Personenbezogene Daten und Verarbeitung in der EU-Datenschutz-Grundverordnung

Die am 25. Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (DSGVO) regelt vor allem die Verarbeitung von personenbezogenen Daten und enthält Vorgaben, die Unternehmen erfüllen müssen, wenn sie personenbezogene Daten verarbeiten möchten.

In diesem Zusammenhang ist es relevant zu wissen, was unter „personenbezogenen Daten“ und „Verarbeitung“ zu verstehen ist, denn Zuwiderhandlungen der Vorgaben der DSGVO werden mit hohen Strafen belegt.

„Personenbezogene Daten“ definiert sich über Artikel 4 der DSGVO. Damit gemeint sind alle Informationen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen. Es sind somit nicht nur offensichtliche Daten wie Name oder Adresse gemeint, sondern auch Daten, die zu dieser Person sonst noch erfasst und verarbeitet werden. Hierzu zählen beispielsweise Interessen, Online-Einkäufe, Bewegungsdaten, etc.

Das zeigt, dass jede Kunden-, Interessenten- oder Mitarbeiterliste, die ein Unternehmen führt, personenbezogene Daten beinhaltet und so zu behandeln ist.

Innerhalb der personenbezogenen Daten gibt es noch eine Aufspaltung, nämlich die „besonderen Kategorien“ von Daten. Dabei handelt es sich um Daten, welche der Gesetzgeber als besonders sensibel und daher auch besonders schützenswert einstuft.
Diese dürfen nur unter besonderen Bedingungen verarbeitet werden, wenn zum Beispiel eine Einwilligung der gefragten Person vorliegt.

Als „besondere Kategorie“ von Daten gemäß Artikel 9 der DSGVO gelten Daten aus denen folgende Informationen hervorgehen:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse und weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit

Dazu zählen ebenso:

  • Genetische und biometrische Daten zur Identifikation einer Person
  • Gesundheitsdaten
  • Informationen zum Sexualleben oder der sexuellen Orientierung einer Person

Auch der Begriff „Verarbeitung“ lässt sich durch die DSGVO definieren.
Jede Speicherung, Erfassung, Organisation, Übermittlung, Verwendung, etc. von Daten ist eine Verarbeitung.
Besonders bei der Verarbeitung ist jedoch, dass diese nicht digital stattfinden muss. Auch strukturierte, nicht automationsgestützte Verarbeitungen werden von der DSGVO erfasst. Beispielsweise der Karteikasten mit Kundendaten.

Um die Maßnahmen der DSGVO perfekt zu erfüllen, kommt man meist nicht daran vorbei, ein Informationssicherheits-Management-System (ISMS) zu integrieren. Oftmals herrscht sogar die Meinung vor, dass ohne ein funktionierendes ISMS keine komplette Umsetzung der Maßnahmen der DSGVO erfolgen kann.

Mehr Informationen zum ISMS finden Sie hier:

Die Analyse, Konzeption und Umsetzung der erforderlichen Maßnahmen in einem Unternehmen erfordert eine Zusammenarbeit mit kompetenten und erfahrenen Partnern. Jedoch kann die Implementierung der DSGVO-konformen Prozesse mehrere Monate dauern.

Haben Sie noch keinen Partner gefunden? Haben Sie noch Fragen zur bald in Kraft tretenden EU-Datenschutz-Grundverordnung? Benötigen Sie noch ein ISMS?

Dann kontaktieren Sie uns jetzt! Wir haben auch für Ihr Unternehmen ein passendes ISMS-Konzept und helfen Ihnen gerne dieses zu implementieren!

Telefon: 0951 / 700860 oder per E-Mail: info@es1.de