Allgemeines zur Reihe „Die DSGVO in der Unternehmenspraxis“: 

Wie allgemein bekannt, wird ab dem 25. Mai 2018 ein komplett neues europäisches Datenschutzrecht in Kraft treten. Die Datenschutzgrundverordnung (DSGVO) wird in sämtlichen Mitgliedstaaten automatisch Anwendung finden. Bereits jetzt ist es höchste Zeit für alle Unternehmen, sich mit den Auswirkungen auf die täglichen Abläufe im Geschäftsleben auseinanderzusetzten und sich ggf. auf die interne Umsetzung vorzubereiten.

Diese Artikelreihe wurde speziell für die Praxis entworfen. Sie soll bei dem Verständnis der DSGVO unterstützen und beinhaltet einen Fahrplan zur internen Implementierung der DSGVO in allen Bereichen eines Unternehmens.

TEIL 1

Vorbereitung: Wie werden personenbezogene Daten im Unternehmen bewertet?

  1. Welche personenbezogenen Daten gibt es?

Unumgänglich ist der erste Schritt, in dem eine Aufstellung aller im Unternehmen gesammelten personenbezogenen Daten – vom Empfang bis zum Management – erstellt wird. Dabei ist zu beachten, dass alle Informationen personenbezogen sein können, wenn sie mit einer natürlichen Person zusammenhängen. Laut Art. 4 (1) der DSGVO sind „personenbezogenen Daten“:

" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Eine natürliche Person gilt auch dann als identifizierbar, wenn weitere Informationen zu ihrer Identifizierung ohne erheblichen Aufwand erlangt werden können (z.B. auf Internetseiten zugängliche Onlineinformationen).

Nachfolgend einige Beispiele:

  1. Empfangsbereich
    • Namen und Telefonnummern von Personen, die das Unternehmen kontaktieren
    • Posteingang / Adressverzeichnisse: Namen und Adressen natürlicher Personen als Absender
  2. Personalmanagement
    • Erkennungsdaten von Angestellten und Bewerbern für bestimmte Positionen
    • Ausweiskopien
    • Daten bezüglich der Konfession
    • Daten bezüglich minderjähriger Kinder von Angestellten
    • Zugangskarten, die die Ortung des Benutzers ermöglichen
    • Zeiterfassung
    • Biometrische Daten (z.B. zur Zeiterfassung)
    • Beurteilungen von Angestellten
  3. Rechtsabteilung
    • Informationen über die Beteiligten an Rechtsstreitigkeiten oder Schiedsverfahren
    • Geschäftsunterlagen, die Daten über natürliche Personen, die Organe des Unternehmens sind, enthalten
  4. Rechnungswesen
    • Für die Rechnungsstellung an natürliche oder juristische Personen erforderliche Daten wie Name, Identifizierungsdaten (z.B. Adresse, Ausweisdokumente, Personenkennzahl)
    • Bankdaten natürlicher Personen
  5. Wesentliche Vereinbarungen
    • Daten zeichnungsbefugter Personen (z.B. Adresse, Ausweisdokumente, Personenidentifizierungsnummer)
  6. IT
    • Datenverarbeitung durch die eigene Website
    • IP-Adressen
    • Cookies
    • Kunden- oder Benutzerkonten, die die Identifikation der natürlichen Person erlauben
  7. PR
    • Empfängerlisten für Newsletter
  8. Videoüberwachung
    • Videokameras die natürlichen Personen aufnehmen
  9. GPS- gestützte Ortung von Fahrzeugen und Personen
    • Wenn das betreffende Fahrzeug einer natürlichen Person zugeordnet werden kann
  10. Call Center
    • Erfassung von Telefonaten natürlicher Personen
    • Identifikation natürlicher Personen.

Die o.g. Liste muss je nach Art und Besonderheit jedes Unternehmens angepasst werden. Um alle Daten erfassen zu können, ist es sehr wichtig, bei diesem Schritt alle relevanten Personen des Unternehmens mit einzubeziehen.

Kurzes Beispiel für eine unbeabsichtigte Sammlung von Daten:

Während eine Gesprächs mit einem freundlichen Kunden erkundigt sich ein Angestellter über dessen minderjähriges Kind (Name, Vorname, Geburtsdatum, etc.), obwohl dies nicht seine Aufgabe war, um dem Kind eine animierte Geburtstagskarte zu schicken. Dies mag aus einer guten Intention heraus erfolgen, solch eine Situation muss aber aus Datenschutzsicht unbedingt überprüft werden.

II. Was folgt danach?

Nachdem ein Überblick über die gesammelten personenbezogenen Daten erstellt wurde, sollte sich das Unternehmen folgende Fragen stellen:

  1. Woher kommen die Daten?
  2. Warum und wo werden sie gesammelt?
  3. Wie lange müssen die Daten gespeichert werden?
  4. Werden die Daten weitergegeben?

Diese Fragen werden in dem folgenden Artikel dieser Serie genauer beleuchtet.

Anmerkung: nach der Auflistung aller Typen personenbezogener Daten aus dem Unternehmen ist eine an jeden Geschäftsbereich angepasste finale Prüfung durchzuführen. Hierzu ist es wichtig, dass sowohl unternehmensinternes wie auch rechtliches Knowhow zu kombinieren, was wiederum eine gute Kooperation zwischen den Personen aus dem betreffenden Geschäftsbereich und spezialisierten Beratern erfordert.