Ob soziale Medien, staatliche Institutionen oder private Unternehmen: sie alle sammeln und speichern täglich eine unberechenbar große Menge an personenbezogenen Daten. Die Datenschutzgrundverordnung, welche seit Mai 2018 wirksam ist, soll diese besser schützen und kommt bei Verstößen gegen die Datensicherheit mit hohen Sanktionen. Gerade deshalb sollten Unternehmen sich darüber informieren, was genau unter den Begriff “personenbezogene Daten” fällt. Denn obwohl dieser im Gesetz theoretisch definiert ist, ist die Auslegung in der Praxis undurchsichtig und komplex.
Inbound Marketing ist auf die Verarbeitung persönlicher Daten ausgelegt, wir können sie als Währung des Marketings bezeichnen. Durch die Datenschutzgrundverordnung wird die Arbeit mit diesen Daten allerdings stark beeinflusst.
Artikel 2 der DSGVO besagt:
“[Die Datenschutzgrundverordnung] gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.”
Sind Sie bereit für die DSGVO? Prüfen Sie es mit unserer Checkliste!
Definition personenbezogene Daten
Gesetzlich definiert wird der Begriff personenbezogene Daten in Artikel 4 der DSGVO als “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen”.
Klingt das noch sehr nach Beamtensprache, wird §46 Abs. 1 des Bundesdatenschutzgesetzes schon etwas konkreter:
“Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)”
Doch auch hier fragt man sich, welche Kriterien Personen als natürlich sowie bestimmt (identifiziert) oder bestimmbar (identifizierbar) klassifizieren.
Natürliche Personen
Daten gelten nur dann als personenbezogen, wenn sie sich auf eine natürliche Person beziehen. Natürlich ist dabei eine lebende Person unabhängig ihrer Herkunft. Auch wenn es sich bei der DSGVO um eine EU-weite Verordnung handelt, gilt die Bestimmung weltweit. Ausschlaggebend ist lediglich die Verarbeitung von Daten von EU-Bürgern.
Juristische Personen wie Gesellschaften, Vereine oder Stiftungen fallen nicht unter die Definition und sind damit nicht durch die DSGVO geschützt.
Auch fällt der Schutz von Daten verstorbener Personen gemäß Erwägungsgrund 27 nicht unter die Richtlinien der DSGVO. Eine staatsinterne Vorschrift mittels BDSG wurde nicht vorgenommen.
Identifizierte oder identifizierbare Personen
Identifiziert wird hier mit bestimmt gleichgesetzt und identifizierbar mit bestimmbar. In diesem Zusammenhang sollten Sie sich immer die Frage stellen, ob eine gegebene Information einer bestimmten Person zuzuordnen ist oder ob dies mit Zusatzinformationen möglich wäre.
Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann.
Ist dies nicht direkt, jedoch mit Zusatzwissen möglich, handelt es sich um eine identifizierbare Person. Dieses Zusatzwissen müssen Sie nicht zwangsweise selbst besitzen, es kann auch von Drittpersonen kommen.
Ein Personenbezug kann dabei vor allem häufig bei Personen in sensiblen Ämtern nicht hergestellt werden oder wenn die bestimmte Information unter ärztliche oder juristische Schweigepflicht fällt.
Welche Daten zählen dazu?
Grundsätzlich fallen alle Daten unter die personenbezogenen Daten, mit deren Hilfe ein Personenbezug hergestellt werden kann.
Artikel 4 der DSGVO spricht dabei von einer Zuordnung einer Person “zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”.
Klassisch gehören dazu also beispielsweise:
- Name
- Adresse
- Telefonnummer
- die Kreditkarten- oder Personalnummer
- Autokennzeichen
- Kontodaten
- Online-Daten wie IP-Adresse oder Standortdaten
Und auch physische Daten wie das Aussehen fallen unter die personenbezogenen Daten. Darüber hinaus sind es Sachverhalte wie die Staats- oder Religionszugehörigkeit oder eine Mitgliedschaft in einem Verein.
Bei anonymisierten Daten ist die betroffene Person weder identifiziert noch identifizierbar, oder ursprünglich personenbezogene Daten wurden so anonymisiert, dass eine Identifizierung nicht mehr möglich ist. Sie zählen also nicht zu den personenbezogenen Daten. Dies ist zum Beispiel bei einer politischen Wahl der Fall.
Pseudonymisierte Daten dagegen fallen unter die personenbezogenen Daten, sobald Zusatzwissen vorliegt, mit dessen Hilfe die Daten wieder der ursprünglichen Person zugeordnet werden könnten.
Fazit
Der Artikel zeigt es: personenbezogene Daten gehen weiter, als so mancher vielleicht gedacht hätte. Dabei ist dieses Wissen gerade in Bezug auf die Datenschutz Grundverordnung (DSGVO) enorm wichtig. Denn nur die Unternehmen, die alle betroffenen Daten entsprechend schützen, sind vor Sanktionen sicher und können weiterhin von der Verarbeitung der persönlichen Daten profitieren.
Übrigens: Inbound Marketing und Datenschutz schließen sich nicht aus – im Gegenteil. Erfahren Sie hier mehr dazu!
Haben Sie Fragen?
Sollten Sie weitere Fragen zu personenbezogenen Daten, zur DSGVO oder generell zur Digitalisierung Ihrer Abteilungen Marketing, Vertrieb und Kundenservice haben – kein Problem! Wir freuen uns sehr, wenn LANGEundPFLANZ einen Beitrag dazu leisten kann, Ihnen bei der Bewältigung der aktuellen Corona Krise und den Herausforderungen in Ihrem Unternehmen wenigstens ein bisschen zu helfen.
Deshalb bieten wir Unternehmen, die im B2B Bereich tätig sind und mehr als 10 Mitarbeiter haben, bis zu 1 Stunde kostenfreie Beratung an. Buchen Sie sich einfach einen Termin in unserem Kalender und wir rufen Sie an:
Diese Artikel könnten Sie auch interessieren:
- Cloud Computing: So gestaltet sich sicheres mobiles Arbeiten in Zeiten einer Pandemie
- E-Mail Marketing gemäß der DSGVO – Die 6-Punkte-Checkliste
- Einwilligung bei der DSGVO: Das Opt-In und Double-Opt-In Verfahren
- Erfüllt Ihr CRM die Anforderungen der Datenschutz Grundverordnung?
- Externe Inhalte DSGVO-konform anbieten? Nutzen Sie die Shariff Lösung!
- DSGVO & Webseiten: So verwenden Sie Webfonts wie Google Fonts sicher
- All-in-One-Lösung: Die Digitalisierung von Geschäftsprozessen angehen
- Coronavirus: So hilft die Digitalisierung Ihrem Unternehmen, die Pandemie zu meistern
- Verstoß gegen die DSGVO? Mit diesen Sanktionen müssen Sie rechnen
- 30 Jahre! Der Weg einer Full-Service Werbeagentur zur Digitalagentur
- Online Marketing: Was ist Content Management?
Rechtlicher Hinweis:
Diese rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet. Wir weisen Sie deshalb darauf hin, dass Sie bei Beratungsbedarf über Ihre Auslegung dieser Informationen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten. Sie dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.
Foto:
© ESB Professional/Shutterstock.com