papalapapp - Fotolia

Wie definiert die EU-DSGVO personenbezogene Daten?

Was versteht die DSGVO unter personenbezogenen Daten? Und was können Unternehmen mit den personenbezogenen Daten machen? Ein Überblick zur EU-DSGVO.

Ab 25. Mai 2018 muss die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), Englisch: General Data Protection Regulation (GDPR), umgesetzt sein. In Deutschland löst die Verordnung das seit 1995 gültige Bundesdatenschutzgesetz ab. Die EU-DSGVO definiert den Umgang mit sensiblen und personenbezogenen Daten. In ihrem Grundsatz besagt die EU-DSGVO, dass jeder EU-Bürger ein Recht auf den Schutz seiner persönlichen Daten hat.

Damit beschränkt die DSGVO die Art und Weise, wie Unternehmen personenbezogene Daten von Kunden erheben, speichern und nutzen können. Die neuen Regeln geben den Verbrauchern die Möglichkeit, die Erhebung ihrer persönlichen Daten zu verweigern, die gesammelten Daten zu überprüfen und sogar ihre Daten aus den Datenbanken eines Unternehmens löschen zu lassen.

Was aber versteht die DSGVO unter personenbezogenen Daten? Die Definition personenbezogener Daten umfasst alle Informationen über eine Person, die zur direkten oder indirekten Identifizierung dieser Person verwendet werden können. Diese persönlich identifizierbaren Informationen können gemäß der FAQ-Seite zur EU-DSGVO alles Mögliche sein, zum Beispiel der Name, ein Foto oder eine E-Mail-Adresse einer Person. Damit nicht genug. Persönlich identifizierbare Daten können auch Bankverbindungen sein, Beiträge auf Social-Networking-Websites, biometrische Daten und sogar die IP-Adresse des Computers der Person.

Ob allerdings die IP-Adresse als personenbezogenes Datum anzusehen ist, wurde kontrovers diskutiert. Letztendlich hat aber die Europäische Union (EU) entschieden, dass es sich bei IP-Adressen in der Tat um personenbezogene Daten im Rahmen der DSGVO handelt. Die Begründung: Durch die verwendeten IP-Adressen können Personen eindeutig identifiziert werden.

Was personenbezogene Daten sind, ist damit im Grundsatz klar. Die andere Frage, die die DSGVO beantwortet, ist, was Unternehmen mit diesen Daten machen dürfen. Es gilt: Alle Arten von personenbezogenen Daten müssen in Übereinstimmung mit den Vorschriften der DSGVO behandelt werden.

Diese Regeln verlangen, dass Unternehmen personenbezogene Daten rechtmäßig, fair und transparent verarbeiten. Außerdem dürfen die gesammelten Daten nur für bestimmte und legitime Zwecke verwendet werden. Dabei muss die Datenerhebung auf das beschränkt bleiben, was für die Geschäftszwecke unbedingt erforderlich ist.

Die DSGVO-Definition von personenbezogenen Daten.
Abbildung 1: Die DSGVO-Definition von personenbezogenen Daten.

Allerdings gibt es in der DSGVO-Definition von Personendaten Grauzonen, die Unternehmen durch Dokumentation verdeutlichen müssen. Beispielsweise kann ein Unternehmen die Speicherung der Augenfarbe einer Person für legitime Geschäftszwecke als notwendig erachten. In diesem Fall muss es nachweisen können, dass die erfassten und gespeicherten Informationen einem legitimen Zweck gemäß der DSGVO-Definition personenbezogener Daten dienen.

„Der Weg, um zu validieren, dass bestimmte Arten von persönlichen Daten notwendig sind, erfolgt über Geschäftsanforderungsdokumente [Anm. d. Red. Business Requirements]“, sagt Anne Marie Smith, Vice President of Education und Chief Methodologist bei EWSolutions, einem Daten-Management-Beratungsunternehmen.

„Sie müssen dokumentieren, dass Sie für Ihr Business wissen müssen, welche Augenfarbe jemand hat oder was sein Lieblingsessen ist. Und Sie müssen beweisen können, wie diese Daten ein erklärtes Geschäftsziel erreichbar machen, damit die Auditoren die Notwendigkeit klar erkennen können“, sagt sie.

Bevor ein Unternehmen überhaupt personenbezogene Daten erheben kann, muss es die Person informieren und eine eindeutige Einwilligung dieser Person einholen. Dies bedeutet in der Praxis, dass die Person aktiv ein Kästchen zur Bestätigung der Einwilligung ankreuzen muss.

Die DSGVO-Definition personenbezogener Daten umfasst auch Genauigkeit und Aktualität. Organisationen müssen deshalb Maßnahmen ergreifen, um ihre Daten auf dem neuesten Stand zu halten. Die personenbezogenen Daten, die Unternehmen sammeln, müssen so verarbeitet werden, dass die Datensicherheit zum Schutz vor unbefugter Nutzung oder Datenverlust gewährleistet ist.

Darüber hinaus können personenbezogene Daten nicht länger aufbewahrt werden, als es für die Zwecke erforderlich ist, für die sie erhoben und verarbeitet werden. Außerdem kann jeder EU-Bürger verlangen, dass seine personenbezogenen Daten aus Unternehmensdatenbanken gelöscht werden. Dies gilt sowohl in den EU-Mitgliedsstaaten als auch außerhalb dieser Länder, wenn die Daten auf EU-Bürger bezogen sind.

Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

DSGVO: Unternehmen müssen mit zahlreichen Anfragen rechnen.

DSGVO vs. E-Privacy-Verordnung: Besteht ein Widerspruch?

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen.

Erfahren Sie mehr über Big Data