse
  • Kundendaten: z. B. Bestellungen, Adressdaten, Kontodaten

 

Darüber hinaus gibt es „besondere personenbezogene Daten“, für die noch einmal strengere Vorschriften zur Sammlung und Verarbeitung gelten. Es handelt sich dabei um folgende Daten:

  • Angaben über rassische sowie ethnische Herkunft
  • politische Ansichten
  • religiöse und philosophische Überzeugung
  • Angaben zur Gesundheit
  • Angaben zur Sexualität
  • Gewerkschaftszugehörigkeit

 

Unternehmensdaten sind von der DSGVO nicht geschützt. Daraus darf aber nicht der falsche Schluss gezogen werden, dass B2B-Unternehmen nicht betroffen sind. Auch im rein geschäftlichen Bereich werden Daten von Ansprechpartnern gespeichert und verarbeitet. Selbst wenn der Kundenverkehr vollständig anonym ablaufen würde, bleibt die Speicherung von Mitarbeiter- und Lieferantendaten.

 

 

Oberster Grundsatz des alten wie neuen Datenschutzrechts ist das Verbotsprinzip: Jede Verarbeitung personenbezogener Daten ist grundsätzlich verboten und nur in Ausnahmefällen gerechtfertigt.

 

Eine Rechtfertigung kann sich aus einem Vertrag mit der betroffenen Person ergeben. So darf z. B. der Betreiber eines Online-Shops die Adressdaten seines Kunden an einen Logistikdienstleister weitergeben, damit die Ware ausgeliefert werden kann. Diese Rechtfertigung reicht aber stets nur soweit, wie dies zur Vertragserfüllung erforderlich ist. Eine Bonitätsprüfung ist schon nicht mehr inbegriffen.

 

Eine Datenverarbeitung kann nach der DSGVO auch auf berechtigte Interessen des verantwortlichen Unternehmens gestützt werden. In dem Fall muss die Verarbeitung zur Wahrung der berechtigten Interessen erforderlich sein. Dabei dürfen die Interessen der betroffenen Person nicht überwiegen und die Datenverarbeitung muss für den verfolgten Zweck notwendig sein.

 

Mit einer Einwilligung der betroffenen Person sind Sie dagegen fast immer „auf der sicheren Seite“. Oberste Regel ist hierbei, dass die Einwilligung freiwillig abgegeben wurde. Außerdem sollen für verschiedene Verarbeitungsvorgänge auch gesonderte Einwilligungen eingeholt werden. Einwilligungen, die vor Inkrafttreten der DSGVO abgeschlossen wurden, gelten nur dann weiterhin, wenn sie im Wesentlichen den Anforderungen der DSGVO entsprechen. Zweifelhaft ist das, wenn die Einwilligung an den Abschluss eines Vertrages geknüpft war. Denn das verbietet die DSGVO für bestimmte Umstände.

 

 

Jetzt anrufen!