Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Daten ermöglichen Rückschlüsse auf die Persönlichkeit der betroffenen Person und unterliegen speziellem gesetzlichen Schutz, wie zum Beispiel der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union. Zu den personenbezogenen Daten zählen unter anderem Kontaktdaten, Bankinformationen, KFZ-Kennzeichen, Daten zur Internetnutzung oder Informationen zum Aussehen einer Person.
Die Verarbeitung personenbezogener Daten umfasst alle Vorgänge, die mit diesen Daten durchgeführt werden, wie zum Beispiel das Erheben, Speichern, Verändern, Übermitteln oder Löschen. Der Schutz dieser Daten ist besonders wichtig, um die Privatsphäre und das Persönlichkeitsrecht der betroffenen Personen zu wahren und Missbrauch zu verhindern. Daher dürfen personenbezogene Daten nur unter bestimmten Bedingungen verarbeitet werden, wie beispielsweise mit der Einwilligung der betroffenen Person oder bei einer gesetzlichen Verpflichtung.
Der Personenbezug ist das entscheidende Kriterium für die Einordnung einer Information als personenbezogenes Datum. Wenn eine Information ohne weiteren Zusammenhang nicht auf eine bestimmte oder bestimmbare Person zurückzuführen ist, handelt es sich nicht um personenbezogene Daten. In solchen Fällen unterliegen die Informationen nicht dem Datenschutzrecht.
Definition der Begriffe
Eine natürliche Person ist ein lebender Mensch, der Rechte und Pflichten besitzt. Personenbezogene Daten beziehen sich auf identifizierte oder identifizierbare natürliche Personen, wobei verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen, ebenfalls als personenbezogene Daten gelten.
Juristische Personen sind Organisationen, Unternehmen oder Institutionen, denen das Recht zugesprochen wurde, als eigenständige Rechtssubjekte zu handeln. Im Datenschutzrecht geht es jedoch primär um natürliche Personen, weil diese einen besonderen Schutz ihrer persönlichen Daten und ihrer Privatsphäre benötigen.
Eine bestimmte Person ist eine Person, die direkt identifiziert werden kann. Dies kann zum Beispiel durch Angaben wie Name, Adresse, Telefonnummer oder E-Mail-Adresse erfolgen. Personenbezogene Daten, die sich auf bestimmbare oder bestimmte Personen beziehen, unterliegen besonderen gesetzlichen Schutzvorgaben.
Personenbezogene Daten beziehen sich ausschließlich auf lebende Personen, da diese Schutz- und Auskunftsrechte über ihre eigenen Daten benötigen und besitzen. Sobald eine Person verstirbt, gelten die besonderen Schutzbestimmungen für personenbezogene Daten nicht mehr in demselben Maße.
Eine bestimmbare natürliche Person ist eine Person, die nicht direkt, sondern indirekt identifiziert werden kann. Dies kann mithilfe von verknüpften Informationen oder individuellen Kennzeichen geschehen, wie beispielsweise einer Kundennummer, der Sozialversicherungsnummer oder Matrikelnummer, einer IP-Adresse oder einem Cookie auf einer Website. Daten, die mit Hilfe solcher Indikatoren auf bestimmbare natürliche Personen zurückzuführen sind, fallen ebenfalls unter den Schutz personenbezogener Daten und müssen entsprechend den gesetzlichen Vorgaben behandelt werden.
Arten Von Personenbezogenen Daten
Biometrische Daten sind Informationen, die einzigartige körperliche Merkmale einer Person erfassen, wie beispielsweise Fingerabdrücke, Gesichtserkennung oder Iris-Scans. Diese Daten werden häufig in Sicherheitssystemen und zur Identitätsprüfung verwendet.
Gesundheitsdaten sind Informationen über den körperlichen oder geistigen Gesundheitszustand einer Person. Dazu gehören beispielsweise medizinische Diagnosen, Behandlungsverläufe, Krankenakten, Rezepte oder Informationen über körperliche Einschränkungen.
Kontodaten umfassen Informationen über die finanziellen Angelegenheiten einer Person, wie beispielsweise Bankverbindungen, Kreditkarteninformationen, Gehaltsdaten oder Transaktionshistorie.
Standortdaten beziehen sich auf den geografischen Ort, an dem sich eine Person befindet oder befunden hat. Dies kann beispielsweise durch GPS-Tracking, IP-Adressen oder auch durch Check-Ins in sozialen Netzwerken ermittelt werden.
Online-Daten sind Informationen, die im Zusammenhang mit der Internetnutzung einer Person entstehen. Dazu gehören beispielsweise IP-Adressen, Browserverlauf, Cookies, Soziale-Media-Aktivitäten oder auch E-Mail-Kommunikation.
Die ethnische Herkunft bezieht sich auf Informationen über die kulturellen, geografischen oder historischen Wurzeln einer Person. Dazu gehören beispielsweise ethnische Zugehörigkeit oder Herkunftsfamilie.
Genetische Daten sind Informationen, die aus der Analyse des Erbguts einer Person gewonnen werden. Dazu gehören DNA-Analysen, genetische Marker oder Informationen über genetisch bedingte Krankheiten.
Besondere Aufmerksamkeit sollte sensiblen Daten gewidmet werden. Sensible Daten sind personenbezogene Daten, die besondere Schutzbedürftigkeit aufweisen und Hinweise zur sozialen Identität geben. Dazu gehören Informationen über ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben sowie der sexuellen Orientierung. Die Verarbeitung solcher Daten unterliegt strengeren Regeln und Bedingungen, um die Privatsphäre der betroffenen Person besser zu schützen.
Insgesamt umfassen personenbezogene Daten eine große Bandbreite an verschiedenen Kategorien. Dabei ist es wichtig, bei der Verarbeitung und Nutzung dieser Daten auf die Datenschutzbestimmungen zu achten.
Datenschutzrechtliche Bestimmungen
Die Datenschutz-Grundverordnung (DSGVO) ist eine umfassende Datenschutzgesetzgebung der Europäischen Union, die seit dem 25. Mai 2018 in Kraft ist. Die DSGVO enthält Regeln und Bestimmungen zum Schutz personenbezogener Daten von EU-Bürgern. Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, E-Mail, Telefonnummer und IP-Adresse.
Das Bundesdatenschutzgesetz (BDSG) ist das deutsche Datenschutzgesetz, das die Verarbeitung personenbezogener Daten durch öffentliche und private Stellen regelt. Wie in § 46 Abs. 1 BDSG definiert, sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dies umfasst unter anderem Kontaktdaten, Bankdaten und Informationen zum Aussehen. Durch die Einführung der DSGVO wurde das BDSG angepasst und ergänzt, um mit den Anforderungen der europäischen Datenschutz-Grundverordnung in Einklang zu stehen.
Die Datenschutz-Grundverordnung (DSGVO) bildet zusammen mit dem angepassten BDSG den rechtlichen Rahmen für den Datenschutz in Deutschland und der gesamten Europäischen Union. Die DSGVO legt die Grundlagen für den Schutz personenbezogener Daten fest, indem sie Rechte und Pflichten für Betroffene, datenverarbeitende Stellen wie Behörden oder Unternehmen und für Datenschutzbeauftragte definiert. Einige der wichtigsten Rechte, die durch die DSGVO gewährleistet werden, sind das Recht auf Auskunft, Berichtigung, Löschung und das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten. Sowohl das BDSG als auch die DSGVO zielen darauf ab, die Privatsphäre und den Schutz personenbezogener Daten von Individuen zu gewährleisten und gleichzeitig die Verantwortung von Organisationen und Unternehmen in Bezug auf den Datenschutz zu erhöhen.
Anwendungsbereich
In der Europäischen Union sind die Regeln zur Verarbeitung personenbezogener Daten durch die DSGVO festgelegt. Die Verordnung hat neben dem Schutz natürlicher Personen das Ziel, den freien Verkehr der Daten innerhalb der EU zu ermöglichen. Die DSGVO gilt für alle Organisationen innerhalb der EU sowie für solche, die außerhalb der EU ansässig sind und Dienstleistungen oder Produkte an Personen innerhalb der EU anbieten oder deren Verhalten überwachen.
Im Vergleich unterscheiden sich die Datenschutzvorschriften zwischen den EU-Mitgliedstaaten und den USA deutlich. Während die Gesetzgebung in der Europäischen Union auf der DSGVO basiert und einheitliche Standards innerhalb der EU schafft, gibt es in den USA keinen allgemeinen gesetzlichen Rahmen für den Datenschutz. Der Datenschutz in den USA ist vielmehr durch eine Vielzahl von Bundes- und Landesgesetzen sowie Branchenvorschriften geregelt, welche sich auf bestimmte Sektoren oder Themen beziehen. Dennoch haben einige US-Bundesstaaten, wie Kalifornien, in jüngerer Vergangenheit eigene Datenschutzgesetze erlassen, die strengere Regelungen für den Umgang mit personenbezogenen Daten vorsehen.
Die Einhaltung der Datenschutzvorschriften ist für Organisationen, die personenbezogene Daten verarbeiten, äußerst wichtig. Bei Verstößen drohen Bußgelder und andere Sanktionen. Daher ist es unerlässlich, dass alle Organisationen, die personenbezogene Daten verarbeiten, die maßgeblichen gesetzlichen Bestimmungen kennen und beachten, und gegebenenfalls Datenschutzbeauftragte benennen, um die Einhaltung der Vorschriften sicherzustellen.
Behandlung von Personenbezogenen Daten
Die Verarbeitung personenbezogener Daten umfasst alle Aspekte, die den Umgang mit solchen Daten betreffen. Dazu gehören das Erheben, Speichern, Verwenden, Übermitteln, und Löschen von Daten, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die Datenschutz-Grundverordnung (DSGVO) legt Anforderungen und Regelungen für die Verarbeitung personenbezogener Daten fest, um den Schutz der Privatsphäre von Betroffenen zu gewährleisten.
Anonymisierte Daten sind personenbezogene Daten, die so bearbeitet wurden, dass die Identität der betroffenen Person nicht mehr feststellbar ist. Die Anonymisierung gewährleistet einen hohen Schutz der Privatsphäre und kann dazu beitragen, die Anforderungen der DSGVO zu erfüllen. Einmal anonymisierte Daten sollten irreversibel sein, um den Anforderungen des Datenschutzes gerecht zu werden. Anonymisierte Daten können zum Beispiel für statistische Analysen oder Forschungszwecke verwendet werden, ohne die Privatsphäre der betroffenen Personen zu beeinträchtigen.
Pseudonymisierte Daten sind personenbezogene Daten, bei denen die Identifizierung der betroffenen Person erschwert wird. Bei der Pseudonymisierung werden Identifikationsmerkmale durch Pseudonyme ersetzt, so dass ein direkter Personenbezug nicht mehr möglich ist, ohne zusätzliche Informationen hinzuzuziehen. Anders als bei der Anonymisierung können Pseudonyme jedoch auf bestimmte Personen zurückgeführt werden, wenn sie mit den entsprechenden Zusatzinformationen verknüpft werden. Die Pseudonymisierung ist eine Datenschutzmaßnahme, die dazu beiträgt, das Risiko für die betroffenen Personen bei der Verarbeitung personenbezogener Daten zu minimieren und entsprechend auch in der DSGVO verankert ist. Pseudonymisierte Daten können beispielsweise in der Forschung, im Gesundheitswesen oder bei der Verbesserung von IT-Systemen verwendet werden, um den Datenschutz zu gewährleisten, während gleichzeitig Nutzen aus den Daten gezogen werden kann.
Rechte der Betroffenen
Ein wesentlicher Aspekt der personenbezogenen Daten betrifft die Rechte der betroffenen Personen, also derjenigen, deren persönliche Informationen gesammelt, gespeichert und verarbeitet werden. Gemäß der Datenschutzgrundverordnung (DSGVO) stehen den betroffenen Personen verschiedene Rechte zur Verfügung. Eines dieser Rechte ist das Auskunftsrecht.
Das Auskunftsrecht ermöglicht es der betroffenen Person, von den Datenverantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die sie betreffen, verarbeitet werden, und gegebenenfalls den Zugang zu diesen Informationen. Das bedeutet, dass das betroffene Individuum ein Anrecht darauf hat, Klarheit über die gesammelten und verarbeiteten Daten zu erhalten.
Außerdem hat die betroffene Person das Recht, Informationen über Verarbeitungszwecke, über die besonderen Kategorien personenbezogener Daten, die geplante Speicherdauer oder die Kriterien für deren Festlegung zu erhalten. Außerdem haben sie die Berichtigung für die Löschung der Daten, sowie das Widerspruchsrecht und das Beschwerderecht bei einer Aufsichtsbehörde. Auch ein Recht auf Ausfkunft über die Herkunft der Daten, sofern diese nicht bei der betroffenen Person erhoben wurden und die Information über das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling besteht. Aussagekräftige Informationen über die involvierte Logik sowie die Auswirkungen und Tragweite einer solchen Verarbeitung für die betroffene Person können ebenfalls angefordert werden.
Das Auskunftsrecht dient dazu, die Transparenz im Umgang mit personenbezogenen Daten zu gewährleisten und den betroffenen Personen eine bessere Kontrolle über ihre eigenen Informationen zu ermöglichen. Das Auskunftsrecht berechtigt keine unbeschränkte Offenlegung aller personenbezogenen Informationen. Die Rechte und Freiheiten anderer Personen dürfen durch die Ausübung des Auskunftsrechts nicht beeinträchtigt werden.
Anhand der DSGVO können Unternehmen nicht mehr in das Land mit dem niedrigsten Datenschutz-Niveau ausweichen. Die bisherigen Verbraucherrechte auf Auskunft, Löschung und Berichtigung werden durch die DSGVO zum Teil erweitert, und es kommen auch neue Rechte hinzu.
Neben dem Auskunftsrecht besteht ebenfalls die informationelle Selbstbestimmung. Diese ist ein Grundrecht, das besagt, dass jeder Mensch selbst entscheiden kann, welche persönlichen Informationen er preisgibt und in welchem Umfang sie genutzt werden dürfen. Die personenbezogenen Daten spielen eine wichtige Rolle für die informationelle Selbstbestimmung, da sie die Grundlage für den Schutz der Privatsphäre und den Umgang mit den Daten bilden.
Betroffene haben zudem das Recht, ihre personenbezogenen Daten in einem strukturierten, allgemein verwendbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
Wichtig ist Datensicherheit. Diese stellt einen grundlegenden Aspekt beim Schutz personenbezogener Daten dar. Es ist wichtig, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten zu gewährleisten. Dazu gehören unter anderem die Verschlüsselung von Daten während der Übertragung und Speicherung eine regelmäßige Sicherheitsüberprüfungen und Softwareaktualisierungen, Zugriffskontrollen und Berechtigungssysteme sowie die Sensibilisierung und Schulung von Mitarbeiter:innen im Umgang mit personenbezogenen Daten.
flair unterstützt dich dabei die Daten deiner Mitarbeiter:innen nach den gesetzlichen Bestimmungen zu verarbeiten und weiterzugeben. Auch bei der Verwaltung von Bewerber:innen kannst du die Kandidatenprofile ganz einfach DSGVO-Konform verarbeiten. Buche jetzt deine Demo!
Disclaimer:
flair übernimmt für die rechtliche Stimmigkeit keine Konsequenzen. Der Inhalt dieses Artikels dient lediglich dem Informationszweck und kann nicht mit einer Rechtsberatung gleichgestellt werden. Unser Angebot ist ohne Gewähr auf die Richtigkeit und Vollständigkeit der genannten Inhalte.
Kostenlose Demo
Die flexible, modulare HR-Plattform auf Salesforce
Wir haben für dich einmal alle gesetzlichen Feiertage 2024 in Deutschland und deren Geltungsbereich in den einzelnen Regionen zusammengetragen. Die Übersicht steht auch zum kostenlosen Download bereit.
Wir haben für dich einmal alle gesetzlichen Feiertage 2024 in Österreich und deren Geltungsbereich in den einzelnen Regionen zusammengetragen. Die Übersicht steht auch zum kostenlosen Download bereit.
Wir haben für dich einmal alle gesetzlichen Feiertage 2024 in der Schweiz und deren Geltungsbereich in den einzelnen Regionen zusammengetragen. Die Übersicht steht auch zum kostenlosen Download bereit.