Wie geht man datenschutzkonform mit personenbezogenen Daten um?

Die DS-GVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden.

Nach Art. 4 Abs. 2 DS-GVO fällt unter den Begriff der Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang.

Im Einzelnen versteht man darunter:

  • Erheben: Beschaffen von Daten, z. B. durch mündliches Abfragen, schriftliche oder elektronische Formularangaben, Einsichtnahme oder Beobachtung
  • Speichern: Erfassen, Aufnehmen oder Aufbewahren von personenbezogenen Daten auf Datenträger (Papier und digitale Datenträger), um sie weiter verarbeiten oder nutzen zu können
  • Verändern: Inhaltliches Umgestalten der Daten.
  • Übermitteln: Die Bekanntgabe von personenbezogenen Daten an einen Dritten
  • Einschränken: Die Kennzeichnung gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken (z.B. nach einem Widerspruch gegen Werbung)
  • Löschen: Die Unkenntlichmachung gespeicherter personenbezogener Daten (z.B. durch Zerstören)
  • Nutzen: Jede Verwendung von Daten, soweit es keine Verarbeitung ist (z. B. Auswertung von Datenbeständen, Weitergabe von einer Abteilung an eine andere innerhalb der Organisation)

Darüber hinaus gibt es noch die folgenden Varianten der “Veränderung”:

  • Pseudonymisieren: Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein “Pseudonym”, damit der dahinterstehende Mensch nicht mehr einfach ohne Zusatzwissen zugeordnet werden kann (z.B. Verwendung einer Personalnummer oder Steuernummer)
  • Anonymisieren: Verändern der Daten, so dass die Einzelangaben nicht mehr (oder nur unter unverhältnismäßig großem Aufwand) einer bestimmten Person zugeordnet werden können (z.B. Liste mit Gehaltsangaben ohne Personalnummer oder Namen)