Personenbezogene Daten in Unternehmen
Mit der Datenschutzgrundverordnung rückt auch für Unternehmen der Datenschutz in ein neues Licht. Der Schutz personenbezogener Daten ist zwar schon lange eine Pflicht für Unternehmer, er steht jedoch nun in einem ganz anderen Fokus.
„Ist das DSGVO-konform, können wir das überhaupt machen?“
Eine Frage, die immer häufiger erst in Unternehmen angesprochen wird und später auch an Datenschutzbeauftragte – ob intern oder extern – adressiert wird. Dabei schwebt der ominöse Datenschutz wie eine große Unbekannte über den Ideen und Prozessen eines jeden Unternehmers. Der Elefant im Raum, man müsste ihn eigentlich beachten, man will es aber nicht unbedingt und man weiß auch gar nicht wie oder wie genau?
„Was sind denn eigentlich personenbezogene Daten?“
Dabei hilft zunächst einmal der berühmte erste Blick ins Gesetz. Dort findet sich in Art. 4 Nr. 1 DSGVO:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“
Personenbezogene Daten sind also solche, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
Das sind der Name oder auch die Telefonnummer. Die E-Mailadresse oder auch ein Kfz-Kennzeichen. Ob auch manches Datum nicht sonderlich sensibel erscheinen mag, aus Sicht der Datenschutzgrundverordnung ist es beachtlich, wenn es Personenbezug hat. Es gibt grundsätzlich keine freien, ungeschützten Daten. Selbst eine Negativaussage ist ein schutzwürdiges personenbezogenes Datum (z.B. „Person XY ist nicht im Handelsregister eingetragen“).
Die Person, auf die sich die jeweiligen Daten beziehen, wird im Regelungstext als „betroffene Person“ bezeichnet.
„Das ist ja alles schön und gut, aber was genau heißt das jetzt für mein Unternehmen?“
Theoretisch gesprochen heißt das, die datenschutzrechtlichen Interessen der betroffenen Personen sind zu wahren. In der Praxis lässt sich da kein allgemeingültiges Bild zeichnen, denn das „Verarbeiten personenbezogener Daten“ unterscheidet sich von Unternehmen zu Unternehmen.
Stellen Sie sich vor, Sie gehen morgens vor der Arbeit in eine Bäckerei, um sich noch einen Kaffee auf den Weg mitzunehmen. Sie zahlen mit EC-Karte, der Zahlungsbeleg ist eindeutig Ihnen zuzuordnen, ist also gesichert und nur für eine bestimmte Zeit aufzubewahren.
Während Sie nun am Bahngleis auf Ihren Zug warten, um ins Büro zu gelangen, fällt Ihnen eine Überwachungskamera auf, die den Bahnsteig filmt. Diese Aufnahme von Ihnen ist zweifelsohne ein personenbezogenes Datum und sollte auch nicht frei zugänglich abrufbar sein und nur so lange gespeichert wie nötig.
Angekommen im Büro liegen Unterlagen verschiedener Bewerber für Sie bereit. Nachdem Sie sich für einen Bewerber entschieden haben, reichen Sie dessen Akte weiter an die Personalabteilung, die restlichen wandern nicht rücksichtslos in den Papierkorb, sondern vorbildlich in den Aktenvernichter.
Die Mittagspause steht an, Sie haben sich mit einem Freund zum Essen verabredet und wollen den aus seinem Büro abholen. Am Eingang müssen Sie sich in ein Besucherverzeichnis eintragen. Das ist jedoch kein Buch, das alle anderen Besucher erkennen lässt, sondern nur ein kleines Kärtchen, das von der Person am Empfang fein säuberlich abgeheftet wird.
Zurück im Büro entdecken Sie im Drucker noch Ausdrucke anderer Abteilungen. Diese sind wohl versehentlich vergessen worden. Anstatt nun neugierig die fremden Informationen durchzulesen, vernichten Sie die Ausdrucke im Aktenvernichter, der sich neben dem Drucker befindet. Fehler können passieren, doch sie können auch oftmals ohne großen Aufwand bereinigt werden.
„Und was kann ich jetzt persönlich genau tun?“
An sich geht es darum, sich klar zu werden, was man selbst in seinem Unternehmen macht. Wo fallen Daten an, die sich bestimmten Personen zuordnen lassen. Und im nächsten Schritt: Was passiert damit? Wer könnte darauf zugreifen und wer sollte eigentlich nur darauf zugreifen können? Wie schwierig ist es eigentlich bspw. auf Personalakten zuzugreifen?
Manchmal fällt es leichter, manchmal schwerer diese Fragen zu beantworten. Doch dieser erste Überblick ist ein wichtiger Schritt, um in die Thematik und gleichzeitig in die Problemlösung einzusteigen.
Fazit
Pauschal lässt sich nicht feststellen, was genau die personenbezogenen Daten eines Unternehmens sind. Diese können sich auf verschiedene Weise ergeben. Manchmal sind es mehr kundenbezogene Daten, manchmal mitarbeiterbezogen. Sie fallen jedoch definitiv an und sich dieses Problems anzunehmen ist Aufgabe aller Unternehmen und ihrer Unternehmer. Und oftmals ist die praktische Anwendung von Datenschutz kein trockenes Abarbeiten vorgegebener Schemata, sondern vielmehr ein bisschen Erfahrung gepaart mit einfachem Menschenverstand.
(Im Umgang und der schlussendlichen Lösung der Probleme sind wir von der IITR Datenschutz GmbH gerne für Sie da und unterstützen Sie. Scheuen Sie sich nicht, auf uns zuzukommen.)