Personen­bezogene Daten – Wichtige Regelungen im Datenschutz

Min. Lesezeit

Unternehmer, Arbeitgeber, Online-Händler – damit unterliegst du zahlreichen Pflichten. Besonders wichtig, gerade in unserer digitalisierten Welt, wird dabei der Datenschutz genommen. Denn die persönlichen Daten vor einem Missbrauch zu schützen, liegt nicht nur den Menschen, sondern auch der Gesetzgebung am Herzen. Mit dem Recht auf informationelle Selbstbestimmung, das Personen gesichert wird, hast du beim Erheben und Verarbeiten personenbezogener Daten einiges zu beachten.

Mit personenbezogenen Daten bist du in der Online-Welt tagtäglich konfrontiert: Du erhebst sie von den Besuchern deines Shops, brauchst sie für die Bestellbestätigung per E-Mail und für die Lieferung bis an die Haustür. Welche Daten sind überhaupt personenbezogen, in welchem Zusammenhang stehen sie zur Datenschutzgrundverordnung und welche Konsequenzen könnten mich bei Datenschutzverstößen erwarten? Antworten auf diese und weitere Fragen findest du hier.

Tippende Hände auf Laptoptastatur mit illustriertem Vorhängeschloss

Hinweis: Der Player funktioniert nur, wenn du die Cookies akzeptierst.

Was sind personenbezogene Daten?

Personenbezogene Daten sind in den Datenschutzgesetzen, also sowohl im Bundesdatenschutzgesetz (BDSG), als auch in der Datenschutzgrundverordnung (DSGVO), definiert. Nach § 46 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Es handelt sich also um all jene Informationen, die sich auf natürliche Personen beziehen und Rückschlüsse auf deren Persönlichkeit erlauben.

Nach Artikel 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Dazu zählen auch Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können.

Verschiedene Begrifflichkeiten geben dabei Rückschluss darauf, ob es sich um personenbezogene Daten handelt. Zunächst müssen sich die Daten auf eine natürliche Person, also einen lebenden Menschen, beziehen. Daten zu juristischen Personen, z. B. Unternehmen, sind nicht personenbezogen – es sei denn, sie haben einen Bezug zu natürlichen Personen hinter der juristischen Person. Die Daten sind dabei einer bestimmten Person zuordenbar oder können sich einer bestimmbaren Person zuordnen lassen. Das funktioniert durch zusätzlichen Aufwand oder zusätzliches Wissen, das auch von Dritten stammen kann.

Grafik personenbezogene Daten

Personenbezogene Daten sind zum Beispiel:

  1. Name und Vorname
  2. Privatanschrift
  3. E-Mail-Adresse (z. B. vorname.nachname@unternehmen.com)
  4. Standortdaten
  5. IP-Adresse
  6. Werbe-ID
  7. Gesundheitsdaten beim Arzt oder im Krankenhaus

 

Oft wird gefragt, ob Name und Vorname oder Name und Adresse personenbezogene Daten sind. Ganz eindeutig, denn eine lebende Person ist über den Namen identifizierbar oder über die Adresse bestimmbar, daher gehören diese Informationen zu den personenbezogenen Daten. Es gibt darüber hinaus besondere personenbezogene Daten, die besonders schützenswert sind. Das sind zum Beispiel Informationen über ethnische Herkunft oder die Sexualität.

Welche Arten von personenbezogenen Daten gibt es?

Personenbezogene Daten lassen sich in verschiedene Kategorien einordnen:

Allgemeine Daten zur Person

  1. Name und Vorname, Privatanschrift, Kontaktdaten, Geburtsdatum und -ort, Alter, Staatsangehörigkeit,Familienstand

Physische Merkmale der Person

  1. Geschlecht, Haar-/ Augen- und Hautfarbe, Größe, Gewicht, Kleidergröße, besondere Merkmale

Finanz- und Besitzdaten

  1. Konto- und Kreditkartennummern, Angaben zu Krediten und Vermögen, zum Einkommen und Immobilienbesitz

Kennnummern

  1. Personal- oder Ausweisnummer, Sozialversicherungsnummer, Steueridentifikationsnummer, Matrikelnummer

Online-Daten

  1. IP-Adresse, Standorte

Kundendaten

  1. Adressdaten, Kontodaten, Bestellungen, Retouren, Zahlungen

Personaldaten/ berufliche Daten

  1. beruflicher Werdegang, Zeugnisse/ Zertifikate, Leistungsbewertungen, Urlaubs- und Krankheitszeiten oder Höhe und Zusammensetzung von Lohn oder Gehalt

Besitzmerkmale

  1. KfZ-Kennzeichen, Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Zulassungsdaten

 

Person tippt auf Laptoptastatur
Mit Art. 9 DSGVO gibt es außerdem besondere Arten personenbezogener Daten, die dem besagten besonderen Schutz unterliegen. Das meint sensible Daten wie Angaben zu:

  1. ethnischer Herkunft,
  2. politischen oder religiösen Überzeugungen
  3. Gewerkschaftszugehörigkeit,
  4. biometrischen Daten (z. B. Fingerabdruck),
  5. genetischen Daten,
  6. Gesundheitsdaten oder
  7. zur sexuellen Orientierung.

 

 

hb-iconset-schild
Lass dir beim Datenschutz helfen!
Mit der DSGVO und der Verarbeitung von personenbezogenen Daten gibt es eine ganze Menge zu beachten. Mit unserem Datenschutz-Paket Pro bereitet dir das Thema kein Kopfzerbrechen mehr, denn du erhältst nicht nur eine professionelle Beratung vom Anwalt – wir stellen dir sogar einen externen Datenschutzbeauftragten.


Warum sind personenbezogene Daten schützenswert?

Jeder hat das Recht auf informationelle Selbstbestimmung. Daher ist das Speichern und Verarbeiten von personenbezogenen Daten nur mit Zustimmung der betroffenen Person zulässig. Der Datenschutz überlappt sich teilweise sogar mit anderen Persönlichkeitsrechten, wie z. B. dem Recht am eigenen Bild.

Trotzdem geben viele Menschen ihre persönlichen Daten zu leichtfertig heraus. Daher ist es mittlerweile mühelos möglich, unzählige Datensätze zu jeder einzelnen Person zu erfassen. Dabei kann kaum kontrolliert werden, wer die Daten zu welchem Zweck nutzt. Durch IT-Sicherheitslücken oder Cyberangriffe steigt außerdem das Risiko, dass Daten gestohlen und missbräuchlich verwendet werden. Risiken in Bezug auf Daten sind zum Beispiel Identitätsdiebstahl, Diskriminierung oder Überwachung. Obwohl verschiedene Gesetze Datenmissbrauch unter Strafe stellen, kann der eigentliche Missbrauch nur schwer verhindert werden. Der Umgang mit personenbezogenen Daten sollte daher verantwortungsbewusst erfolgen.

 

hb-iconset-idee
Vieles zu bedenken

Durch die Datenschutzgrundverordnung unterliegst du einer Informationspflicht gegenüber deinen Kunden und deinen Shop-Besuchern. Diese Informationen stellt man in verschiedenen Rechtstexten zur Verfügung, z. B. im Impressum oder der Datenschutzerklärung, die du jederzeit bei uns erhalten kannst.

Zu den Informationspflichten

 

Personenbezogene Daten und DSGVO

Personenbezogene Daten sind sowohl im BDSG, als auch in der DSGVO definiert. Durch die DSGVO genießen personenbezogene Daten aber einen besonderen Schutz, denn damit wird den Bürgern der Europäischen Union (EU) das Recht auf informationelle Selbstbestimmung gewährt. Somit darf jeder selbst entscheiden, welche Daten er wem zu welchem Zweck preisgeben möchte. Die DSGVO regelt daher, dass ein Unternehmen personenbezogene Daten von uns nicht ungefragt speichern und verarbeiten darf. Der Schutz der DSGVO gilt grundsätzlich weltweit und bezieht die Daten aller Bürger der EU mit ein.

Mit der Datenschutzgrundverordnung sind personenbezogene Daten außerdem unabhängig von der zur Datenverarbeitung verwendeten Technik geschützt. Die DSGVO gilt technologieunabhängig und sowohl für automatisierte als auch für manuelle Verarbeitung von Daten. Das ist außerdem unabhängig davon, wie die personenbezogenen Daten gespeichert werden, z. B. in einem IT-System oder auf Papier. Die Daten fallen dennoch unter die Schutzklauseln der Datenschutzgrundverordnung.

hb-iconset-dokument
Abmahnsichere Rechtstexte vom Anwalt

Alle Rechtstexte für einen sicheren Online-Handel. Impressum, AGB, Widerrufsbelehrung, Datenschutzerklärung etc. für Online-Shops und Plattformen wie Amazon und eBay.

Zu den Rechtstexten


Verarbeitung und Speicherung von personenbezogenen Daten

Es ist dir grundsätzlich verboten, personenbezogene Daten zu speichern und zu verarbeiten, es sei denn, dir liegt unter anderem eine ausdrückliche Erlaubnis vor. Selbst dann musst du dich aber nach dem Gebot der Datensparsamkeit richten. Das bedeutet, du darfst nur die Daten verarbeiten, die für einen bestimmten Zweck erforderlich sind. Das heißt, die erhobenen Daten dürfen nur für den Zweck, für den eine Rechtsgrundlage vorliegt, und nicht für weitere Zwecke verarbeitet werden. Die Datenverarbeitung unterliegt damit der sogenannten Zweckbindung.

Art. 12 bis 14 DSGVO bestimmt außerdem, dass jeder, der personenbezogene Daten speichert und verarbeitet, die betroffenen Personen vollständig und transparent darüber aufklären muss. Du musst darüber informieren, welche Daten du zu welchem Zweck erhebst und welche Rechte die betroffene Person diesbezüglich hat. Es handelt sich dabei um die Informationspflicht.

Art. 15 DSGVO gewährt Personen ein Auskunftsrecht. Denn damit eine Person ihr Recht auf informationelle Selbstbestimmung wahrnehmen kann, muss sie in Erfahrung bringen können, wer welche personenbezogenen Daten verarbeitet. Sie können daher von den Verantwortlichen der Datenverarbeitung jederzeit Auskunft verlangen, sodass du einer Auskunftspflicht unterliegst.

Gibt es personenbezogene Daten, die ohne Zustimmung verarbeitet werden dürfen? Nur nicht personenbezogene Daten können jederzeit ohne weitere Zustimmung erhoben und verarbeitet werden. Dazu zählen zum Beispiel die Handelsregisternummer, anonymisierte Daten oder eine allgemeine E-Mail-Adresse, z. B. info@unternehmen.com.

Wenn Daten soweit anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann, gelten sie nicht mehr als personenbezogene Daten. Dafür muss die Anonymisierung aber unumkehrbar sein. Von den personenbezogenen Daten grenzen sich auch pseudonymisierte Daten ab, wenn Personen beispielsweise Codes oder Kennzahlen zugeordnet werden, z. B. Nicknamen in einer E-Mail.

 

Datenschutz-Paket Pro

bei jährliche Zahlweise für 290,90 Euro* mtl.

  1. Externer Datenschutzbeauftragter
  2. Anwaltliches Beratungsgespräch
  3. Rechtssichere Datenschutzdokumente
  4. Persönliche Datenschutzschulung
Mit einem Experten sprechen

 

* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.

Löschung der personenbezogenen Daten

Die DSGVO bestimmt außerdem, wann personenbezogene Daten gelöscht werden müssen. Nach Art. 17 DSGVO musst du sie löschen, wenn:

  1. die Einwilligung zur Verarbeitung widerrufen wird,
  2. sie für den vorgesehenen Zweck nicht mehr benötigt werden oder
  3. die Daten unrechtmäßig erworben wurden.

Außerdem setzt die DSGVO europaweit das „Recht auf Vergessenwerden” um, was die Rechte der Betroffenen stärkt und deine Pflichten als Unternehmer erweitert. Das Recht auf Löschung der personenbezogenen Daten wird nur außer Kraft gesetzt, wenn es gesetzliche Vorschriften zur Aufbewahrung der Daten gibt.

hb-iconset-stoerer-info-2
Löschungsanspruch der betroffenen Person
Die betroffene Person kann selbstständig einen Antrag auf Löschung der personenbezogenen Daten bei dir bzw. deinem Unternehmen stellen. Dieser Antrag wird dich vermutlich in Textform, z.B. per E-Mail, erreichen. Wenn du die Löschung der Daten ablehnst, musst du die Ablehnung begründen.

 

Unser Fazit zu den personenbezogenen Daten

Als Online-Händler hast du tagtäglich mit personenbezogenen Daten zu tun. Durch DSGVO und BDSG bist du dazu angehalten, nur die nötigsten Daten zu erheben und diese nur für den zuvor vorgesehenen Zweck zu verwenden. Der Schutz der personenbezogenen Daten ist auch für dich eine wichtige Pflicht, die du nicht außer Acht lassen solltest, um rechtliche Konsequenzen zu vermeiden. Datenschutz ernst zu nehmen, stärkt außerdem deine Seriosität als Online-Händler und das Vertrauen in deinen E-Commerce wächst.

Datenschutz bzw. der Schutz personenbezogener Daten ist in verschiedenen Gesetzen festgehalten, nach denen du dich richten musst. Ein externer Datenschutzbeauftragter kann eine optimale Lösung sein, denn er kennt sich in seinem Metier bestens aus und kann dich optimal unterstützen. Setze also lieber auf Experten mit unserem Datenschutz-Paket Pro, statt dich vor rechtlichen Konsequenzen zu fürchten.

FAQ zum Thema personenbezogene Daten

wissenswertes

Personenbezogene Daten im Unternehmen, gibt es besondere Anforderungen?

Unternehmen fallen unter die allgemeinen Grundsätze des Datenschutzes sowie unter spezifische Regelungen, die in Art. 5 DSGVO festgelegt sind. Diese Grundsätze solltest du unbedingt berücksichtigen, um rechtliche Konsequenzen zu vermeiden. Außerdem muss die Einhaltung der Datenschutzregeln der DSGVO von einem Verantwortlichen nachgewiesen werden. Du unterliegst damit der Rechenschaftspflicht, die ebenfalls in Art. 5 DSGVO festgelegt ist.

Mit der DSGVO gelten für dich verschiedene Grundsätze, unter anderem:

  1. Rechtmäßigkeit der Verarbeitung (Für die Datenverarbeitung besteht eine einschlägige Rechtsgrundlage, z.B. eine wirksame Einwilligung).
  2. Transparenz (Damit Betroffene ihrem Recht auf informationelle Selbstbestimmung nachgehen können).
  3. Zweckbindung (Der Verarbeitung personenbezogener Daten muss ein Zweck zugrunde liegen und die Daten dürfen nur für diesen verwendet werden).

Zum Datenschutz sind sowohl technische als auch organisatorische Maßnahmen zu treffen, sodass du auch Mitarbeiter zur Vertraulichkeit und zur Beachtung des Datenschutzes verpflichten musst.

Ist ein Datenschutzbeauftragter im Unternehmen zum Schutz personenbezogener Daten sinnvoll?

Die Benennung bzw. Bestellung eines Datenschutzbeauftragten ist nicht nur sinnvoll, sondern kann auch Pflicht sein, und zwar dann, wenn das Gesetz laut Art. 37 DSGVO und § 38 BDSG dies vorschreibt. Du kannst intern einen Datenschutzbeauftragten benennen oder einen externen Beauftragten wählen.

Laut der DSGVO ist die Bestellung dann für eine datenverarbeitende Tätigkeit Voraussetzung, wenn es sich um eine Behörde oder öffentliche Stelle handelt, die Kerntätigkeit der Stelle eine regelmäßige und systematische Überwachung der betroffenen Personen erfordert oder wenn die Kerntätigkeit in der Bearbeitung von den besonderen Arten personenbezogener Daten liegt. Laut BDSG ist ein Datenschutzbeauftragter dann Pflicht, wenn mindestens 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind oder wenn personenbezogene Daten geschäftsmäßig für Zwecke der Übermittlung oder Markt- und Meinungsforschung verwendet werden.

Was ist das Ziel von Datenschutz?

Der Datenschutz hat als zentrale Aufgabe die Sicherung des Rechts auf informationelle Selbstbestimmung. Mit diesem Grundrecht, das jedem Menschen zusteht, soll ermöglicht werden, dass er selbst entscheiden kann, wem er persönliche Informationen über sich preisgibt. Damit soll eine „digitale Intimsphäre” geschaffen werden.

Als Teilbereich des allgemeiner gefassten Bereichs der Datensicherheit soll der Datenschutz spezifische Datensätze vor unbefugtem Zugriff und Missbrauch schützen. Die umfassenden Datenschutzregeln greifen aber nur dann, wenn personenbezogene Daten betroffen sind.

Die Bestimmungen zum Datenschutz findest du im Bundesdatenschutzgesetz und in der Datenschutzgrundverordnung. Insbesondere die DSGVO ist ein Regelwerk, das den Datenschutz europaweit einheitlich regeln soll.

Was gehört zum Datenschutz?

Datenschutz beinhaltet:

  1. den Schutz vor missbräuchlicher Datenverarbeitung,
  2. den Schutz des Rechts auf informationelle Selbstbestimmung,
  3. den Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und
  4. den Schutz der Privatsphäre.

Der Wesenskern des Datenschutzrechts besteht darin, das Machtgefälle zwischen Unternehmen und Einzelpersonen unter Bedingungen zu stellen. Damit soll dem „gläsernen Menschen”, über den im Grunde jeder alles wissen kann, entgegengewirkt werden.

Was sind die wichtigsten Regeln des Datenschutzes?

Nach Art. 6 DSGVO gibt es im Wesentlichen vier Rechtsgrundlagen, nach denen du Daten verarbeitet kannst:

  1. Einwilligung

Die betreffende Person wurde informiert, welche Daten für welchen Zweck verwendet werden. Die Person stimmt freiwillig und vorab zu, kann die Einwilligung aber jederzeit widerrufen. Zum Beispiel hat eine Person eingewilligt, dass die Nutzungsdaten für Marktforschung verwendet werden dürfen.

  1. Vertragsverhältnis

Personenbezogene Daten werden verarbeitet, um einen Vertrag zu schließen oder zu erfüllen. Zum Beispiel speicherst du bzw. dein Unternehmen die Adresse eines Kunden, um dessen Bestellung an ihn zu schicken.

  1. Berechtigtes Interesse

Eine Verarbeitung von personenbezogenen Daten kann gerechtfertigt sein, wenn sie zur Wahrung eines berechtigten Interesses notwendig ist. Das gilt, soweit die Interessen oder Grundrechte des Betroffenen nicht überwiegen. Beispielsweise überwachst du die Internetnutzung deiner Mitarbeiter, um die IT-Sicherheit zu gewährleisten.

  1. Gesetzliche Verarbeitungsermächtigungen

Personenbezogene Daten dürfen verarbeitet werden, wenn sie notwendig sind, um gesetzliche Pflichten zu erfüllen. Das Finanzamt muss zum Beispiel die Finanzdaten aller Bürger verarbeiten, um die gesetzlich festgelegten Steuern einziehen zu können.

Dürfen personenbezogene Daten an Unternehmen in Drittländer übermittelt werden?

Personenbezogene Daten dürfen an Unternehmen in Drittländer übermittelt werden, wenn dafür eine strikte Erforderlichkeit zur Erfüllung eines Vertragszwecks vorliegt. Die Daten dürfen also nur übermittelt werden, wenn dies notwendig ist, um einen Vertrag mit der betroffenen Person zu erfüllen oder zur Erfüllung eines Vertrags im Interesse der betroffenen Person. Grundsätzlich müssen bei der Übermittlung von personenbezogenen Daten in Drittstaaten häufig weitere Anforderungen beachtet werden.

Gibt es Bußgelder oder Sanktionen, wenn Unternehmen gegen das Datenschutzrecht verstoßen?

Ja, Verstöße können Konsequenzen haben. Jede Form von Unachtsamkeit und Fahrlässigkeit im Umgang mit personenbezogenen Daten kann rechtliche Sanktionen, z. B. Bußgelder, nach sich ziehen. Außerdem werden weitere Rechtsverletzungen, zum Beispiel Verstöße gegen das Persönlichkeitsrecht, geprüft, was auch Schadensersatzforderungen nach sich ziehen kann.

Grundsätzlich wird zwischen einem Datenschutzverstoß und einer Datenschutzverletzung, auch Datenschutzpanne genannt, unterschieden. Ein Datenschutzverstoß ist jeder Verstoß gegen die DSGVO, wobei nach Schwere in Ordnungswidrigkeiten und Straftaten unterschieden wird. Ein Datenschutzverstoß kann außerdem zu einer Abmahnung führen. Die Datenschutzverletzung ist dagegen sozusagen ein Unterfall des Begriffs Datenschutzverstoß und betrifft die Verletzung der Sicherheit personenbezogener Daten, die, gleich ob unbeabsichtigt oder unrechtmäßig, beispielsweise zur unbefugten Offenlegung der Daten führt.

War dieser Ratgeber hilfreich?

 

Das könnte dich auch interessieren

  1. Google Analytics & DSGVO - Webanalyse vs. Datenschutz
  2. Abmahngründe Online-Shop » Die häufigsten Abmahnfallen
  3. Datenschutz & Newsletter nach DSGVO
  4. Kopplungsverbot nach DSGVO


Kommentare
Lass uns gern einen Kommentar da
hb-iconset-hb-logo
Alles für Online-Händler

Du willst im E-Commerce Erfolge feiern? Mit unseren Lösungen unterstützen wir dich als Online-Händler bei den täglichen Herausforderungen des E-Commerce.

E-Commerce-Lösungen entdecken
hb-iconset-rechtsberatung
Rechtsberatung vom Profi

Du hast rechtliche Fragen? Wir beantworten sie. Unsere auf E-Commerce-Recht spezialisierten Anwälte stehen dir bei rechtlichen Fragen gern zur Seite.

Zur Rechtsberatung
hb-iconset-video-audio-1
Mehr Tipps gibt es auf YouTube

Der Händlerbund YouTube-Kanal hält noch viele weitere Informationen und Tipps bereit, um das Thema Online-Handel erfolgreich und rechtssicher zu gestalten.

Praxistipps entdecken