Das Wichtigste zu personenbezogenen Daten in Kürze
- Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.
- Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.
- Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig.
Mehr zum Thema personenbezogenen Daten
Personenbezogene Daten: Definition nach BDSG und DSGVO
Inhaltsverzeichnis
Der Datenschutz soll als Teilbereich des allgemeiner gefassten Bereichs der Datensicherheit spezifische Datensätze vor Missbrauch und unbefugtem Zugriff bewahren: personenbezogene Daten.
Die entsprechenden Datenschutzbestimmungen finden sich zum einen im Bundesdatenschutzgesetz, zum anderen jedoch noch maßgeblicher in der europäischen Datenschutz-Grundverordnung (DSGVO). Diese wird ab Mitte 2018 für alle EU-Mitgliedstaaten verbindlich. Sowohl das BDSG, die DSGVO als auch die zahlreichen Landesgesetze zum Datenschutz enthalten Defintitionen zu einzelnen Begrifflichkeiten, auf die sich die Texte beziehen.
Die Definition des Begriffs „personenbezogene Daten“ gleicht sich entsprechend. Aber welche Daten genau sind personenbezogen? Grundsätzlich sind alle Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Natürliche Person ist ein jeder Mensch in seiner Funktion als Träger von bestimmten Rechten und Pflichten.
Beispiele für personenbezogene Daten
Die Arten personenbezogener bzw. auf Personen beziehbarer Daten sind zahlreich. Eine abschließende Zusammenfassung lässt sich kaum bewältigen. Im Folgenden jedoch eine Liste entsprechender Werte, die einen ersten Eindruck davon verleihen soll, was alles unter personenbezogene Daten fällt:
- allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
- Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
- Online-Daten (IP-Adresse, Standortdaten usf.)
- physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
- Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
- Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
- Werturteile (Schul- und Arbeitszeugnisse usf.)
- u. v. m.
Daneben existieren auch noch besondere personenbezogene Daten, die eines erhöhten Schutzes bedürfen. Die Vorschriften zur Sammlung und Verarbeitung solcher Daten sind wesentlich strenger. Solche besondere Kategorien personenbezogener Daten sind gemäß § 46 Ziffer 14 a-e BDSG-neu (vgl. auch Artikel 4, 9 DSGVO):
- „Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten und
- Daten zum Sexualleben oder zur sexuellen Orientierung;“
In der folgenden grafischen Übersicht erhalten Sie noch einmal einen kompakten Überblick über die unterschiedlichen Formen von personenbezogenen Daten – von den allgemeinen Personendaten über wichtige Kennnummern, Bankdaten, Onlinedaten, Besitzmerkmalen bis hin zu Werturteilen, sachlichen Verhältnissen sowie Kunden- und bestimmbaren Daten. Diese Kategorien sind durch einzelne Beispiele näher erläutert.
Warum müssen personenbezogene Daten geschützt werden?
In Zeiten der weltweiten Verknüpfung über das Internet ist die Angst vor dem „gläsernen Menschen“ omnipräsent. Welche Daten können Behörden aus meiner Kommunikation erfassen? Wie kann ich die Kontrolle über die zu meiner Person gespeicherten Daten behalten?
Fakt ist: Viele Personen gehen auch heute noch oftmals zu leichtfertig mit der Herausgabe personenbezogener Daten um – häufig aus dem Unwissen heraus, wie wertvoll diese für einzelne Unternehmen und Behörden sein können. Weltweit agierende Datenkraken wie zum Beispiel Google und Facebook sammeln die Daten über die Aktivitäten der Nutzer aus World Wide Web.
Diese Stammdaten (von den Standortdaten über Angaben zum Kaufverhalten bis hin zu Kontakten) nutzen sie meist für die Schaltung von individualiserter Werbung für den jeweiligen User. Und darüber erwirtschaften sie letztlich jährlich Gewinne in Millionenhöhe. Personenbezogene Daten sind also bares Geld wert.
Daneben aber kann der Missbrauch dieser sensiblen Angaben auch strafrechtliche Relevanz haben: Kriminelle können Bankdaten abgreifen und so unbefugt auf Konten zugreifen, mit Personal- oder Ausweisnummern können falsche Dokumente erstellt und verkauft werden und und und.
Deshalb bedarf es beim Umgang mit personenbezogenen Daten – ob im Unternehmen oder einer Behörde – einer erhöhten Sorgsamkeit. Unternehmen und öffentliche Stellen, die derlei Datenschätze sammeln, speichern und verarbeiten müssen diese entsprechend vor unbefugten Zugriffen schützen. Zudem dürfen auch nicht alle Daten zu jedwedem Zweck verarbeitet oder gespeichert – und schon gar nicht weitergegeben – werden.
Spezifische Ratgeber zum Missbrauch von personenbezogenen Daten
Umgang mit personenbezogenen Daten
Nicht jedes Unternehmen darf einfach freimütig alle Daten sammeln, die ihm zwischen die Finger kommen. Wenn es zulässig ist, dass diese oder jene öffentliche oder nichtöffentliche Stelle Daten sammelt und verarbeitet, muss Sie den Datenschutz gewährleisten. Das bedeutet:
- Die Mitarbeiter, die in der Datenverarbeitung tätig sind, müssen über das Datengeheimnis belehrt werden und bedürfen einer datenschutzrechtlichen Schulung im Umgang mit den Datensätzen.
- Die Weitergabe personenbezogener Daten an Dritte ist regelmäßig – und ohne Zustimmung des Betroffenen – nicht zulässig. Ist es in Ausnahmefällen gestattet, muss die Übermittlung verschlüsselt sein und die Daten müssen abgetrennt voneinander übermittelt werden. So soll am Ende zunächst das unrechtmäßige Abgreifen verhindert, zum anderen aber auch unterbunden werden, dass Datensammlungen zu einer Person zu viele Informationen über den Betroffenen preisgeben.
- Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen. Das meint nicht nur passwortgeschützte Arbeitsplätze und Datenbänke, sondern vor allem auch angemessene Verschlüsselungsprogramme und höchstwirksame Maßnahmen zur Unterbindung einer Infiltrierung durch Schadsoftware (Antivirenprogramme, Firewall usf.). Unter Umständen müssen die Stellen personenbezogene Daten auch anonymisieren, den Bezug zu einer bestimmten oder bestimmbaren Person etwa aufheben.
- Die Verarbeitung personenbezogener Daten muss immer zweckgebunden erfolgen. Ist der Zweck erfüllt, müssen die Angaben gelöscht oder vor einem weiteren Zugriff geschützt werden. Diesem Zweck muss der Betroffene zudem eindeutig zugestimmt haben.
- Die Pflicht zur Löschung personenbezogener Daten besteht regelmäßig, sobald die Daten nicht mehr benötigt werden bzw. die Zweckgebundenheit aufgelöst ist. Zudem verjährt die ein oder andere Eintragung von Daten in regelmäßigen Abständen (etwa bei der Schufa-Auskunft). Auch unrechtmäßig gespeicherte Daten müssen umgehend sicher gelöscht werden.
Personenbezogene Daten: Wichtige Rechte der Betroffenen
Betroffene, deren Daten gesammelt, gespeichert und verarbeitet werden, haben zahlreiche Rechte. Personenbezogene Daten sind nämlich gewissermaßen auch als Eigentum der jeweiligen natürlichen Person aufzufassen. Die drei wichtigsten Rechte betreffen die Selbstbestimmung, den Auskunftsanspruch und die Löschung von Daten.
Recht auf informationelle Selbstbestimmung
Im sogenannten Volkszählungsurteil vom 15. Dezember 1983 gelangte das Bundesverfassungsgericht zu der Einschätzung, dass das Recht auf informationelle Selbstbestimmung grundsätzlich in die allgemeinen Persönlichkeitsrechte hineinfalle. Diese wiederum sind eindeutig durch Artikel 1 des Grundgesetzes geschützt.
Nach diesem Urteil – und so wurde es auch im BDSG und der DSGVO festgelegt – dürfe das Recht auf informationelle Selbstbestimmung nur in einem eng gesteckten gesetzlichen Rahmen eingeschränkt werden. Diese Einschränkungen enthalten staatliche und europäische Rechtsgrundlagen.
Das bedeutet aber auch: Hier sind auch die Menschen selbst in der Pflicht. Sie sollten grundsätzlich bedachter mit der Freigabe solch persönlicher Informationen umgehen und auch selbst Vorkehrungen treffen, um den Missbrauch personenbezogener Daten zu unterbinden.
Auskunftsrecht
Nach §§ 19 und 34 sind Betroffene befugt, die zu ihrer Person gespeicherten Daten bei Unternehmen und Behörden einzusehen. Die öffentlichen und nichtöffentlichen Stellen sind im Gegenzug zur Auskunft verpflichtet. Das ist besonders in Bezug auf die Auskunft über bei Wirtschaftsauskunfteien wie der Schufa hinterlegten Daten, die die Bonität einer Person betreffen. Hier haben Betroffene sogar einmal jährlich den Anspruch darauf, kostenlose Auskunft zu erhalten.
Recht auf Berichtigung, Löschung und Sperrung der Daten
Falsche, veraltete, widerrechtlich gespeicherte oder weitergegebene personenbezogene Daten müssen von den Datensammlern rechtzeitig gesperrt, berichtigt oder gänzlich gelöscht werden. Die Betroffenen haben das Recht darauf, diese Vorgänge einzufordern, wenn ein Verstoß gegen den Datenschutz diesbezüglich festzustellen ist.
(66 Bewertungen, Durchschnitt: 3,95 von 5)
Loading...Über den Autor
Nutzungsbasierte Onlinewerbung sammelt per Definition Informationen über das Nutzungsverhalten im Internet von Personen. Verstehe ich es richtig, dass das Nutzungsverhalten im Internet unter „persönliche Daten“ im Sinne der DSGVO fallen? Wer ist in diesem Falle Anprechpartner für die Wahrung meiner Rechte?
Hallo Olaf,
personenbezogen sind Daten dann, wenn Sie sich auf konkrete Personen beziehen lassen, diese also identifizieren oder identifizierbar machen. Ansprechpartner bezüglich Ihrer Rechte im Datenschutz ist in der Regel der Datenschutzbeauftragte des jeweiligen Bundeslandes.
Die Redaktion von Datenschutz.org
Wie geht man mit perosonenbezogenene Daten um, die auf Datensicherungsbändern vor Verlust geschützt werden. In vielen Unternehmen gibt es ja dann Tages-, Wochen- und Monatssicherungen, die dann verschlossen in einem Tresor aufbewahrt wrden. Diese werden ja auf jeden Fall länger aufgehoben, als es eigentlich nötig wäre. Und die Daten könnten bei Bedarf wieder zurückgeholt werden. Ist das erlaubt?
Hallo Zyrak,
die Zulässigkeit müsste im Einzelfall festgestellt werden. Hierzu müssten Sie sich dann an einen Anwalt wenden.
Die Redaktion von Datenschutz.org
Guten Tag,
muss ich mir von Mitarbeiter von Geschäftspartner ab dem 25. Mai 2018 die Erlaubnis einholen den Namen, die Firmen-Mailadresse und die Firmentelefonnummer für geschäftliche Zwecke weiterhin verwenden zu dürfen? Die Kontaktdaten werden zum Teil seit vielen Jahren verwendet um Angebote und Aufträge zu bearbeiten.
Sollte dies der Fall sein, müssten sich viele Millionen von Angestellten in Europa gegenseitig die Erlaubnis der Speicherung erteilen, bzw. Firmen müssten immer alle Angestellten von Kunden und Lieferanten um Erlaubnis fragen.
Hallo Frank,
dem ist nicht so. Informationen, die zur Erfüllung von Verträgen, also dem Abschluss von Geschäften, erforderlich sind, können gemäß Art. 6 Abs. 1b DSGVO in der Regel ohne Einwilligung verarbeitet werden. Es dürfte sich hierin also nichts ändern.
Die Redaktion von Datenschutz.org
Ich betreibe eine Website ohne kommerzielle Interessen. Die Website ist eine Art Informationsportal einschließlich umfangreicher Linkliste zu Homepages von Personen, deren Website dieses Thema ebenfalls behandelt.
Die Verlinkung erfolgt in etwa so:
LINK
VornameFrau und VornameMann (ggf. VornameKind) schreiben auf ihrer Website über…
Sind die Vornamen zusammen mit dem Link personenbezogene Daten?
Ist es relevat, ob die Vornamen auf der verlinkten Seite genannt werden, sozusagen öffentlich bekannt sind, oder mir diese z.B. durch persönlichen Kontakt bekannt wurden?
Besten Dank für die Antwort!
Hallo Jo,
Namen sind grundsätzlich immer personenbezogene Angaben. Wenn Sie sich nicht sicher sind, ob eine Verlinkung zulässig ist, könnten Sie die betreffenden Personen kontaktieren.
Die Redaktion von Datenschutz.org
Zählt die Verwendung des Accountnamens – z.B.: „ObermayerHan“ in einem Programm z.B.: für div. Ausdrucke, zum Anlegen von Projekten.. zu personenbezogenen Daten?
Hallo Christian,
alle Angaben, die eine Person identifizieren können, sind personenbezogene Daten. Die DSGVO spricht sogar explizit auch von „Online-Kennungen“.
Die Redaktion von Datenschutz.org
Hallo!
In einem Fall, wo die Übermittlung von personenbezogenen Daten an sich erlaubt ist, ist es möglich diese unverschlüsselt per Mail oder Fax zu senden?
Vielen Dank im Voraus!!
Hallo Nikola,
die Erlaubnis zur Übermittlung von personenbezogenen Daten spezifiziert nicht die Art der Übermittlung, allerdings gilt in der Regel, dass für die Sicherheit der Daten zu sorgen ist. Wenden Sie sich im Einzelfall an den Datenschutzbeauftragten zur Klärung dieser Frage.
Die Redaktion von Datenschutz.org
Hallo,
ich habe einer Polizeidienststelle über deren Öffentlichkeits-Mailadresse privat Hinweise zu einem techn. Produkt gegeben welche die Polizei verwendet /verwenden will.
Diese Mail hat die Polizei nun in Teilen (den Großteil) an den Hersteller weitergeben, aber ohne Namen und Mailadresse.
Aus der Mail ist aber recht leicht zu erkennen (für den Hersteller/Empfänger) wer diese Mail an die Polizei versendet hat.
(Angaben zum Beruf auf , Internetaktivität, Hobbyaktivität)
Hat die Polizei legal gehandelt?
Darf die Mail (oder Teile davon) überhaupt als Kopie weitergeben werden an Dritte ?
Es handelt sich nicht um irgendwelche strafrechtliche oder sonstige Sachverhalte.
Ich komme laut Dateschutzgesetzt etc nicht weiter.
Danke und Grüße
Michael
Hallo Michael,
sofern die Mail keine personenbezogenen Daten mehr enthält, also Namen und Mailadressen getilgt sind, unterliegt sie nicht mehr dem Datenschutz. Sollten Sie in diesem konkreten Fall Zweifel daran haben, dass der Personenbezug tatsächlich entfallen ist, können Sie sich an den zuständigen Datenschutzbeauftragten (etwa den Landesdatenschutzbeauftragten Ihres Bundeslandes) wenden.
Die Redaktion von Datenschutz.org
Guten Tag, ich bin selbstständig (Gewerbe) und berate weltweit tätige Modemessen. Hierfür versende ich z.B. an potentielle Aussteller der Messen Newsletter, auch per rapidmail (Newsletter-Programm), weil sie damit schöner aussehen. Dies an meine Kontakte in der Branche, die ich mir über die Jahre aufgebaut habe und mit denen ich sonst regelmäßig telefonisch oder per Mail kommuniziere. Das gleiche gilt auch für die Modefachpresse, mit denen ich seit Jahren in engem Kontakt stehe.
Die Adressen habe ich in Excellisten gespeichert, bzw. erfolge Mailings in Rapidmail, manche auch im „Sales-Programm“ Hubspot.
Es handelt sich um reine B2B-Kommunikation.
a) kann ich mit Rapidmail weiter arbeiten? Die Kontakte können sich hier bei jeder Mail, die ich schicke austragen, wenn sie dies wünschen
b) ich bin auf Kommunikation per Mail angewiesen. Wenn es neue Redakteure in der Fachpresse gibt, schreibe ich die natürlich an. Da kann man sich nicht vorher eine Einverständniserklärung geben lassen, ob ich die Personen kontaktieren darf.
Vielen Dank für Ihre Rückmeldung – PS: zu diesem Kommentar hier gebe ich meinen Namen und Mailadresse an. Müsste ich nicht schon hier eine Einverständniserklärung geben?????
Hallo Mirjam,
zu Ihren Fragen: a) Mit Inkrafttreten der DSGVO können Sie in der Regel weiterhin mit den bereits vorhandenen Daten den Newsletterversand betreiben, ohne eine erneute Einwilligung einzuholen.
b) Hierbei scheinen Sie sich nicht mehr auf die Newsletter zu beziehen, sondern auf die geschäftlichen E-Mail-Adressen von Redakteuren der Fachpresse, die Sie gezielt anschreiben. Unter der Vermutung, dass Sie diese Adressen besitzen, weil sie zum Zweck der Kontaktaufnahme öffentlich verfügbar sind, dürfte sich hieraus kein Problem ergeben.
Wenden Sie sich bei speziellen Fragen im Zweifel an einen Anwalt oder einen Datenschutzbeauftragten, da wir Einzelfälle hier nicht abschließend klären können.
zu Ihrem P.S.: Ganz vorschriftsgemäß können Sie bei uns in der Datenschutzerklärung nachlesen, wie es sich mit diesen Daten verhält: Die Erhebung der Kontaktdaten der kommentierenden Nutzer erfolgt aufgrund einer Rechtsvorschrift.
Die Redaktion von Datenschutz.org
Hallo,
Mein Arbeitgeber war Dienstleister für einen Kunden. Dieser Vertrag lief Ende März aus und es folgte beim Kunden ein neuer Dienstleister, bei dem wir uns bewerben sollten und haben. Der neue Dienstleister hat ohne unserer Zustimmung unsere Bewerbung an einen Vertragspartner weitergeleitet. Darf er dieses? Laut meinem Arbeitgeber ja. Wie sieht die rechtliche Lage aus? Mein Arbeitgeber hat jetzt mit meinem Einverständnis an den neuen Dienstleister meine Daten weitergeleitet, ohne dass der Vertragspartner des neuen Dienstleister mit angegeben war. Darf der neue Dienstleister diese dann auch an seinem Vertragspartner weiterleiten? Muss mein Arbeitgeber nicht auch den Namen des Vertragspartner des neuen Dienstleisters bei der Einverständniserklärung mit aufführen? Über eine baldige Antwort bedanke ich mich im Voraus
Hallo Chris,
grundsätzlich bedarf die Nutzung personenbezogener Daten der Einwilligung des Betroffenen oder einer gesetzlichen Norm. In Einzelfällen können bei Vorliegen von berechtigten Interessen Daten auch ohne Einwilligung genutzt werden. Wenden Sie sich am besten an den Datenschutzbeauftragten, um die rechtliche Grundlage zu erfragen. Im Übrigen haben Sie auch die Möglichkeit, sich an einen Anwalt zu wenden, um unzulässige Datenweitergaben zu unterbinden.
Die Redaktion von Datenschutz.org
Ein Kunde sendet mir eine Anfrage (Immobilie). Ich telefoniere vorab mit ihm, er gibt mir seine Wünsche bekannt. Ich sende ihm die passenden Objekte und bitte ihn mir vorab zu bestätigen, dass ich ihm auch in Zukunft neue passende Objekte übermittle. Er schickt mir die Zustimmungserklärung, seine Mail Adresse für zukünftige Angebote zu nutzen. Darf ich jetzt diese Zustimmungserklärung aufbewahren oder nicht?
Bitte schreiben Sie mir nicht ich soll meinen Datenschutzbeauftragten fragen. Ich kenne keine Firma die sich so einen Angestellten leisten kann.
Hallo Eva,
bitte beachten Sie, dass wir gesetzlich keine Rechtsberatung erteilen dürfen, auch nicht im Bereich des Datenschutzes.
Die Einwilligungserklärung ist ggf. als Nachweis über die Zustimmung aufzubewahren.
Die Redaktion von Datenschutz.org
Kein Unternehmen muss einen (qualifizierten) Angestellten als Datenschutzbeauftragten benennen.
Unternehmen, die sich keinen betrieblichen Datenschutzbeauftragten leisten können oder wollen, können sich an externe Datenschutzbeauftragte wenden. Ob betrieblich oder extern spielt keine Rolle, wenn ein Datenschutzbeauftragter vorhanden sein muss. Externe Dienstleister werden nach Vertrag bezahlt und nicht wie Angestellte. Ist von daher für viele Firmen eine kostengünstige Alternative.
Ich führe häufig Veranstaltungen durch, zu denen sich die Teilnehmer mit ihren Daten auf meiner Website anmelden. Die Teilnehmerliste ist aus unterschiedlichen Gründen wichtig für meine Mitarbeiter oder Auftraggeber, die die Veranstaltung vor Ort organisieren.
– Darf ich die Teilnehmerliste inkl. relevanter Daten im verschlossenen Briefumschlag an meine Mitarbeiter oder Auftraggeber versenden, oder muss dies nun grundsätzlich in verschlüsselter digitaler Form geschehen?
– Wie sind die gedruckten Teilnehmerlisten nach der Veranstaltung zu behandeln? Einsammeln und cross-cut shreddern?
– Müssen meine Mitarbeiter und Auftraggeber eine Geheimhaltungs-/Datenschutzvereinbarung unterschreiben, bevor ich ihnen die personenbezogenen Daten zukommen lassen darf?
allo,
1. Mit der Umsetzung der DSGVO ist es nicht plötzlich untersagt, sensible Informationen auf dem Postwege zu übermitteln (diese Sendungen unterliegen nicht ohne Grund dem Briefgeheimnis).
2. Mit Erledigung und Entfallen der Zweckbindung sind die Daten in der Regel umgehend unzugänglich aufzubewahren oder zu löschen. Bei Informationen auf Papier ist je nach Sensibilität der Daten das Schreddern erforderlich.
3. Der Auftraggeber ist verantwortlich, sich zu vergewissern, dass die Datenschutzbestimmungen auch auf Seiten des Beauftragten eingehalten werden. Aus diesem Grunde kann die Vertrag über die Auftragsdatenverarbeitung erforderlich oder zumindest sinnvoll erscheinen.
Um Diese Fragen für Ihren Fall zu klären, wenden Sie sich bitte an einen Datenschutzbeauftragten.
Die Redaktion von Datenschutz.org
Guten Tag, ich habe eine eher skurrile Anfrage:
Ich habe eine 55 Jahre alte Schülerzeitschrift digital aufgefrischt und möchte sie gern dem örtlichen Museum oder der damaligen Schule schenken. Nun wird darin jede Schülerin namentlich bedacht und etwas auf den Arm genommen – war halt die Abschlusszeitung.
Die Frage nach Datenschutz hat sich damals natürlich nicht gestellt – muss ich nach der langen Zeit noch darüber nachdenken? Fragen kann ich niemanden mehr.
Danke für Ihre Antwort
Hallo Maria,
wenden Sie sich bitte in einer solch speziellen Angelegenheit an einen Datenschutzbeauftragten oder das Museum selbst. Für uns ist dies an dieser Stelle nicht abschließend zu klären.
Die Redaktion von Datenschutz.org
Hallo,
könnt Ihr bitte erklären, wer genau unter dem „Dritten“ zu verstehen ist, an den Daten nicht weiter gegeben werden dürfen?
Ich möchte mit einem Unternehmen eine anonyme online- Kundenbefragung durchführen. Dazu soll ein Link zur Umfrage an die Mail-Adresse der Teilnehmern geschickt werden.
Die Mailadressen liegen dem Unternehmen vor, allerdings nicht zentral gebündelt, sondern jeder Referent hat seine eigene Liste. Ist das Unternehmen schon „Dritter“, wenn die die Referenten die ihnen vorliegenden Adressen beisteuern?
Danke für die Auskunft!
Hallo Christiane,
ein „Dritter“ ist jeder Außenstehende – also weder Betroffener noch aktueller Datenverarbeiter. Wird ein Unternehmen mit der Durchführung einer Umfrage sowie der Datenerhebung sowie -übermittlung beauftragt, handelt es sich in der Regel um Auftragsdatenverarbeitung, die ggf. eines eigenen Vertrages bedarf. Bitte wenden Sie sich bei Fragen an den Datenschutzbeauftragten des Unternehmens.
Die Redaktion von Datenschutz.org
Wenn ich den Schutz personenbezogener Daten auf unsere Firmenkalender anwende in Bezug auf das Löschen nicht mehr benötigter Daten heißt dass, das jeder Termineintrag der personenbezogenen Daten enthält (Name, Emailadresse oder Telefonnummer des Gesprächspartners) und
a. In der Vergangenheit liegt
und
b. Nicht mehr weiterbearbeitet werden muss (Folgetermin, Rückfragen, etc.)
künftig gelöscht werden muss?
Wenn ja, nach welcher Zeitspanne?
Hallo Olaf,
bitte wenden Sie sich für die Klärung dieses speziellen Falls an Ihren Datenschutzbeauftragten. An dieser Stelle können wir den Sachverhalt nicht abschließend klären.
Die Redaktion von Datenschutz.org
Hallo,
wenn ich nur den Namen eines Schülers an einen Lehrer weitergebe, der diesen Schüler unterrichten soll, handelt es sich dann um einen Mitarbeiter, der mit peronenbezogenen Daten arbeitet?
Vielen Dank für die Antwort
Hallo Gabriele,
bitte wenden Sie sich mit entsprechend speziellen Fragen an den Datenschutzbeauftragten Ihrer Schule.
Die Redaktion von Datenschutz.org
Hallo,
muss ich personenbezogene Daten löschen, wenn ein User eines Forums gesperrt wird oder erst, wenn sein Account gelöscht wird?
Darf der User eines Selbsthilfeforums auf Löschung seiner Beiträge bestehen, auch wenn sie dann den Sinn der folgenden Beiträge verfälschen?
Hallo Anja,
die Löschung oder Unzugänglichmachung der Daten ist regelmäßig dann erforderlich, wenn der Zweck der Erhebung entfällt. Da auch Beiträge eines Users zu den personenebezogenen Daten zählen, sind auch öffentlich zugänglich gemachte Informationen auf Antrag des Betroffenen in der Regel zu entfernen. Bei Unsicherheiten ist der Gang zu einem Datenschutzbeauftragten stets zu empfehlen.
Die Redaktion von Datenschutz.org
Hallo,
ich frage mich gerade folgendes: Ist eine alleinstehende E-Mail-Adresse bereits ein personenbezogenes Datum?
Klar ist: In einer E-Mail Adresse kann ein Name stecken, z.B. [redigiert]. Aber gerade bei Freemail-Diensten kann die E-Mail Adresse frei gewählt werden.
Es ist daher vollkommen unklar ob hinter [redigiert] wirklich die Person Max Mustermann steht. Dazu ist nicht eindeutig identifizierbar welcher Max Mustermann wirklich hinter dieser E-Mail Adresse steht.
Die Meinung der Redaktion hierzu würde mich sehr interessieren.
Viele Grüße
Timo
Hallo Timo,
in E-Mail-Adressen muss kein eindeutiger Bezug zum Klarnamen des Inhabers stehen, um als personenbeziehbare Daten zu gelten. Vielmehr fallen E-Mail-Adressen ebenso wie Anschriften einer natürlichen Person immer in den Bereich der personenbezogenen Daten.
Ihr Team von Datenschutz.org
Wenn ein Bankvorstand beim Integrationsamt einen Antrag auf Zustimmung zu einer Kündigung eines Mitarbeiters, schwerbehindert, stellt und dabei betragliche Angaben zu einer privaten Erwerbsminderungsrente macht (durch Umsatzabfrage) hat er dann gegen den Datenschutz verstoßen? Und welche Konsequenzen muss er befürchten?
Hallo,
die Einwilligung des Betroffenen in die Datenübermittlung ist nicht in jedem Fall erforderlich. Gesetzliche Grundlagen können dies auch ohne dessen Zustimmung gestatten. Wenden Sie sich für eine Klärung bitte an den Landesbeauftragten für Datenschutz oder den zuständigen Datenschutzbeauftragten des Unternehmens.
Die Redaktion von Datenschutz.org
Hallo,
wir möchten unseren Kunden/Lieferanten regelmäßig Geschenke zu besonderen Anlässen zukommen lassen. Dazu möchten wir die Adressdaten einem externen Konfektionierer übermitteln.
Brauchen wir dazu die Einverständniserklärung unserer Kunden/Lieferanten und müssen wir mit dem Konfektionierer eine Auftragsdatenverarbeitung schriftlich fixieren
Hallo,
die Übermittlung personenbezogener Daten an Dritte ist in der Regel nur zulässig, wenn die Betroffenen hierin eingewilligt haben, die Daten öffentlich zugänglich sind oder aber eine gesetzliche Bestimmung diesen Vorgang gestattet.
Die Redaktion von Datenschutz.org
d.h., wenn wir unseren Kunden/Lieferanten/zuarbeitenden Mitarbeitern Weihnachtskarten etc. weiterhin Grüße und Präsente übersenden wollen, müssen wir deren Einverständis einholen? Es geht hierbei rein um den Namen und die Anschrift …
Hallo Karin,
ein berechtigtes Interesse des Unternehmens kann die Verwendung von personenbezogenen Daten zu Werbezwecken auch ohne die gesonderte Einwilligung der Betroffenen gestatten. Bitte wenden Sie sich an einen Datenschutzbeauftragten, um klären zu lassen, inwieweit die datenschutzkonforme Weiterführung dieser Praxis möglich ist.
Die Redaktion von Datenschutz.org
Was mir noch nicht ganz klar ist: wenn jemand ein Kontaktformular ausfüllt und das Häkchen zur Einwilligung gesetzt hat, dann protokolliere ich das mit IP und Zeitstempel. Wie kange darf ich diese Daten aufbewahren? Was, wenn er nach 8 Monaten kommt und sagt: „Meine Einwilligung habe ich nie gegeben!“? Muss ich die klar personenbezogenen Daten aus dem Formular und die vielleicht personenbezogene (je nach Gericht) IP Adresse voneinander getrennt speichern? Muss ich, wenn ich ihm den angeforderten prospekt geschickt habe, unverzüglich seine Daten löschen? Kann ich sie – wenn ich meine Datenschutzerklärung dementpsrechend formuliere – auch für einen Newsletterversand behalten? Die Punkte „Aufheben zwecks Beweisbarkeit bei einem Rechtsstreit“ vs. „zweckgebundene Datenspeicherung“ bekomme ich nicht übereinander…
Hallo Ariane,
Die Erhebung der IP-Adressen kann durch die Einbindung eines zusätzlichen Codes ggf. unterbunden werden. Je weniger Daten bei Kontaktanfragen erhoben werden, desto besser. Die Zweckentfremdung von E-Mail-Adressen ist mit dem Datenschutz nicht vereinbar. Bitte wenden Sie sich darüber hinausgehend bitte an einen Datenschutzbeauftragten, wenn Sie die datenschutzkonforme Erhebung und Speicherung personenbezogener Daten zum Ziel haben.
Die Redaktion von Datenschutz.org
Das verstehe ich nicht. Aus rechtlichen Gründen muss man ja gerade die IP-Adresse speichern, um die Zustimmung nachweisen zu können. Wenn ich die unkenntlich mache oder gar nicht erhebe, könnte ich mir die Speicherung ja auch gleich sparen. Oder wie sonst soll ich die erfolgte Zustimmung denn dokumentieren?
Hallo Karlheinz,
dies ist eine rechtlich schwierige Frage, die wir hier nicht ohne Weiteres beantworten können. Einige Aufsichtsbehörden scheinen der Auffassung zu sein, dass zum Zwecke des Nachweises die Speicherung der IP-Adresse zulässig ist, auch wenn es sich hierbei um eine personenbezogene Information handelt.
Die Redaktion von Datenschutz.org
IP-Adresse gehört m. E. nicht zu Personenbezogenen Daten. Eine IP-Adresse bezieht sich immer auf einen Internetanschluss und nie auf eine Person (wie z. B. eine Steuer-ID ).
Nur mit einer richterlichen Zustimmung kann ich beim Provider erfahren, welcher Anschluss diese IP-Adresse zu einer bestimmter Zeit genutzt hat. Damit kann ich im besten Fall den Rechner bestimmen aber nie die Person, die ihn bedient hat.
Falsch. Bestenfalls kann ich die Person bestimmen, die den Rechner bedient hat (Google, etc. können das auch so schon, allein durch die Analyse Ihres Verhaltensprofils, die brauchen Ihre IP nicht):
1) gibt es Internetanschlussbesitzer, die keine Mitnutzer ihres Anschlusses haben
2) gibt u.U. der Besitzer des Anschlusses darüber Auskunft, wer den Rechner benutzt hat
3) hat der Rechner u.U. mitgeloggt, wer ihn genutzt hat (müssten allerdings unterschiedliche Nutzer angelegt sein)
4) hat sich der Nutzer u.U. in der Online-Session irgendwo eingeloggt, was Rückschlüsse darauf erlaubt, wer er ist
Womöglich ist es nicht einfach, nachzuweisen wer zu einem bestimmten Zeitpunkt einen Rechner benutzt hat, um einen Online-Dienst zu nutzen. Unmöglich („nie“) ist es aber keinesfalls.
Hallo,
mir ist aufgefallen, immer wenn ich ein Einschreiben erhalte, wenn mir dieses an die Tür zugestellt wird, eine Unterschrift auf einem Kärtchen bei der Post oder auf dem Scanner bei DHL ausreicht, jedoch wenn die Einschreiben aufgrund Abwesenheit dann in meiner Postfiliale landen, bei der Abholung mein Personalausweis vorgelegt werden muss und die Angestellten dann alles mögliche in ihren PC übertragen, so wandert deren Finger von Vor und Zuname als auch zur Seriennummer.
Zum einen missfällt mir, dass ich meinen Perso überhaupt aus der Hand geben muss, zum anderen frage ich mich, in wie weit die Erhebung von Daten aus meinem Perso überhaupt notwendig bzw. Rechtens ist.
Bei den „Einschreiben“ handelt es sich um Päckchen aus China mit geringen Warenwert oder Amazon, also kein Post Ident Verfahren oder FSK18.
Muss ich meinen Perso aus der Hand geben oder reicht das vorzeigen, so das meine Identität feststellbar ist?
Darf die Post Daten von meinem Perso erheben, wenn ja anhand welcher Gesetze oder Regelung?
Vielen Dank im Voraus und Grüße
Hallo Mirko,
der Personalausweis dient der Feststellung der Identität gegenüber Dritten und ist bei entsprechenden postalischen Verfahren erforderlich. Im Falle der Verweigerung der Vorlage, die in diesem Falle ja freiwillig erfolgen sollte, kann die Aushändigung der Sendung aufgrund von Zweifeln an der Identität abgelehnt werden. Die Zulässigkeit der Datenerhebung richtet sich dabei nach der Postdienste-Datenschutzverordnung (PDSV).
Zudem werden bei Antreffen an der angegebenen Adresse die nötigen identifizierenden Merkmale automatisch kenntlich (Wohnort an der angegebenen Wohnanschrift u. a.).
Die Redaktion von Datenschutz.org
Ist es zulässig, dass DHL ein Paket für mich bei mir unbekannten Personen (Nachbarn) deponiert, damit werden mein voller Name, genaue Adresse etc., aber auch gewisse Gewohnheiten von mir dich eigentlich an Dritte weitergegeben…
Danke für Eure Antwort
Hallo Monica,
in der Regel ist die Ersatzzustellung an einen Nachbarn an die Einwilligung des Betroffenen (ggf. über die AGB) gebunden. In der Regel kann der Absender einer Ersatzzustellung widersprechen, sodass die Empfänger bereits bei Bestellung entsprechende Wünsche äußern können.
Die Redaktion von Datenschutz.org
Frage: Mein Unternehmen treibt ausschließlich Handel mit gewerblichen Kunden, also anderen Firmen. In unserem Fakturierungsprogramm sind unsere Kundendaten wie folgt hinterlegt:
z.B.
[Adressdaten entfernt – Anm. d. Red.]
Handelt es sich bei diesem Datensatz um „personenbezogene Daten“ gemäß BDSG/DSGVO?
Dank im Voraus
Hallo Ralf,
grundsätzlich gehören auch geschäftliche sowie private Anschriften zu den personenbezogenen Daten einer natürlichen Person.
Die Redaktion von Datenschutz.org
Frage: Wenn eine Firmen-Emailadresse eines Mitarbeiter z.B.von „Erwin Fröhlich bei der xy Ag“ nun
auf efroehlich@xyAG lautet, ist diese Emailadresse dann ein personenbezogenes Datum ?
Danke für eine Antwort
Hallo Andreas,
E-Mail-Adressen fallen auch ohne erkenntlichen Voll- oder Firmennamen regelmäßig unter die personenbezogenen Daten.
Die Redaktion von Datenschutz.org
FRAGE – Pseudonymisierung
Wenn ein Dritter personenbezogene Daten hat, sie mir aber nur pseudonymisiert zur Verfügung stellt, gelten sie dann für mich noch als personenbezogen?
Beispiel: Der Dritte hat Name, Adresse, Geschlecht, Alter und Rasse. Name und Adresse werden durch ein Pseudonym (einen eindeutigen aber nichtssagenden Kode) ersetzt. Ich erhalte nur Kode, Geschlecht, Alter und Rasse, kann also nicht wissen, um wen es sich handelt.
Hallo Alexander,
auch bei Anonymisierung und Pseudonymisierung ist die Zulässigkeit der Datenübermittlung in der Regel an eine gesetzliche Pflicht, Erlaubnis oder die Einwilligung des Betroffenen gebunden. Informationen zur ethnischen Herkunft fallen zudem in die besonderen Kategorien personenbezogener bzw. personenbeziehbarer Daten und dürfen nicht ohne Weiteres erhoben werden.
Die Redaktion von Datenschutz.org
Hallo,
sind personen bezogene Daten auch zum Beispiel Kaufverträge und private Chatverläufe die ungefragt an Dritte weitergegeben werden.
mit freundlichen Grüßen
Angela H.
Hallo Angela,
auch private Chat- und E-Mail-Verläufe sowie Informationen über Besitzverhältnisse dprfen in der Regel nur mit Einwilligung des Betroffenen an Dritte weitergegeben werden, sofern keine gesetzliche Grundlage dies gebietet oder gestattet.
Die Redaktion von Datenschutz.org
Ab wann ist ein KFZ-Kennzeichen als personenbezogene Daten zu werten?
Bspl. Es wird ein Kfz-Kennzeichen gefilmt oder fotografiert. Auf dem Film/Foto ist aber kein Fahrer, oder eine andere Person zu erkennen, welche das Fzg führt.
Ist dann das KFZ-Kennzeichen schon als Daten mit Personenbezug zu werten?
Hallo Robert,
Kfz-Kennzeichen fallen stets unter die personenbezogenen bzw. personenbeziehbaren Daten, da hierdurch ein Rückschluss auf den Halter möglich wäre. Ohne Einwilligung des Betroffenen bzw. ohne gesetzlich festgeschriebene Befugnis ist die Verbreitung von Abbildungen mit erkennbaren Kfz-Kennzeichen deshalb regelmäßig nicht zulässig.
Die Redaktion von Datenschutz.org
ein Kunde veranstaltet regelmässig Kongresse/Tagungen, die von Mitgliedern (deren Personendaten bekannt sind) aber auch von Nichtmitgliedern (deren Personendaten im Prinzip immer wieder neu von diesen selbst eingeben werden.
Zwei Fragen hierzu: Alle Daten und Unterlagen werden vom Teilnehmer der Kongresse eingegeben bzw. hochgeladen – inkl. aller Kontodaten und hochgeladenem (Scan, unterschrieben) SEPA-Mandat . Der Interessent erhält eine Bestätigung seiner Daten und MUSS zwingend per Quittungsmail seine Anmeldung bestätigen.
Muss hier NOCHMAL eine Erklärung unterschrieben werden, dass man mit der Verarbeitung der Daten nur zum Zwecke…….einverstanden ist ?
Zweite frage: es müssen alle Kontoverbindungsdaten der Einmalkunden (muss nicht) gelöscht werden – wie geht man damit bei täglichen Datensicherungen um ? Die Restores sind nur vom Verarbeiter relativ aufwendig (doppelt kompressiert) aus der Gesamtsicherung wieder herauszuziehen und zu dekomprimieren. Ein Restore kostet ca 2 bis 3 Std Aufwand, bei 250 Voll-Sicherungen pro aktuellem Jahr, 12 Sicherungen im letzten Jahr und 1 Sicherung je Jahr für die 8 Jahre vorher (10 Jahresfrist).
Dies ist nicht mehr verhältnismässig.
Die neue Planung ist, dass die Kontodaten nur noch für die aktuelle Bearbeitungszeit (etwa 2 Monate) in der Vollsicherung sind, danach aber verschlüsselt/gelöscht werden.
Hallo Uho,
in der Regel ist die Verarbeitung von Daten zur Erfüllung eines Vertragsverhältnisses auch ohne die nochmalige Einwilligung des Betroffenen zulässig. Die Löschung oder Unzugänglichmachung der nicht mehr benötigten Daten ist regelmäßig vorgesehen. Bitte wenden Sie sich an den Datenschutzbeauftragten Ihres Unternehmens, um sich diesbezüglich entsprechend beraten zu lassen.
Die Redaktion von Datenschutz.org
Mit der Zusendung einer geschäftlichen E-Mail bekomme ich bereits die personenbezogenen Daten des Absenders (hier: E-Mail-Adresse) übermittelt. In meinem E-Mail-Programm werden diese Daten gespeichert. Im Rahmen der gesetzlichen Verpflichtungen muss ich diese geschäftlichen E-Mails aufbewahren. Wo bleibt hier die Zustimmung des Absenders? Kann ich mit der Zusendung der E-Mail selbst bereits von einer Einwilligung ausgehen?
Hallo Michael,
in der Regel beinhaltet die Herausgabe von Daten die Einwilligung in die Nutzung der Mail-Adresse zu Kommunikationszwecken. Darüber hinausgehende Nutzung bedarf jedoch zumeist einer zusätzlichen Zustimmung. Bitte wenden Sie sich zur Absicherung an den Datenschutzbeauftragten Ihres Unternehmens.
Die Redaktion von Datenschutz.org
In Bezug auf diese oder viele andere Kontaktaufnahmen heißt das: mit der Festlegung sogenannter Pflichtfelder entscheidet die Einrichtung, das Unternehmen oder die politische Partei darüber, ob dieser
Kontakt hergestellt wird. Theoretisch wäre es danach möglich, eine Kontonummer , einen Kontostand oder ob ich im Knast war als Pflichtfeld einzurichten. Die Möglichkeit der Kontaktaufnahme wäre dann von der Zustimmung abhängig?
Hallo Ulrich,
in der Regel ist die Erhebung personenbezogener Daten auch daran gebunden, dass diese für die Zweckerfüllung auch tatsächlich erforderlich und dienstbar sind.
Die Redaktion von Datenschutz.org
FRAGE: Datenschutz und Herausgabe
Wenn ein Kunde per mail seine persönlichen Daten z.B. zu einem Ereignis per mail anfordert, wie gebe ich diese heraus?
a) Per sicherer mail (Kennwort zur Abholung) nachdem sich der Kunde ausgewiesen/legitimiert hat durch Fax/mail Personalausweis/Heiratsurkunde oder
b) Immer per Einschreiben Rückschein, da dann nur der Kunde per Ausweis das Schreiben mit seinen Daten persönlich abholen kann.
Hallo Sabine,
wichtig ist in der Regel, dass die eindeutige Zuordnung der Personendaten erfolgen kann. Dies kann grundsätzlich auf unterschiedlichen (sicheren) Wegen erfolgen. In einem Unternehmen sollten hierbei für alle Mitarbeiter verbindliche Abläufe und Vorgaben erstellt werden, um die Auskunftserteilung entsprechend zu vereinheitlichen. Bitte wenden Sie sich an den Datenschutzbeauftragten Ihres Unternehmens oder den Datenschutzbeauftragten des Landes.
Die Redaktion von Datenschutz.org
Hallo Sabine,
ich bin im B2B-Geschäft tätig und leite meine Aufträge in der Regel per Mail an meinen Distributoren weiter. Auf den Aufträgen steht der Name des Ansprechpartners vom Kunden und die geschäftliche Mailadresse sowie geschäftliche Festnetz- evtl. auch gesch. Handynummer.
Handelt es sich bei diesen Angaben bereits um personenbezogene Daten, welche ich dann mit dem Auftrag verschlüsselt versenden muss. Wie gehe ich in meinem Archiv mit diesen Aufträgen um?
Freue mich über kurze Rückmeldung und wünsche ein erholsames Wochenende.
Sonnige Grüße aus urbach
Hallo Bernhard,
wir sind zwar nicht Sabine, doch bei Namen, E-Mail-Adressen und Telefonnummern handelt es sich in der Regel immer um personenbezogene Daten. Bei Daten, die für die Erfüllung von Aufträgen erforderlich sind, ist deren Nutzung jedoch in der Regel zulässig. Hierbei gelten die gleichen Sorgfaltspflichten wie bisher.
Die Redaktion von Datenschutz.org