Viele Menschen sorgen sich um die Verarbeitung ihrer personenbezogenen Daten und wünschen sich mehr Sicherheit für sensible Daten. Was personenbezogene Daten sind und wie sie verarbeitet und gespeichert werden, fassen wir in unserem Artikel zusammen.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Informationen, die sich auf eine natürliche und lebendige Person beziehen. Dazu zählen alle Angaben, die Rückschlüsse auf eine Person ermöglichen und diese identifizieren. Als natürliche Person gilt rechtlich gesehen jeder Mensch, der konkrete Rechte und Pflichten besitzt.
Der Begriff der personenbezogenen Daten fällt in Europa sehr oft im Zusammenhang mit dem Datenschutz. Den rechtlichen Rahmen setzen die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Die gesetzlichen Grundlagen schützen Verbraucher insbesondere vor Datenmissbrauch und vor dem unbefugten Zugriff auf ihre Daten. Zudem unterstützen die Vorgaben der DSGVO und des BDSG die IT-Sicherheit.
Artikel 4 der DSGVO beschreibt die sehr weit gefasste Definition von personenbezogenen Daten noch etwas genauer. Demnach ist von personenbezogenen Daten die Rede, wenn diese Auskunft zur Identität auf Basis mehrerer Merkmale geben. Dazu zählen die folgenden Eigenschaften eines Menschen:
- physisch
- physiologisch
- genetisch
- psychisch
- wirtschaftlich
- kulturell
- sozial
Artikel 4 der DSGVO definiert auch, inwieweit biometrische Daten als personenbezogene Informationen gelten. Bei biometrischen Daten handelt es sich um personenbezogene Informationen, die durch spezielle technische Abläufe einer konkreten Person zugeordnet werden können. Zu diesen Merkmalen gehören Gesichtsbilder, Fingerabdrücke oder das Erkennen von Stimmen und Augen.
Häufig ist nicht eindeutig zu bestimmen, ob eine einzelne Information oder mehrere Merkmale eine Person identifizieren. Meist ist das vom Kontext abhängig, in dem die personenbezogenen Daten stehen. Geburtsdatum und Wohnort reichen als Beispiel daher bereits aus, damit ein Mensch als identifizierbare Person gilt. Aus diesem Grund ist davon auszugehen, dass jede Information tauglich ist, einen konkreten Bezug zu natürlichen Personen herzustellen.
Beispiele für personenbezogene Daten
Es existieren viele Arten von personenbezogenen Daten. Die folgende Übersicht nennt die wichtigsten personenbezogenen Informationen:
- allgemeine Personendaten (Name, Adresse, Geburtsdatum, Telefonnummer, E-Mailadresse)
- Kennziffern (Passnummer, Steuer-ID, Sozialversicherungsnummer)
- physische und genetische Daten (Geschlecht, Größe, Statur, Augenfarbe)
- Online-Kennungen (IP-Adresse, Standortdaten)
- Bankdaten (Kontonummer, Kreditkartennummer)
- Vermögenswerte (Immobilien, Fahrzeuge, Kfz-Kennzeichen, Zulassungsdaten)
- Kundendaten (Bestellungen, Account-Informationen)
- Werturteile (Zeugnisse, Urkunden)
Darüber hinaus definiert die DSGVO weitere Informationen, die zu den personenbezogenen Daten gehören. Welche das sind, zeigt die zweite Liste:
- ethnische Herkunft
- politische Meinungen und Einstellungen
- weltanschauliche Überzeugungen
- sexuelle Orientierung
- soziale Identität
Sonderfälle von personenbezogenen Daten
Als besondere Kategorie personenbezogener Daten gelten firmenbezogene Daten. Darunter fallen besondere Merkmale, die im Zusammenhang mit dem Beruf einer betroffenen Person stehen. Typisch für diese Art personenbezogener Daten sind die Telefondurchwahl von Arbeitnehmern oder deren E-Mailadressen. Sie sind geeignet, eine Person zu bestimmen. Den Regeln der DSGVO und dem BDSG zur Verarbeitung personenbezogener Daten unterliegen auch aufgezeichnete und gespeicherte Arbeitszeiten und Pausen.
Im Gegensatz dazu fallen Informationen von juristischen Personen nicht unter den Sammelbegriff der personenbezogenen Daten. Juristische Personen sind eingetragene Vereine, Kapitalgesellschaft sowie Unternehmen. In Ausnahmefällen liegen auch hier personenbezogene Daten vor, wenn natürliche Person und Unternehmen eng verflechtet sind.
Schutz von personenbezogenen Daten
Daten, die dazu beitragen, Personen eindeutig zu ermitteln, sind besonders schützenswert. Gerade der digitale Wandel und soziale Netzwerke führen zu einem berechtigten Interesse, Daten zu schützen. Viele Menschen vernachlässigen den Schutz ihrer Daten und öffnen damit die Tür für unbefugten Zugriff. Beim Surfen im Internet wandeln sich anonymisierte Daten in personenbezogene Daten. Über eine IP-Adresse sind Nutzer dadurch identifizierbar.
Die gespeicherten Daten verwenden Unternehmen für Werbezwecke, indem sie persönliche Nutzerprofile erstellen. Im Anschluss versenden sie individuelle Werbung. Wesentlich gefährlicher ist jedoch der Umstand, dass oft auch Kriminelle versuchen, sensible Daten zu stehlen. Gerade deshalb ist ein sensibler Umgang mit persönlichen Informationen ratsam. Hier spielen vor allem technische und organisatorische Maßnahmen eine große Rolle. Wer Daten speichert oder remote arbeitet, also Dateien mit Kollegen austauscht, benötigt zur Verarbeitung gut verschlüsselte Clouds.
Wann dürfen personenbezogene Daten gespeichert werden?
Wer sensible Daten speichert und verarbeitet, darf das ausschließlich für bestimmte Zwecke tun. Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten ist im Artikel 6 der Datenschutz-Grundverordnung (DSGVO) verankert. Auch das Bundesdatenschutzgesetz (BDSG) reguliert im § 47 BDSG den rechtlichen Rahmen. Aus Art. 6 Abs. 1 der DSGVO geht hervor, dass für die Verarbeitung von Daten eine bestimmte Rechtsgrundlage notwendig ist. Der Begriff der Verarbeitung personenbezogener Daten umfasst jede Maßnahme, die im Kontext mit den Daten steht. In der folgenden Übersicht listen wir alle Punkte auf, die zur Verarbeitung von Daten dazugehören:
- sammeln
- ordnen
- verändern
- veröffentlichen
- speichern
Eine rechtliche Grundlage für die zweckmäßige Verarbeitung besteht dann, wenn eine Einwilligung von Betroffenen vorliegt. Die zweckbestimmte Nutzung der Daten stellt sicher, dass sie ausschließlich für die vorgesehene Absicht verwendet werden. Die Einwilligung der Betroffenen ist das zweite Kriterium, das den Zweck festlegt. Eine Verarbeitung aus anderen Gründen, die von den ursprünglichen Gründen der Datenerhebung abweichen, ist unzulässig. Jede Änderung des Zwecks bedarf neben der gesetzlichen Grundlage zudem eine neue Erlaubnis.
Eine Erlaubnis liegt häufig vor, wenn gespeicherte Daten dazu dienen, Verträge oder vereinbarte Pflichten zu erfüllen. Legitim sind gespeicherte Daten auch, wenn dadurch lebenswichtige Interessen geschützt sind oder öffentliches Interesse vorliegt. Außerdem existieren weitere spezielle gesetzliche Regeln.
Daten mit einem persönlichen Hintergrund zu speichern, ist auf definierte Zeiträume beschränkt. Es bestehen Fristen zum Löschen der Daten. Verstöße gegen diese Fristen ziehen hohe Bußgelder nach sich. Laut DSGVO drohen betroffenen Unternehmen empfindliche Strafen bis zu 20 Millionen Euro oder in Höhe von vier Prozent des weltweiten Jahresumsatzes.
Management von personenbezogenen Daten in der Cloud
Unternehmen oder Behörden, die personenbezogene Daten erfassen und speichern, dürfen das nur unter strengen Regeln und mit größter Sorgfalt tun. Ohne Anlass ist es nicht erlaubt, Daten mit Personenbezug aufzunehmen und aufzubewahren. Zusätzlich ist beim Speichern auf sichere Verschlüsselung zu achten.
Diese Aspekte spielen eine Rolle, wenn persönliche Angaben in fremden Systemen wie einer Cloud gespeichert werden. Hier besteht die Gefahr, dass Dritte auf die Inhalte unerlaubt zugreifen. Zu diesen Personen gehören Administratoren. Sie besitzen keine Befugnis, die Daten einzusehen. Wenig Beachtung findet der Umstand, dass ohne Einverständnis der Eigentümer ein Datentransfer aus der Europäischen Union heraus verboten ist.
Dieses Risiko besteht bei Cloud-Anbietern, die ihre Dienste außerhalb der Europäischen Union anbieten. Dazu gehören Firmen wie Microsoft mit OneDrive, Google mit Google Drive oder Amazon mit seiner Cloud. Diese Unternehmen verarbeiten Daten auf der rechtlichen Grundlage der USA. Damit erfüllen sie nicht die strengen Vorgaben der DSGVO, um personenbezogene Daten sicher zu speichern. Der Cloud Act, der Behörden in bestimmten Fällen den Zugriff auf sensible Informationen gewährt, ist ein warnendes Beispiel. Darüber hinaus besteht die Pflicht für Anbieter einer Cloud, über einen unberechtigten Zugriff zu informieren.
Rechte im Umgang mit persönlichen Informationen
Personenbezogene Daten gelten vor Gericht als Eigentum der jeweiligen natürlichen Person. Eng verknüpft ist damit auch das Recht auf informationelle Selbstbestimmung. Das bedeutet, dass Personen immer zustimmen müssen, wenn ihre Daten verarbeitet werden. Hinzu kommt das Recht auf Auskunft. Damit ist gemeint, dass alle betroffenen Personen die Möglichkeit erhalten, auf Anfrage ihre gespeicherten Daten einzusehen. Falls Daten nicht aktuell, fehlerhaft oder zu Unrecht vorliegen, müssen diese DSGVO-konform korrigiert oder gelöscht werden.
Der Gesetzgeber schützt persönliche Daten umfassend. Insbesondere die DSGVO, verabschiedet durch die EU-Kommission, regelt den Umgang mit personenbezogenen Daten sehr streng. Im Hinblick auf den weiter fortschreitenden digitalen Wandel ist das ein wichtiges Signal für den Datenschutz und die Datensicherheit. Unternehmen und Behörden müssen inzwischen in einer Datenschutzerklärung verbindlich darauf hinweisen, welche Daten verarbeitet und zu welchen Zwecken gespeichert werden. Menschen können so vorab prüfen, ob sie bereit sind, ihre Informationen preiszugeben. Denn ein sicherer Umgang mit den eigenen Daten beginnt bereits bei den Eigentümern selbst.
Wenn Unternehmen personenbezogene Daten online erfassen und verarbeiten, gelten die strengen Regeln des Datenschutzes. Auch dann, wenn die Daten in einer Cloud gespeichert werden. Kunden- oder Nutzerdaten online zu speichern, ist mit einer Cloud-Lösung wie TeamDrive am sichersten. TeamDrive bietet sehr komplexe Verschlüsselungsverfahren mit vollständiger Ende-zu-Ende-Verschlüsselung an. Der Schlüssel zur Entschlüsselung verbleibt ausschließlich beim Nutzer. Alle Daten liegen außerdem auf Servern, die sich in Deutschland befinden, oder auf eigenen Servern. Damit erfüllt TeamDrive die hohen Anforderungen der DSGVO an den Datenschutz. Unternehmen, die TeamDrive für ihr Datenmanagement einsetzen, profitieren von sicheren Standards, weil das Risiko für Datenmissbrauch gering ausfällt.