Personenbezogene Daten

Definition

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 der Datenschutz-Grundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen identifiziert werden kann.

Die DSGVO unterscheidet zwischen allgemeinen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Zu den besonderen Kategorien gehören Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung. Für diese Daten gelten verschärfte Verarbeitungsbedingungen.

Einfach erklärt

Stellen Sie sich vor, Sie haben eine Visitenkarte. Darauf stehen Ihr Name, Ihre Firma, Ihre Telefonnummer und Ihre E-Mail-Adresse. All das sind personenbezogene Daten, weil man Sie damit direkt identifizieren kann.

Aber personenbezogene Daten gehen weit über die Visitenkarte hinaus. Ihre IP-Adresse, mit der Sie im Internet surfen, ist ebenfalls personenbezogen, weil Ihr Internetanbieter sie Ihnen zuordnen kann. Ihre Steuernummer, Ihr Autokennzeichen, Ihre Krankenakte und sogar Ihr Bewegungsprofil vom Smartphone sind personenbezogene Daten. Im Grunde ist fast jede Information, die irgendwie mit Ihnen in Verbindung gebracht werden kann, ein personenbezogenes Datum.

Warum ist das wichtig?

Personenbezogene Daten sind der Dreh- und Angelpunkt des gesamten Datenschutzrechts. Die DSGVO existiert, um genau diese Daten zu schützen:

• Allgegenwärtigkeit: Unternehmen verarbeiten ständig personenbezogene Daten, oft ohne es bewusst wahrzunehmen. Jede Kundenliste, jede E-Mail, jedes Dokument mit Namen oder Adressen enthält personenbezogene Daten.
• Rechtliche Grundlage erforderlich: Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage nach Art. 6 DSGVO (z. B. Einwilligung, Vertrag, berechtigtes Interesse). Ohne Rechtsgrundlage ist die Verarbeitung rechtswidrig.
• Betroffenenrechte: Personen haben weitreichende Rechte bezüglich ihrer Daten: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch.
• Dokumententransfer: Beim Austausch von Dokumenten werden fast immer personenbezogene Daten übermittelt. Steuerunterlagen, Verträge, Bewerbungen, Arztberichte und viele weitere Dokumente enthalten personenbezogene Informationen.
• Bußgeldrisiko: Der unsachgemäße Umgang mit personenbezogenen Daten kann zu empfindlichen Bußgeldern führen. Die DSGVO sieht Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor.

Praxisbeispiel

Eine Wirtschaftsprüfungsgesellschaft erhält von ihren Mandanten regelmäßig Dokumente per E-Mail: Jahresabschlüsse, Lohnabrechnungen, Gesellschafterverträge und Bankbelege. Jedes dieser Dokumente enthält personenbezogene Daten: Namen von Mitarbeitern und Geschäftspartnern, Gehaltsinformationen, Kontonummern und Steueridentifikationsnummern.

Ein Mitarbeiter der Gesellschaft leitet versehentlich eine E-Mail mit Lohnabrechnungen an den falschen Empfänger weiter. Damit ist eine Datenpanne eingetreten: Personenbezogene Daten von Dritten wurden unbefugt offengelegt. Die Gesellschaft muss die Datenpanne innerhalb von 72 Stunden der Aufsichtsbehörde melden und die betroffenen Personen informieren.

Mit einer sicheren Upload-Plattform wäre dieses Risiko minimiert: Mandanten laden ihre Dokumente über geschützte Upload-Links hoch, und der Zugriff auf die Dateien ist auf autorisierte Mitarbeiter beschränkt. Ein versehentliches Weiterleiten ist ausgeschlossen.

So setzt SendMeSafe das um

SendMeSafe wurde mit dem Ziel entwickelt, den sicheren Umgang mit Dokumenten, die personenbezogene Daten enthalten, so einfach wie möglich zu machen:

• Datensparsamkeit: Upload-Links können erstellt werden, ohne dass personenbezogene Daten des Hochladenden erfasst werden. Nur die für den Dienst notwendigen Daten werden erhoben.
• Verschlüsselung: Alle hochgeladenen Dateien, die personenbezogene Daten enthalten können, werden mit AES-256 verschlüsselt gespeichert und über TLS 1.3 übertragen.
• Zugriffskontrollen: Rollenbasierte Berechtigungen stellen sicher, dass nur autorisierte Personen auf Dokumente zugreifen können. Upload-Links und Share-Links können zusätzlich mit Passwörtern geschützt werden.
• Löschkonzept: Dateien können mit automatischen Ablaufdaten versehen werden. Organisationen können personenbezogene Daten gezielt und vollständig löschen, wenn der Verarbeitungszweck entfällt.
• Audit-Trail: Jeder Zugriff auf Dokumente mit personenbezogenen Daten wird lückenlos protokolliert, sodass jederzeit nachvollziehbar ist, wer wann auf welche Daten zugegriffen hat.
• Hosting in Deutschland: Alle Daten verbleiben auf Servern in Deutschland, was sicherstellt, dass die strengen deutschen und europäischen Datenschutzstandards eingehalten werden.

Häufig gestellte Fragen

Sind Firmennamen auch personenbezogene Daten?

Nein, Firmennamen juristischer Personen (z. B. einer GmbH oder AG) sind grundsätzlich keine personenbezogenen Daten im Sinne der DSGVO, da die DSGVO nur natürliche Personen schützt. Anders verhält es sich bei Einzelunternehmen oder Freiberuflern: Hier ist der Firmenname oft identisch mit dem Namen der natürlichen Person und damit personenbezogen.

Was sind besondere Kategorien personenbezogener Daten?

Besondere Kategorien umfassen besonders sensible Daten: Gesundheitsdaten, biometrische Daten, genetische Daten, Daten zur ethnischen Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit und Daten zum Sexualleben. Ihre Verarbeitung ist nach Art. 9 DSGVO grundsätzlich verboten, es sei denn, es liegt eine der in Art. 9 Abs. 2 genannten Ausnahmen vor (z. B. ausdrückliche Einwilligung).

Sind anonymisierte Daten noch personenbezogene Daten?

Nein, vollständig anonymisierte Daten sind keine personenbezogenen Daten mehr und fallen nicht unter die DSGVO. Allerdings muss die Anonymisierung irreversibel sein. Pseudonymisierte Daten hingegen gelten weiterhin als personenbezogene Daten, da sie unter Hinzuziehung zusätzlicher Informationen wieder einer Person zugeordnet werden können.

Wie lange darf ich personenbezogene Daten speichern?

Die DSGVO schreibt den Grundsatz der Speicherbegrenzung vor: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Danach müssen sie gelöscht oder anonymisiert werden. Gesetzliche Aufbewahrungsfristen (z. B. 6 oder 10 Jahre im Steuerrecht) gehen vor, aber nach deren Ablauf muss die Löschung erfolgen.