Florian Padberg
Datenschutzbeauftragter
Unter personenbezogenen Daten versteht man Informationen, die direkt oder indirekt Rückschlüsse auf die Identität und Lebensumstände einer natürlichen Person erlauben können. Dabei wird zwischen (eindeutiger) Identifizierung und (möglicher) Identifizierbarkeit unterschieden.
Identifizierung bedeutet, dass eine natürliche Person durch die verarbeiteten personenbezogenen Daten direkt diesen Informationen zuzuordnen ist und dadurch als identifiziert gilt. Identifizierbar bedeutet, dass eine natürliche Person nicht direkt, sondern unter Ergänzung weiterer Informationen identifizierbar wird, dass aber die verarbeiteten Daten dem Verarbeiter zusätzliche Erkenntnisse über diese Person bieten.
Eine abschließende Liste von Arten personenbezogener Daten kann man faktisch eigentlich nicht aufstellen, denn auf Grund der zuvor beschriebenen Definition kann fast jede Information letztlich einen Personenbezug ermöglichen oder haben. Daher ist es wichtig, sich mit den jeweils konkret verarbeiteten Datenarten eines Verantwortlichen auseinanderzusetzen und für den individuellen Fall zu bestimmen, welche Daten unter den Datenschutz zu stellen sind und welche nicht.
Wichtig für die weitere Bewertung ist überdies, dass es sich bei verarbeiteten Daten nur dann um personenbezogene Daten handelt, wenn diese sich auf eine natürliche Person beziehen.
Es wird hier klar unterschieden zu Daten juristischer Personen, der Schutz dieser Daten wird nicht über die DSGVO abgedeckt.
Doch Achtung: Ergänzende nationale Regelungen können das Feld der Schutzobjekte ausweiten und so auch Daten juristischer Personen unter das Dach des Datenschutzes holen (so beispielsweise im österreichischen Datenschutzrecht).
Beziehen sich Daten einer juristischen Person jedoch eindeutig auf die hinter der juristischen Person stehende natürliche Person (Beispiel Ein-Mann-Unternehmen), so handelt es sich bei diesen Informationen wiederum um personenbezogene Daten und sie werden dadurch wieder durch die DSGVO geschützt.
Um personenbezogene Daten überhaupt verarbeiten zu können, müssen private Unternehmen wie auch öffentliche Stellen neben den Grundsätzen zum Datenschutz und einer geeigneten Rechtsgrundlage u.a. auch einige technische und organisatorische Auflagen erfüllen. Danach sind Verantwortliche oder deren Auftragsverarbeiter (unter anderem) verpflichtet:
Bei der Umsetzung dieser Vorgaben sind der Stand der Technik, die Kosten einer Implementierung sowie Art, Umstände, Zweck und Umfang der Verarbeitung zu beachten. Zudem sind die Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten Betroffener einzukalkulieren – Letzteres operationalisiert der Verantwortliche über eine objektiv durchgeführte Schutzbedarfsfeststellung sowie ein fundiertes Risk Management.
Neben den allgemein personenbezogenen Daten, die in Art. 4 DSGVO erklärt werden, ergänzt Art. 9 DSGVO personenbezogene Daten um bestimmte, besondere Kategorien. Dabei handelt es sich um besonders sensible persönliche Informationen, die es außerordentlich zu schützen gilt.
Einige Beispiele für diese Form von Daten sind Informationen, aus denen die politische Meinung, eine ethnische Herkunft, genetische oder biometrische Merkmale etc. der betroffenen Person hervorgehen.
Für die Verarbeitung dieser Daten gelten strikte Regelungen, da ein Missbrauch umfangreiche Schäden für den Betroffenen verursachen kann. Sie dürfen daher grundsätzlich nicht erhoben werden, außer unter den in Art. 9 DSGVO aufgeführten Voraussetzungen.
Eine Verarbeitung personenbezogener Daten besonderer Kategorien wäre demnach z. B. unter anderem möglich, wenn die betroffene Person einer Erhebung und Verarbeitung für (im Vorfeld) klar festgelegte Zwecke explizit zustimmt.
Des Weiteren ist eine Verarbeitung dieser Daten auch dann zulässig, wenn sie zum Schutz lebenswichtiger Interessen natürlicher Personen, betroffen oder nicht, dient und die betroffene Person, entweder aus körperlichem oder rechtlichem Grund, nicht in der Lage ist, ihre Einwilligung zur Verarbeitung zu geben.
Grundsätzlich muss ein Verzeichnis vom Verantwortlichen geführt werden. Dieses Verzeichnis soll alle Verarbeitungstätigkeiten beinhalten, für die der Verantwortliche zuständig ist.
Schließlich ist zu beachten, dass zusätzlich die Benennung eines Datenschutzbeauftragten nötig ist, wenn die Verarbeitung der besonderen personenbezogenen Daten die Hauptaufgabe des Verantwortlichen ist – unabhängig von den sonst üblichen Bestellkriterien für den Datenschutzbeauftragten, wie etwa die Anzahl der mit der Verarbeitung dauerhaft beschäftigten Mitarbeiter.
Bei der Verarbeitung personenbezogener Daten haben betroffene Personen grundsätzlich Rechte. Diese sogenannten Betroffenenrechte sind in den Art. 12ff DSGVO geregelt und beinhalten insbesondere das Recht auf Transparenz
Diesem Thema haben wir Aufgrund der Bedeutung und Komplexität übrigens eine eigene Kategorie gewidmet (Betroffenenrechte).
Bei Verstößen im Rahmen der Verarbeitung personenbezogener Daten drohen allgemein Bußgelder, abhängig davon, welche Art und Umfang der Verstoß innehat. Auch Schadensersatzforderungen sind möglich.
In Art. 83 DSGVO sind die Höhe der möglichen Bußgelder sowie die Kriterien, nach denen sich die Verhängung dieser Strafzahlungen richten, grundsätzlich geregelt. So hat die zuständige Aufsichtsbehörde die Pflicht, sicherzustellen, dass die Verhängung von Geldbußen wirksam, verhältnismäßig und abschreckend ist.
Das Bußgeld kann ergänzend zu weiteren Maßnahmen nach Art. 58 DSGVO (Befugnisse der Aufsichtsbehörde, insb. zu Abhilfeanordnungen und Genehmigungen) oder stattdessen verhängt werden.
Bei Verstößen drohen im Normalfall Bußgelder von bis zu 10 Mio. EUR bzw. 2 Prozent des globalen Jahresumsatzes des Unternehmens aus dem Vorjahr. Hier richtet sich das Bußgeld nach dem jeweils höheren Betrag. Wenn die Verstöße als besonders schwer eingestuft werden oder sie wiederholt stattgefunden haben, kann das Bußgeld bis zu 20 Mio. EUR bzw. 4 Prozent des globalen Jahresumsatzes aus dem Vorjahr betragen.
Bei der Entscheidung ob und, wenn ja, wie hoch ein Bußgeld verhängt werden soll, wird – unter anderem – die Art, Schwere und die Dauer des Verstoßes miteinbezogen und der Umfang, Zweck und die Art der zum Verstoß geführten Verarbeitung mitberücksichtigt. Diese Faktoren werden um die Anzahl der vom Verstoß betroffenen Personen und deren tatsächliches Schadensausmaß ergänzt.
Zusätzlich soll sich das Bußgeld an der Vorsätzlichkeit bzw. der Fahrlässigkeit der Beteiligten im Zusammenhang mit dem Verstoß orientieren, und auch welche Maßnahmen zur Prävention (Stichwort TOMs) und nachgelagerten Schadensminderung vom Unternehmen getroffen wurden. Ebenso spielt es eine durchaus wichtige Rolle, wie kooperativ sich die verursachende Stelle bei der Aufklärung und objektiven Bewertung des Verstoßes gezeigt hat.
Grundsätzlich steht der Verantwortliche im Fokus einer Bußgeldverhängung, zunächst unabhängig davon, ob der Verstoß auch in seinem direkten Umfeld aufgetreten ist. Eine mögliche Abwälzung von Bußgeldern muss im Innenverhältnis z.B. zwischen Auftraggeber und Auftragnehmer geregelt werden.
Im Bereich des Schadensersatzes nach einem Verstoß haften zunächst alle beteiligten Verantwortlichen und Auftragsverarbeiter gesamtschuldnerisch.
Es ist aber natürlich für das letztliche wirtschaftliche Ergebnis von Bedeutung, wer nachweislich den Verstoß verursacht hat. Art. 82 DSGVO sieht explizit Haftungseinschränkungen bzgl. Schadensersatzforderungen für Auftragsverarbeiter und Verantwortliche vor, wenn diese jeweils nachweisen können, dass sie einen entstandenen Schaden nicht zu vertreten haben.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!