Persönliche Daten sind NICHT NUR Ihr Vor- und Nachname! Hier eine Erklärung

Nicht nur Vor- und Nach­name sind per­so­n­en­be­zo­gene Dat­en. Die DSGVO bietet eine sehr weit gefasste Def­i­n­i­tion von per­so­n­en­be­zo­ge­nen Dat­en und umfasst alle Infor­ma­tio­nen, die direkt oder indi­rekt eine lebende Per­son iden­ti­fizieren. Ihr Vor- und Nach­name würde Sie als Per­son iden­ti­fizieren, ABER was ist, wenn Sie einen häu­fi­gen Namen haben? Eine Sache, die Sie beacht­en soll­ten, ist, dass, wenn es sich nicht um per­sön­liche Dat­en han­delt, diese nicht unter die DSGVO fall­en.

personal-data-1

Über personenbezogene Daten innerhalb der DSGVO

Die DSGVO ist bestrebt, ein Gle­ichgewicht zwis­chen ein­er starken Verord­nung mit klarem Schutz für die betrof­fe­nen Per­so­n­en und Flex­i­bil­ität aus Sicht der Unternehmen zu find­en. Aus diesem Grund befasst sich die DSGVO mit der Def­i­n­i­tion von per­so­n­en­be­zo­ge­nen Dat­en. Wenn ein Unternehmen oder eine Organ­i­sa­tion per­so­n­en­be­zo­gene Dat­en von Per­so­n­en inner­halb der EU erhebt, ver­wen­det oder spe­ichert, ist das Unternehmen oder die Organ­i­sa­tion verpflichtet, die Bes­tim­mungen der DSGVO hin­sichtlich Pri­vat­sphäre und die Sicher­heit zu erfüllen. Andern­falls wer­den von der jew­eili­gen Auf­sichts­be­hörde hohe Bußgelder ver­hängt.

Sind nur mein Vor- und Nachname personenbezogene Daten?

Hin­weis: NEIN!

Per­so­n­en­be­zo­gene Dat­en sind mehr als nur der Vor- und Nach­name. Es han­delt sich um mehrere per­sön­liche Iden­ti­fika­toren, die zur Iden­ti­fizierung ein­er bes­timmten Per­son führen kön­nen.

Sagen wir, Ihr Name ist Joe Borg. In Mal­ta ist das ein sehr gebräuch­lich­er Name. Wie kön­nen Sie eine solche Per­son iden­ti­fizieren? Falls dieser Name mit anderen Infor­ma­tio­nen kom­biniert wird, die es Ihnen ermöglichen, die Per­son zu iden­ti­fizieren, han­delt es sich um per­so­n­en­be­zo­gene Dat­en. Wenn Sie also iden­ti­fizier­bare Infor­ma­tio­nen über eine Per­son sam­meln, dann sam­meln Sie per­so­n­en­be­zo­gene Dat­en, und es gel­ten die DSG­VO-Regeln und Bes­tim­mungen.

Seien Sie nicht so schnell. Per­so­n­en­be­zo­gene Dat­en find­en Sie auch ander­swo. Im Rah­men der DSGVO gibt es keine erschöpfende Liste dessen, was per­so­n­en­be­zo­gene Dat­en sein kön­nen. Dies entwick­elt sich jedoch weit­er und hängt in hohem Maße von der richti­gen Ausle­gung der Def­i­n­i­tion in Artikel 4 der DSGVO ab.

Natür­lich gibt es die offen­sichtlichen Dinge, die eine Per­son iden­ti­fizieren, wie Vor- und Nach­name, Doku­menten­num­mern auf einem Reisep­a­ss oder einem Ausweis, Postan­schrift, Bankkon­ton­um­mer und mehr. Aber wie wäre es, kurz über den Teller­rand zu schauen?

Der Blick über den Tellerrand

personal-data-2

Es ist kein Geheim­nis, dass Tat­toos heutzu­tage sehr beliebt sind. Sie kön­nten sich also fra­gen, ob Ihr Tat­too (falls Sie ein Tat­too haben) per­so­n­en­be­zo­gene Dat­en darstellen würde? Genau­so wie ein gewöhn­lich­er Vor- und Nach­name mit anderen rel­e­van­ten Infor­ma­tio­nen kom­biniert wer­den muss, um diese Per­son iden­ti­fizieren zu kön­nen, gilt das gle­iche für ein gewöhn­lich­es Tat­too.

Wenn jedoch ein Tat­too diese Per­son leicht iden­ti­fizieren kann, han­delt es sich um per­so­n­en­be­zo­gene Dat­en im Sinne der DSGVO, da der Kon­text, in dem sie gesam­melt und ver­ar­beit­et wer­den, berück­sichtigt wird.

TIPP: Wenn Sie sich tätowieren lassen, denken Sie daran, dass der Tätowier­er Ihre Dat­en nicht ein­fach weit­ergeben kann, wenn es nicht der DSGVO entspricht.

Wenn die Infor­ma­tio­nen über eine Per­son zusam­menge­tra­gen wer­den, kön­nen ver­schiedene Infor­ma­tio­nen ver­wen­det wer­den, um die Kri­te­rien so weit einzu­gren­zen, dass eine Per­son iden­ti­fiziert wer­den kann.

Nehmen wir ein weit­eres Beispiel: ein Kennze­ichen. Die Kfz-Zulas­sungsnum­mern fall­en unter die Def­i­n­i­tion der per­so­n­en­be­zo­ge­nen Dat­en nach der DSGVO. Mit den richti­gen Werkzeu­gen kann ein Kennze­ichen mit dem Besitzer des Autos abgeglichen und so die Per­son indi­rekt iden­ti­fiziert wer­den. Keine Sorge, obwohl Num­mern­schilder als Dat­en gesam­melt wer­den kön­nen, ist die Samm­lung solch­er Num­mern nach der DSGVO sank­tion­iert.

Speicherung und Erhebung von personenbezogenen Daten

Die DSGVO legt den Schw­er­punkt auf den Begriff der Daten­min­imierung, der das Vol­u­men der zu spe­ich­ern­den Dat­en und die Auf­be­wahrung dieser Dat­en umfasst. Die geset­zlichen Anforderun­gen gemäß DSGVO besagen, dass per­so­n­en­be­zo­gene Dat­en nur so lange auf­be­wahrt wer­den dür­fen, wie es für die Erfül­lung des Zwecks, zu dem sie ver­ar­beit­et wer­den, erforder­lich ist.

Wenn ein Unternehmen Ihre per­sön­lichen Dat­en sam­melt, soll­ten Sie sich vergewis­sern, dass Sie bei der Erfas­sung der Dat­en klar darüber informiert wer­den. Hier ist eine Liste von Fra­gen, auf die Sie Antworten haben müssen:

  • WELCHES Unternehmen sam­melt Ihre Dat­en?
  • WIE kön­nen Sie das Unternehmen oder den Daten­schutzbeauf­tragten (DSB – falls vorhan­den) kon­tak­tieren?
  • WARUM wer­den Ihre Dat­en ver­ar­beit­et?
  • GIBT ES eine rechtliche Begrün­dung für die Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en?
  • WIE LANGE wer­den Ihre per­so­n­en­be­zo­ge­nen Dat­en auf­be­wahrt?
  • WER son­st kön­nte Ihre per­so­n­en­be­zo­ge­nen Dat­en eben­falls erhal­ten?
  • WERDEN Ihre Dat­en an jeman­den außer­halb der EU über­mit­telt?
  • HABEN Sie das Recht, eine Kopie Ihrer Dat­en zu erhal­ten?
  • BERÜCKSICHTIGT das Unternehmen Ihre grundle­gen­den Rechte gemäß DSGVO?
  • SIND Sie mit einem Beschw­erderecht aus­ges­tat­tet?
  • IST Ihr Recht, Ihre Zus­tim­mung zu wider­rufen, so ein­fach umzuset­zen, wie dessen Erteilung?
  • HAT das Unternehmen ein automa­tisiertes Entschei­dungssys­tem?

Die voll­ständi­ge Liste find­en Sie hier: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679#d1e2254‑1–1

Per­so­n­en­be­zo­gene Dat­en müssen so kurz wie möglich auf­be­wahrt wer­den. Dieser Zeitraum muss im Sinne der DSGVO fest­gelegt wer­den und muss daher Gründe berück­sichti­gen, warum ein Unternehmen per­so­n­en­be­zo­gene Dat­en ver­ar­beit­et, sowie geset­zliche Verpflich­tun­gen, die eine län­gere Auf­be­wahrungs­frist vorse­hen (z.B. Steuerge­set­ze, die ein Unternehmen zur Auf­be­wahrung der Dat­en für 10 Jahre verpflicht­en).

Das Unternehmen legt Fris­ten fest, nach deren Ablauf nicht mehr benötigte Dat­en gelöscht oder über­prüft wer­den, um die Spe­icherung unnötiger Dat­en zu ver­mei­den. Die Verord­nung sieht Aus­nah­men vor, die je nach Zweck für die Auf­be­wahrungs­fris­ten gel­ten. Liegt der Zweck der Spe­icherung von Dat­en im Inter­esse der Öffentlichkeit oder wer­den sie für die wis­senschaftliche bzw. his­torische Forschung auf­be­wahrt, so kön­nen per­so­n­en­be­zo­gene Dat­en länger auf­be­wahrt wer­den, sofern alle erforder­lichen Maß­nah­men getrof­fen wer­den.

Ein Unternehmen muss auch sich­er­stellen, dass die per­sön­lichen Dat­en kor­rekt und aktuell sind.

Fazit

Infor­ma­tio­nen wie Lizen­znum­mern und Tat­toos sind nicht die “üblichen” per­so­n­en­be­zo­ge­nen Dat­en, an die wir denken, jedoch muss die Spe­icherung solch­er Infor­ma­tio­nen im Ein­klang mit der DSGVO erfol­gen. Für jede Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en muss ein Com­pli­ance-Prozess vorhan­den sein, der der DSGVO entspricht. Wenn Sie mehr wis­sen möcht­en, kon­tak­tieren Sie uns unter gdprcompliance@drwerner.com.

About Dr. Rebecca Mifsud

Dr Rebec­ca Mif­sud, born 6th May 1994, attend­ed the Uni­ver­si­ty of Mal­ta and is an LLB Hon­ours grad­u­ate. She also grad­u­at­ed in the Mas­ters in Advo­ca­cy and will be sit­ting for her Mal­ta War­rant Exam in 2019. She suc­cess­ful­ly defend­ed her dis­ser­ta­tion enti­tled: ‘Imput­ing respon­si­bil­i­ty for foot­ball injuries inflict­ed by minors in the Mal­tese sce­nario,’ in 2017.

View All Posts

Kommentar hinterlassen

Ihre E-Mail Adresse wird nicht veröffentlicht.