Die DS-GVO regelt die Verarbeitung von personenbezogenen Daten. Die Vorschriften der DS-GVO sind daher immer dann zu beachten, wenn im Unternehmen personenbezogene Daten verarbeitet werden. Das personenbezogene Datum gehört damit zu den wichtigsten Begriffen der DS-GVO, denn es legt sozusagen das Spielfeld für den Datenschutz fest. Wenn man sich mit dem Datenschutz beschäftigt, muss man also als Erstes klären, welche Daten im Unternehmen personenbezogen sind und welche nicht.

Gesetzliche Definition der personenbezogenen Daten

Die DS-GVO enthält in Art. 4 eine ganze Reihe von Definitionen für die wichtigsten datenschutzrechtlichen Begriffe. Hierzu gehört auch der Begriff personenbezogenes Datum, der als Dreh- und Angelpunkt der DS-GVO gleich in Nr. 1 des Artikels wie folgt definiert wird: Der Begriff personenbezogene Daten bezeichnet im Sinne dieser Verordnung „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden: ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Varianten personenbezogener Daten

Es gibt damit zwei Möglichkeiten, die eine Information zu einem personenbezogenen Datum macht und damit die Tür der DS-GVO öffnet:
1) Die Information bezieht sich auf eine identifizierte natürliche Person.
2) Die Information bezieht sich auf eine identifizierbare natürliche Person.

Personenbezogene Daten beziehen sich damit immer auf natürliche Personen. Folglich fallen Informationen, die sich nur auf eine Gesellschaft oder eine juristische Person beziehen, nicht darunter. Sämtliche Firmendaten sind deshalb nicht Gegenstand der DS-GVO. Außerdem muss die natürliche Person mit dem Datum identifiziert sein oder identifizierbar sein. Damit fallen auch vollständig anonymisierte Daten nicht unter den Datenschutz, pseudonymisierte Daten hingegen schon, denn bei diesen Daten gibt es immer einen Schlüssel, der eine Identifizierung der hinter dem Pseudonym stehenden Person möglich macht.

Typische Beispiele für personenbezogene Daten, die dem Datenschutz unterliegen

Es gibt eine ganze Reihe von Informationen, die die Bedingungen für ein personenbezogenes Datum erfüllen. Hierzu gehören weit mehr Daten als die Klassiker Name und Geburtsdatum:

  • Name, Anschrift, Telefonnummer, E-Mail-Adresse einer Person
  • Geburtsdatum und Geburtsort einer Person
  • Jobbezeichnung, Personalnummer, Qualifikation, berufliche E-Mail-Adresse, Arbeitsort, Arbeitszeit eines Mitarbeiters
  • Vermögensverhältnisse, Kontonummer und Zahlungsverhalten einer Person
  • Fotoaufnahmen einer Person
  • Körpergröße, Gewicht, Krankheiten, Fehltage und Kinderwunsch einer Person

Typische Beispiele für Daten, die nicht personenbezogen sind und damit nicht dem Datenschutz unterliegen

Es gibt aber auch genauso viele Informationen, die sich überhaupt nicht auf eine natürliche Person beziehen und die Tür zum Anwendungsbereich der DS-GVO nicht öffnen:

  • Firma, Firmenanschrift und Firmenhomepage
  • Betriebswirtschaftliche Kennzahlen
  • Vertragskonditionen für Geschäftspartner und Kunden
  • Jahresabschluss
  • Produktfotos, Logos und Designentwürfe
  • Patentschriften und Zeichnungen

Alle diese Informationen sind für Unternehmen zwar mindestens genauso wichtig wie personenbezogene Daten, sie unterliegen aber nicht dem Datenschutz. Deshalb gibt es zu ihrem Schutz häufig komplexe Vereinbarungen, strenge Vorgaben und gesonderte Geheimhaltungspflichten für Mitarbeiter (Pflicht zur Wahrung der Betriebs- und Geschäftsgeheimnisse).

Ein Fall für die DS-GVO?

Im ganz normalen Unternehmensalltag gibt es dieser Definition zufolge eine ganze Reihe von Aktivitäten und Prozessen, bei denen mit personenbezogenen Daten gearbeitet wird. Folgende zwei Beispiele zeigen Ihnen, wann die DS-GVO ins Spiel kommt und wann nicht. Wichtig zu wissen ist dabei, dass damit nicht zugleich ein Verbot der jeweiligen Tätigkeit verbunden ist, denn das wäre vollkommen unsinnig. Die DS-GVO macht aber Vorgaben zur Handhabung der personenbezogenen Daten und stellt häufig Bedingungen für die Verarbeitung auf.

Fall 1: Die Terminvereinbarung von Hans Müller

Hans Müller ruft die Werkstatt Auto Bauer & Söhne an, um einen Termin für den fälligen TÜV an seinem Fahrzeug zu vereinbaren. Mitarbeiter Max Musterschüler prüft den Kalender und trägt Herrn Müller mit seinem Autokennzeichen für den folgenden Mittwoch ein.

Auch wenn es sich hierbei nur um ein Telefonat handelt, werden im Rahmen der Terminvereinbarung personenbezogene Daten erhoben und gespeichert, nämlich der Name und das Kfz-Kennzeichen. Die Vorschriften der DS-GVO sind daher anwendbar. Selbstverständlich darf Max Musterschüler die Daten in den Kalender eintragen. Die notwendige Rechtsgrundlage für die Verarbeitung ist hier der Vertrag bzw. die vorvertragliche Maßnahme. Max Musterschüler muss Herrn Müller aber über die Speicherung seiner Daten sowie seine Datenschutzrechte informieren und der Kalender muss mit technischen und organisatorischen Maßnahmen vor unberechtigtem Zugriff und Verlust geschützt werden.

Fall 2: Der Werbeslogan auf der Firmenflotte

Die Max-Fleißig-GmbH beauftragt den Karosseriebetrieb Auto Bauer & Söhne damit, auf den Fahrzeugen der Firmenflotte das Firmenlogo sowie einen speziell entwickelten Werbeslogan anzubringen.

Dieser Auftrag fällt nicht in den Anwendungsbereich der DS-GVO, da keinerlei personenbezogene Daten verarbeitet werden. Die Max-Fleißig-GmbH ist eine juristische Person. Die Informationen zu den Firmenfahrzeugen und der Werbeslogan sind deshalb nicht personenbezogen.

Drei Fragen aus dem Betriebsalltag zu personenbezogenen Daten

Frage 1: Sind E-Mails personenbezogene Daten?

Ob eine E-Mail ein personenbezogenes Datum ist oder nicht, hängt maßgeblich von ihrem Inhalt ab. Zu diesem Inhalt zählt nicht nur der Text der E-Mail und ihre Anhänge, sondern auch der Empfänger und Absender. Die meisten E-Mails enthalten daher tatsächlich personenbezogene Daten. Nur wenn eine E-Mail von einem nicht personalisierten Versender an einen ebenso wenig personalisierten Empfänger gesendet wird und der Text sowie der Anhang keine personenbezogenen Information enthält, ist sie kein personenbezogenes Datum. Dies ist aber nur bei E-Mail-Postfächern wie info-, service- oder office@ der Fall. Zudem darf auch die Signatur nur reine Firmeninformationen enthalten. Solche Mails gibt es zwar, sie sind aber selten, und es gibt in der Praxis keinen Mitarbeiter, der nur solche Mails schreibt und empfängt. Deshalb zählen bei der Bestellpflicht zum Datenschutzbeauftragten auch alle Mitarbeiter dazu, die Zugang zu einem E-Mail-Postfach haben und regelmäßig damit arbeiten.

Frage 2: Sind Geburtstagskalender mit der DS-GVO verboten?

Kalender oder Listen mit den Geburtstagen der Kollegen sind in Unternehmen weitverbreitet. Da diese Kalender aber personenbezogene Daten der Mitarbeiter – nämlich deren Name und Geburtstag – verarbeiten, fallen sie in den Anwendungsbereich der DS-GVO. Verboten sind sie damit aber nicht. Trotzdem darf der Geburtstag des Kollegen nicht ohne Weiteres eingetragen werden. Der Eintrag im betrieblichen Geburtstagskalender ist nämlich nicht zur Erfüllung der arbeitsvertraglichen Pflichten erforderlich. Deshalb muss der Mitarbeiter mit dem Eintrag einverstanden sein. Die Einwilligung muss schriftlich erfolgen. Außerdem sollte im Zuge des Grundsatzes der Datenminimierung auf die Nennung des konkreten Geburtsjahrs verzichtet werden.

Frage 3: Dürfen Veranstaltungsbilder nur noch mit Einwilligung veröffentlicht werden?

Fotos von Personen sind grundsätzlich als personenbezogene Daten zu werten. Ihre Veröffentlichung ist eine Verarbeitungstätigkeit, für die eine entsprechende Rechtsgrundlage benötigt wird. Bei Arbeitnehmern ist dies immer die Einwilligung. Ohne deren Zustimmung dürfen ihre Bilder nicht veröffentlicht werden. Bei Besuchern oder Interessenten etwa beim Tag der offenen Tür oder einem Werbeevent sieht das etwas anders aus. Diese Fotos können auch ohne explizite Einwilligung veröffentlicht werden, denn bebilderte Artikel über Veranstaltungen und Events können unter bestimmten Voraussetzungen auch auf das berechtigte betriebliche Interesse gestützt werden. Hierzu muss aber eine Interessenabwägung durchgeführt werden, es müssen mehrere eindeutige Hinweisschilder inklusive Widerspruchshinweis aufgehängt und ausführliche Datenschutzinformationen zur Verfügung gestellt werden.