Datenschutzbeauftragter und Sachverständiger für Datenschutz

Wenn von der Datenschutzgrundverordnung im Speziellen oder vom Datenschutz im Allgemeinen die Rede ist, dann geht es dabei dem expliziten Wortlaut nach um den Schutz von Daten. Fraglich ist dann oft, welche Daten überhaupt gemeint sind – und ob wirklich alle Daten unter den gesetzlichen Datenschutz fallen.

Der Begriff der personenbezogenen Daten

Da sowohl im privaten als auch im geschäftlichen Alltag jeden Tag eine Vielzahl an ganz unterschiedlichen Daten anfallen, hat der Gesetzgeber vor allem die sogenannten personenbezogenen Daten im Blick, wenn es um den Schutzbereich von Gesetzen wie dem Bundesdatenschutzgesetz oder der DSGVO geht.

Diese personenbezogenen Daten erfahren durch Art. 4 Nr. 1 der Datenschutzgrundverordnung eine einheitliche Definition; danach sind alle Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen, als personenbezogene Daten einzuordnen. Dazu gehören zum Beispiel:

  • allgemeine Personendaten
    Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, Handynummer usw.
    Zeugnisse, Zertifikate, Nachweise, Urkunden usw.
  • Kennnummern jeder Art
    Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, Mitgliedsnummer usw.
  • Bankdaten
    Kontonummer, IBAN-Nummer, Kreditinformationen, Kontostand, Schließfachnummer, Angaben zur Bonität (SCHUFA) usw.
  • sämtliche Online-Daten
    IP-Adresse, Standortdaten usw.
  • persönliche Merkmale
    Haarfarbe, Größe, Statur, Gewicht, Augenfarbe, Geschlecht usw.
  • Merkmale gegenständlicher Art
    Fahrzeugdaten, Immobilien- und Grundbesitzangaben, Eintragungen im Grundbuch, Autokennzeichen, Zulassungsdaten usw.
  • Kundendaten
    Kundennummer, Bestellhistorie, Adressdaten, Lieferdaten, Kontodaten usw..

Insbesondere der Schutzbereich der DSGVO beschränkt sich aber nicht nur auf die genannten personenbezogenen Daten. Die Datenschutzgrundverordnung verweist im Gegenteil auch auf die sogenannten besonders schutzwürdigen personenbezogenen Daten. Diese erfahren durch Art. 9 der DSGVO eine explizite Erfassung und müssen noch strenger geschützt werden, als dies ohnehin schon der Fall ist.

Zu den Daten mit erhöhtem Schutzbedarf gehören zum Beispiel:

  • Angaben zur ethnischen Herkunft einer Person
  • politische Ansichten und Haltungen
  • religiöse, philosophische sowie weltanschauliche Ansichten und Einstellungen
  • Angaben zur aktiven Zugehörigkeit oder Unterstützung einer Gewerkschaft oder ähnlicher Zusammenschlüsse
  • Gesundheitsdaten jeder Art
  • Angaben zu sexuellen Präferenzen und Praktiken.

Personenbezogene Daten müssen geschützt werden

Der europäische Gesetzgeber verlangt durch die Verabschiedung der DSGVO, dass die o. g. Daten auch auf europäischer Ebene einheitlich und umfassend geschützt werden. Das gilt sowohl im analogen als auch im digitalen Bereich: Damit wird sichergestellt, dass auch Datensätze, die außerhalb von digitalen Bearbeitungsvorgängen aufbewahrt oder gesammelt werden, dem Schutzbereich der datenschutzrechtlichen Vorschriften unterfallen.

Wer gegen die Regelungen verstößt, muss mit empfindlichen Sanktionen rechnen: Die Datenschutzgrundverordnung sieht hier drastische Strafen vor, die deutlich machen, dass Verletzungen des Datenschutzes kein Kavaliersdelikt sind, sondern eine ernstzunehmende Regelverletzung.

Was ist beim Umgang mit personenbezogenen Daten zu beachten?

Jedes Unternehmen, das in Kontakt mit personenbezogenen Daten kommt, ist beim Umgang mit diesen Datensätzen zu besonderer Vorsicht aufgerufen. Das betrifft insbesondere den Umstand, dass außenstehende Dritte keine Möglichkeit mehr haben dürfen, auf die Daten zuzugreifen oder diese zu manipulieren.

Daher enthält die Datenschutzgrundverordnung auch Vorschriften, die die Weitergabe der personenbezogenen Daten betrifft. Sie ist regelmäßig nicht zulässig und bedarf der expliziten Einwilligung des Betroffenen. Ähnlich strikt ist die Verarbeitung und die Speicherung von personenbezogenen Daten geregelt: Auch diese Vorgänge werden seit Mai 2018 an den Maßstäben der DSGVO gemessen und sind daher in Unternehmen entsprechend zu modifizieren.

Für die Betroffenen selbst hat sich durch die DSGVO ebenfalls die Sicherheit für den Umgang anderer mit den eigenen Daten erhöht: Sie haben nun das Recht auf Auskunft, welche Daten überhaupt gespeichert wurden und auch darauf, dass eigene Daten unter bestimmten Voraussetzungen korrigiert oder sogar gelöscht werden müssen.

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau