Fachwissen Datenschutz - Personenbezogene Daten

Datenschutz Bundesdatenschutzgesetz(BDSG Personenbezogene Daten Datenschutzbeauftragter Datenschutzvorschriften Bankgeheimnis Datenverarbeitung Vernichtung Unterlagen Zugangskontrolle Benutzerkennwort

Datenschutzvorschriften sind speziell auf den Schutz personenbezogener Daten natürlicher Personen ausgerichtet. Daten juristischer Personen – also von Unternehmen, Institutionen oder Vereinen – fallen nicht unter die üblichen Datenschutzbestimmungen wie die DSGVO oder das BDSG, da diese Rechtsstrukturen keine persönlichen Rechte und Freiheiten haben, die geschützt werden müssen.


Im spezifischen Kontext von Kreditinstituten und deren Dienstleistungen, wie dem Internet Banking, kommen neben den allgemeinen Datenschutzgesetzen auch spezielle Regelungen zum Tragen. Das Telemediengesetz (TMG) beispielsweise regelt den Datenschutz im Zusammenhang mit elektronischen Informations- und Kommunikationsdiensten und gilt für alle Diensteanbieter im Bereich der Telemedien.

Bei Kreditinstituten greifen überdies spezifische Regelungen des Kreditwesengesetzes (KWG), die Anforderungen an die Verarbeitung personenbezogener Daten im Finanzsektor stellen. Sofern in solchen spezialgesetzlichen Regelungen die Verarbeitung oder Übermittlung von personenbezogenen Daten vorgeschrieben ist, haben diese Vorschriften Vorrang vor dem BDSG. Das bedeutet, dass das KWG und andere spezifische Gesetze besondere Anforderungen stellen können, die im Rahmen der allgemeinen Datenschutzregelungen nicht anwendbar wären.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die Ausdruck der „physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität“ eines Menschen (natürliche Person) sind und über die sich ein Mensch eindeutig identifizieren lässt.

Personenbezogene Daten
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet, dass alle Daten, die entweder direkt eine Person identifizieren oder die mit zusätzlichen Informationen einer Person zugeordnet werden können, als personenbezogen gelten.

 

Direkte Identifizierbarkeit

Daten, die eine direkte Identifizierung ermöglichen, schließen eindeutige persönliche Merkmale ein, wie:

  • Name
    Der Familien- oder Nachname einer Person.

  • Vorname
    Der gegebene Name einer Person.

  • E-Mail-Adresse
    Eine eindeutige elektronische Postadresse, die oft den Namen der Person enthält.

  • Abbildung einer Person
    Visuelle Darstellungen wie Fotos oder Videos, auf denen Individuen erkennbar sind.

Diese Arten von Daten sind unmittelbar mit der Identität einer Person verknüpft und fallen unzweifelhaft unter den Schutz der Datenschutzgesetze.

 

Indirekte Identifizierbarkeit
Daten, die für sich genommen nicht unbedingt auf die Identität einer Person schließen lassen, aber in Verbindung mit zusätzlichen Informationen eine Identifizierung erlauben, umfassen:

  • Kundennummer
    Eine spezifische Nummer, die einer Person in einem unternehmerischen Kontext zugeordnet ist.

  • Kreditkartennummer
    Obwohl sie nicht den Namen der Person enthält, kann sie mit dem Karteninhaber in Verbindung gebracht werdenn

  • Autokennzeichen
    Es kann mit dem Fahrzeughalter verknüpft werden.

Diese Kategorie von Daten kann in Kombination mit anderen Daten dazu verwendet werden, eine Person zu identifizieren, was sie ebenfalls zu einem wichtigen Fokus des Datenschutzes macht.

In beiden Fällen, sowohl bei direkt identifizierbaren als auch bei indirekt identifizierbaren Daten, ist der Schutz dieser Informationen durch Datenschutzgesetze wie die DSGVO vorgesehen. Personen haben das Recht, über die Verarbeitung dieser Daten informiert zu werden, und die verantwortlichen Stellen müssen geeignete Maßnahmen ergreifen, um die Sicherheit und Vertraulichkeit der Daten zu gewährleisten.

Personenbeziehbare Daten
Personenbeziehbare Daten, oft auch als pseudonyme Daten bezeichnet, umfassen Informationen, die nicht direkt eine Person identifizieren, aber durch Hinzuziehung zusätzlicher Informationen einer bestimmten natürlichen Person zugeordnet werden können. Der Personenbezug entsteht also, wenn diese Daten mit anderen, externen Informationen kombiniert werden können, um eine Identifizierung der betroffenen Person zu ermöglichen.

 

Zusätzliche Informationen

Die "zusätzlichen Informationen" können Daten sein, die dem Verarbeiter der ursprünglichen Daten nicht direkt vorliegen, aber möglicherweise von Dritten gehalten werden. Ein klassisches Beispiel hierfür ist das Autokennzeichen. Für die meisten Menschen ist das Kennzeichen eines Fahrzeugs ohne spezifisches Hintergrundwissen nicht mit einer Person verknüpfbar. Jedoch verfügen Zulassungsstellen über die erforderlichen zusätzlichen Informationen, um das Kennzeichen einer Halterin oder einem Halter zuzuordnen.

 

Missverständnisse bezüglich des Personenbezugs
In der Praxis herrscht oft das Missverständnis, dass pseudonymisierte oder personenbeziehbare Daten keinen Personenbezug aufweisen. Dies ist jedoch nicht der Fall. Die Datenschutz-Grundverordnung (DSGVO) und nationale Datenschutzgesetze betrachten Daten, die durch Zusatzinformationen einer Person zugeordnet werden können, als personenbezogene Daten, wodurch sie unter die Datenschutzregelungen fallen.

 

Beispiele für personenbeziehbare Daten

Zu den typischen Beispielen für personenbeziehbare Daten zählen:

  • Autokennzeichen
    Identifizierbar über Zulassungsstellen.

  • Kundennummer
    Kann in Verbindung mit weiteren Unternehmensdaten zur Identifizierung einer Person führen.

  • Kreditkartennummer
    In Verbindung mit zusätzlichen Bankdaten identifizierbar.

  • Cookie-ID
    Kann in Verbindung mit anderen Online-Verhaltensdaten zur Identifizierung genutzt werden.

  • IP-Adresse
    In Kombination mit Provider-Daten einer Person zuzuordnen.

Anonyme Daten
Anonyme Daten sind solche Informationen, die keinen direkten oder indirekten Bezug zu einer identifizierbaren natürlichen Person aufweisen. Aufgrund dieses fehlenden Personenbezugs fallen sie nicht unter die Datenschutz-Grundverordnung (DSGVO) oder allgemeine Datenschutzprinzipien. Die Verarbeitung anonymer Daten ist somit frei von den Restriktionen, die für personenbezogene Daten gelten.

 

Beispiele für anonyme Daten

  • Technische Spezifikationen: Beispielsweise die Angabe eines generischen Smartphone-Modells ohne Zuordnung zu einem Nutzer.
  • Generische Produktcodes: Eine Artikelnummer, die ein allgemeines Haushaltsgerät beschreibt, ohne Kaufhistorie oder Käuferinformationen.
  • Produktmaterialien: Angaben zu den Materialien eines Kleidungsstücks, ohne Verbindung zu einer Transaktion oder einem Käufer.
  • Produktabbildung

Wichtigkeit der Anonymisierung

Die Unterscheidung zwischen anonymen und personenbezogenen Daten ist wesentlich für die Anwendung datenschutzrechtlicher Vorschriften. Anonymisierungstechniken, die personenbezogene Daten so verarbeiten, dass eine Identifizierung der betroffenen Person unmöglich gemacht wird, spielen daher eine wichtige Rolle im Datenschutz. Solche Techniken müssen sicherstellen, dass die Anonymität irreversibel ist, um die Daten effektiv aus dem Anwendungsbereich der DSGVO zu entfernen.

 

Hinweis
Auch wenn Daten pseudonymisiert werden und somit nicht direkt einer natürlichen Person zugeordnet werden können, müssen die Grundsätze der Datenschutz-Grundverordnung (DSGVO) dennoch beachtet werden.

Wann ist die Verarbeitung von personenbezogener Daten erlaubt?

Die Verarbeitung ist nur erlaubt, wenn eine Einwilligung vorliegt, oder besondere Erlaubnistatbestände vorliegen, wie die Erforderlichkeit zur Durchführung eines Vertrags, Erforderlichkeit zur Durchführung vorvertraglicher Maßnahmen.

Übermittlung personenbezogener Daten

Für die Übermittlung personenbezogener Daten gelten folgende Grundsätze:

Grundsätze

Erläuterung

Zweckbestimmung

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und daher auch nur übermittelt werden, wenn dies mit der ursprünglichen Zweckbestimmung vereinbar ist.

 

Zweckänderungen sind nur mit Zustimmung der betroffenen Person zulässig oder wenn die Änderung ihren Schutz oder die Rechte und Freiheiten anderer Personen betrifft.

Datenqualität

Personenbezogene Daten müssen sachlich richtig und – wenn nötig – auf dem neuesten Stand sein. Es sind angemessene Maßnahmen dafür zu treffen, dass nicht zutreffende oder unvollständige Daten berichtigt oder gelöscht werden.

 

Die zu übermittelnden Daten müssen im Hinblick auf die Zweckbestimmung erforderlich sein.

Sicherheit

Die verantwortlichen Stellen haben die zur Gewährleistung der erforderlichen Datensicherheit angemessenen technischen-organisatorischen Maßnahmen zu treffen.

 

Die Maßnahmen beziehen sich insbesondere auf Server, Netze bzw. Kommunikationsverbindungen sowie Applikationen.

Vertraulichkeit der Datenverarbeitung

Nur Befugte und auf die Einhaltung des Datengeheimnisses besonders verpflichtete Mitarbeiter dürfen personenbezogene Daten erheben, verarbeiten oder nutzen.

 

Es ist untersagt solche Daten für eigene private Zwecke zu nutzen, an Unbefugte zu übermitteln oder diesen auf andere Weise zugänglich zu machen. Unbefugt in diesem Sinne sind z.B. auch Mitarbeiter, sofern sich nicht aufgrund des Tätigkeitsfeldes und der konkreten Aufgaben etwas anderes ergibt.

Die Übermittlung besonderer Arten personenbezogener Daten, d.h. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, sind grundsätzlich untersagt. Sollte dieses dennoch mal erforderlich sein ist hierfür zugleich eine entsprechende Einwilligungserklärung zwingend erforderlich.

Keine Einwilligungserklärung ist erforderlich, wenn

» der Betroffene nicht in der Lage ist, die Einwilligung zu geben

» der Betroffene hat die betreffenden Daten öffentlich gemacht

» die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher

   Ansprüche erforderlich (Interessenabwägung)

Mitarbeitern von öffentliche und nicht-öffentliche Stellen ist es grundsätzlich untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Eine missbräuchliche Verwendung ist strafbar.

Rechte von Betroffenen

Rechte von Personen, die von Verarbeitung personenbezogener Daten betroffen sind:

  • Recht auf Auskunft und Information
  • Recht auf Löschung Recht auf Berichtigung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht der Verarbeitung zu Widersprechen
  • Beschwerde zur Datenschutzaufsichtsbehörde

Auskunft nach BDSG

Kunden, Mitarbeiter und sonstige Betroffene öffentliche und nicht-öffentliche Stellen haben hinsichtlich ihrer personenbezogenen Daten ein unabdingbares Recht auf:

» Auskunft über die zu der Person gespeicherten Daten, die Herkunft der Daten und den

   Zweck der Datenerhebung sowie Empfänger bzw. die Kategorien von Empfängern

» Datenberichtigung bei unrichtigen oder unvollständigen personenbezogenen Daten

» Sperrung der Daten, wenn sich weder die Richtigkeit noch ihre Unrichtigkeit feststellen lässt

» Löschung, wenn die Datenverarbeitung unzulässig war oder die Daten für den Zweck

   der Datenverarbeitung nicht mehr erforderlich sind,

» Widerspruch gegen die Speicherung, wenn die Daten zu Werbezwecken oder zu Zwecken

   der Markt- und Meinungsforschung genutzt werden.

Falls Kunden oder Nichtkunden - mit eindeutigem oder erkennbarem Bezug auf das Datenschutzgesetz - Auskunft über ihre eigenen bei einem Kreditinstitut gespeicherten Personendaten verlangen, sind werden diese Anfragen in der Regel einem Datenschutzbeauftragten zugeleitet.

Bei jedem Auskunftsersuchen nach BDSG ist

» zu prüfen, ob eine Auskunftspflicht besteht oder im Einzelfall eine Auskunft nicht erteilt
   zu werden braucht,

» die Legitimation des Anfragenden zu prüfen, damit eine unzulässige Datenübermittlung

   an Dritte verhindert wird.

Nach einer positiven Prüfung sollte eine Auskunft in einer angemessenen Frist unentgeltlich schriftlich erteilt werden. Hierbei muss darauf geachtet werden, dass dem Anfragenden nicht versehentlich Daten Dritter übermittelt oder zugänglich gemacht werden.
Neben dem Datengeheimnis gilt für Kreditinstitute auch ein Bankgeheimnis, welches ebenfalls entsprechend beachtet werden muss.

Wann müssen elektronisch vorgehalene personenbezogene Daten gelöscht werden?

Personenbezogenen Daten müssen gelöscht werden, wenn der ursprüngliche Zweck der Datenspeicherung entfällt sowie zugleich keine gesetzlichen Aufbewahrungspflichten vorliegen (bspw. handels- oder steuerrechtlicher Art).

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Auszeichnung:

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

- Eine Beratung mit PROFIL -

H-UB Leistungskatalog

Download
H-UB Leistungskatalog.pdf
Adobe Acrobat Dokument 89.4 KB
Download

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH