Nicht nur Vor- und Nachname sind personenbezogene Daten. Die DSGVO bietet eine sehr weit gefasste Definition von personenbezogenen Daten und umfasst alle Informationen, die direkt oder indirekt eine lebende Person identifizieren. Ihr Vor- und Nachname würde Sie als Person identifizieren, ABER was ist, wenn Sie einen häufigen Namen haben? Eine Sache, die Sie beachten sollten, ist, dass, wenn es sich nicht um persönliche Daten handelt, diese nicht unter die DSGVO fallen.
Über personenbezogene Daten innerhalb der DSGVO
Die DSGVO ist bestrebt, ein Gleichgewicht zwischen einer starken Verordnung mit klarem Schutz für die betroffenen Personen und Flexibilität aus Sicht der Unternehmen zu finden. Aus diesem Grund befasst sich die DSGVO mit der Definition von personenbezogenen Daten. Wenn ein Unternehmen oder eine Organisation personenbezogene Daten von Personen innerhalb der EU erhebt, verwendet oder speichert, ist das Unternehmen oder die Organisation verpflichtet, die Bestimmungen der DSGVO hinsichtlich Privatsphäre und die Sicherheit zu erfüllen. Andernfalls werden von der jeweiligen Aufsichtsbehörde hohe Bußgelder verhängt.
Sind nur mein Vor- und Nachname personenbezogene Daten?
Hinweis: NEIN!
Personenbezogene Daten sind mehr als nur der Vor- und Nachname. Es handelt sich um mehrere persönliche Identifikatoren, die zur Identifizierung einer bestimmten Person führen können.
Sagen wir, Ihr Name ist Joe Borg. In Malta ist das ein sehr gebräuchlicher Name. Wie können Sie eine solche Person identifizieren? Falls dieser Name mit anderen Informationen kombiniert wird, die es Ihnen ermöglichen, die Person zu identifizieren, handelt es sich um personenbezogene Daten. Wenn Sie also identifizierbare Informationen über eine Person sammeln, dann sammeln Sie personenbezogene Daten, und es gelten die DSGVO-Regeln und Bestimmungen.
Seien Sie nicht so schnell. Personenbezogene Daten finden Sie auch anderswo. Im Rahmen der DSGVO gibt es keine erschöpfende Liste dessen, was personenbezogene Daten sein können. Dies entwickelt sich jedoch weiter und hängt in hohem Maße von der richtigen Auslegung der Definition in Artikel 4 der DSGVO ab.
Natürlich gibt es die offensichtlichen Dinge, die eine Person identifizieren, wie Vor- und Nachname, Dokumentennummern auf einem Reisepass oder einem Ausweis, Postanschrift, Bankkontonummer und mehr. Aber wie wäre es, kurz über den Tellerrand zu schauen?
Der Blick über den Tellerrand
Es ist kein Geheimnis, dass Tattoos heutzutage sehr beliebt sind. Sie könnten sich also fragen, ob Ihr Tattoo (falls Sie ein Tattoo haben) personenbezogene Daten darstellen würde? Genauso wie ein gewöhnlicher Vor- und Nachname mit anderen relevanten Informationen kombiniert werden muss, um diese Person identifizieren zu können, gilt das gleiche für ein gewöhnliches Tattoo.
Wenn jedoch ein Tattoo diese Person leicht identifizieren kann, handelt es sich um personenbezogene Daten im Sinne der DSGVO, da der Kontext, in dem sie gesammelt und verarbeitet werden, berücksichtigt wird.
TIPP: Wenn Sie sich tätowieren lassen, denken Sie daran, dass der Tätowierer Ihre Daten nicht einfach weitergeben kann, wenn es nicht der DSGVO entspricht.
Wenn die Informationen über eine Person zusammengetragen werden, können verschiedene Informationen verwendet werden, um die Kriterien so weit einzugrenzen, dass eine Person identifiziert werden kann.
Nehmen wir ein weiteres Beispiel: ein Kennzeichen. Die Kfz-Zulassungsnummern fallen unter die Definition der personenbezogenen Daten nach der DSGVO. Mit den richtigen Werkzeugen kann ein Kennzeichen mit dem Besitzer des Autos abgeglichen und so die Person indirekt identifiziert werden. Keine Sorge, obwohl Nummernschilder als Daten gesammelt werden können, ist die Sammlung solcher Nummern nach der DSGVO sanktioniert.
Speicherung und Erhebung von personenbezogenen Daten
Die DSGVO legt den Schwerpunkt auf den Begriff der Datenminimierung, der das Volumen der zu speichernden Daten und die Aufbewahrung dieser Daten umfasst. Die gesetzlichen Anforderungen gemäß DSGVO besagen, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie es für die Erfüllung des Zwecks, zu dem sie verarbeitet werden, erforderlich ist.
Wenn ein Unternehmen Ihre persönlichen Daten sammelt, sollten Sie sich vergewissern, dass Sie bei der Erfassung der Daten klar darüber informiert werden. Hier ist eine Liste von Fragen, auf die Sie Antworten haben müssen:
- WELCHES Unternehmen sammelt Ihre Daten?
- WIE können Sie das Unternehmen oder den Datenschutzbeauftragten (DSB – falls vorhanden) kontaktieren?
- WARUM werden Ihre Daten verarbeitet?
- GIBT ES eine rechtliche Begründung für die Verarbeitung von personenbezogenen Daten?
- WIE LANGE werden Ihre personenbezogenen Daten aufbewahrt?
- WER sonst könnte Ihre personenbezogenen Daten ebenfalls erhalten?
- WERDEN Ihre Daten an jemanden außerhalb der EU übermittelt?
- HABEN Sie das Recht, eine Kopie Ihrer Daten zu erhalten?
- BERÜCKSICHTIGT das Unternehmen Ihre grundlegenden Rechte gemäß DSGVO?
- SIND Sie mit einem Beschwerderecht ausgestattet?
- IST Ihr Recht, Ihre Zustimmung zu widerrufen, so einfach umzusetzen, wie dessen Erteilung?
- HAT das Unternehmen ein automatisiertes Entscheidungssystem?
Die vollständige Liste finden Sie hier: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679#d1e2254‑1–1
Personenbezogene Daten müssen so kurz wie möglich aufbewahrt werden. Dieser Zeitraum muss im Sinne der DSGVO festgelegt werden und muss daher Gründe berücksichtigen, warum ein Unternehmen personenbezogene Daten verarbeitet, sowie gesetzliche Verpflichtungen, die eine längere Aufbewahrungsfrist vorsehen (z.B. Steuergesetze, die ein Unternehmen zur Aufbewahrung der Daten für 10 Jahre verpflichten).
Das Unternehmen legt Fristen fest, nach deren Ablauf nicht mehr benötigte Daten gelöscht oder überprüft werden, um die Speicherung unnötiger Daten zu vermeiden. Die Verordnung sieht Ausnahmen vor, die je nach Zweck für die Aufbewahrungsfristen gelten. Liegt der Zweck der Speicherung von Daten im Interesse der Öffentlichkeit oder werden sie für die wissenschaftliche bzw. historische Forschung aufbewahrt, so können personenbezogene Daten länger aufbewahrt werden, sofern alle erforderlichen Maßnahmen getroffen werden.
Ein Unternehmen muss auch sicherstellen, dass die persönlichen Daten korrekt und aktuell sind.
Fazit
Informationen wie Lizenznummern und Tattoos sind nicht die „üblichen“ personenbezogenen Daten, an die wir denken, jedoch muss die Speicherung solcher Informationen im Einklang mit der DSGVO erfolgen. Für jede Verarbeitung personenbezogener Daten muss ein Compliance-Prozess vorhanden sein, der der DSGVO entspricht. Wenn Sie mehr wissen möchten, kontaktieren Sie uns unter gdprcompliance@drwerner.com.
