Der richtige Umgang mit personenbezogenen Daten

Die DSGVO gilt immer, wenn personenbezogene Daten verarbeitet werden (sollen).

Nach Art. 4 Abs. 2 DSGVO fällt unter den Begriff der Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang.

Dabei sind automatisierte Verfahren alle Vorgänge, bei denen IT-Systeme zum Einsatz kommen, z.B. Kontaktaufnahme per E-Mail, Teilnahme an einer Mitarbeiterbefragung und Ihre Gehaltsabrechnung.

Im Einzelnen versteht man darunter:

  • Erheben: Beschaffen von Daten, z. B. durch mündliches Abfragen, schriftliche oder elektronische Formularangaben, Einsichtnahme oder Beobachtung
  • Speichern: Erfassen, Aufnehmen oder Aufbewahren von personenbezogenen Daten auf Datenträger (Papier und digitale Datenträger), um sie weiter verarbeiten oder nutzen zu können
  • Verändern: Inhaltliches Umgestalten der Daten.
  • Übermitteln: Die Bekanntgabe von personenbezogenen Daten an einen Dritten
  • Einschränken: Die Kennzeichnung gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken (z.B. nach einem Widerspruch gegen Werbung)
  • Löschen: Die Unkenntlichmachung gespeicherter personenbezogener Daten (z.B. durch Zerstören)
  • Nutzen: Jede Verwendung von Daten, soweit es keine Verarbeitung ist (z.B. Auswertung von Datenbeständen, Weitergabe von einer Abteilung an eine andere innerhalb der Organisation)

Darüber hinaus gibt es noch die folgenden Varianten der “Veränderung”:

  • Pseudonymisieren: Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein “Pseudonym”, damit der dahinterstehende Mensch nicht mehr einfach ohne Zusatzwissen zugeordnet werden kann (z.B. Verwendung einer Personalnummer oder Steuernummer).
  • Anonymisieren: Verändern der Daten, so dass die Einzelangaben nicht mehr (oder nur unter unverhältnismäßig großem Aufwand) einer bestimmten Person zugeordnet werden können (z.B. Liste mit Gehaltsangaben ohne Personalnummer oder Namen).

Für Ihren persönlichen Arbeitsablauf ergibt sich hieraus, dass eigentlich jede Tätigkeit, in der Sie mit personenbezogenen Daten zu tun haben, unter die Regelungen der DSGVO fällt. Daher möchten wir Ihnen im Folgenden erläutern, unter welchen Bedingungen eine Verarbeitung personenbezogener Daten durch Sie überhaupt erlaubt ist und welche grundsätzlichen Regelungen Sie dabei berücksichtigen sollten.

Die folgenden Grundregeln (lt. Art. 5 DSGVO) zum Datenschutz, sind immer zu beachten und einzuhalten:

  • Rechtmäßigkeit: Immer, wenn personenbezogene Daten „angefasst“ werden, muss es dafür eine rechtliche Grundlage wie z.B. ein Gesetz oder eine Einwilligung geben („Verbot mit Erlaubnisvorbehalt“). In Ihrem Büroalltag könnte dies z.B. die Verarbeitung von Lohn- und Gehaltsdaten zur Abrechnung sowie die Meldung an Finanzamt und Sozialversicherungsträger betreffen. Dies ist durch zahlreiche Gesetze als rechtmäßig zu betrachten.
  • Zweckbindung: Erhobene Daten dürfen grundsätzlich nur für den Zweck verwendet werden, zu dem sie ursprünglich erhoben wurden. Vor der Erhebung von Daten ist der Zweck der Verwendung festzulegen. Eine nachträgliche Zweckänderung ist nicht ohne weiteres möglich. Beispielsweise dürfen die zum Kauf eines Bahntickets über Sie erhobenen Daten nicht ohne Ihre Kenntnis gleichzeitig zum Zweck der E-Mail-Werbung verwendet werden.
  • Datenminimierung: Es dürfen nur die personenbezogenen Daten verarbeitet werden, welche für den Verarbeitungszweck benötigt werden. In Ihrem persönlichen Arbeitsbereich betrifft dies z.B. ein Kontaktformular auf Ihrer Webseite, in dem nur nach den zur Kontaktaufnahme notwendigen Daten wie Telefonnummer, E-Mailadresse und Name gefragt wird, aber nicht gleichzeitig Geburtsdatum oder Privatanschrift abgefragt werden.
  • Speicherbegrenzung: Sämtliche Daten, die für den Verarbeitungszweck nicht mehr benötigt werden, müssen umgehend gelöscht werden, sofern dem keine Aufbewahrungspflichten entgegenstehen. Derartige Aufbewahrungsfristen lassen sich aus Gesetzen wie der Abgabenordnung (AO), dem Handelsgesetzbuch (HGB) oder dem Sozialgesetzbuch (SGB) entnehmen. Für Ihren Arbeitsablauf kann dies z. B. bedeuten, dass die Rechnung für eine Hotelübernachtung, auf der selbstverständlich Ihr Name vermerkt sein muss, aus steuerrechtlichen Gründen im Unternehmen 10 Jahre aufbewahrt und danach gelöscht werden muss.
  • Richtigkeit: Wann immer möglich, sind die Daten der betroffenen Person sachlich richtig und falls erforderlich auf dem neuesten Stand zu halten. Dies ist z.B. bei Führungszeugnissen oder Bonitätsauskünften besonders relevant.
  • Transparenz (Auskunftsrechte und Informationspflichten): Die betroffene Person muss jederzeit Kenntnis haben, dass Daten über sie verarbeitet werden (Transparenzgebot). Deshalb darf sie Auskunft über ihre Daten, deren Verwendung und Herkunft verlangen. Außerdem muss sie zum Zeitpunkt der Erhebung über die Verarbeitung ihrer personenbezogenen Daten informiert werden. In Ihrem persönlichen Arbeitsalltag betrifft Sie dies z.B. in Form von Datenschutzerklärungen auf den von Ihnen besuchten Webseiten, anhand derer Sie über die vorgenommenen Verarbeitungen Ihrer personenbezogenen Daten informiert werden.
  • Schutz durch technische und organisatorische Maßnahmen: Personenbezogene Daten müssen vor Missbrauch geschützt werden. Darüber hinausmüssen die Integrität, Verfügbarkeit und Vertraulichkeit gewahrt werden. Diesbezüglich wird im Rahmen der Schulung noch speziell auf die technischen und organisatorisch umzusetzenden Maßnahmen eingegangen.