Was sind personenbezogene Daten im Unternehmen

Warum personenbezogene Daten im Unternehmensalltag zentral sind

Personenbezogene Daten bilden das Fundament nahezu jeder Geschäftstätigkeit. Ob Sie Kundendaten in Ihrem System pflegen, Mitarbeiterakten führen oder Newsletter versenden – Sie verarbeiten personenbezogene Daten und unterliegen damit den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO).

Viele Unternehmen unterschätzen den Umfang und die Vielfalt der Daten, die unter den Begriff der personenbezogenen Daten fallen. Diese Fehleinschätzung kann teuer werden. Datenschutzbehörden verhängen erhebliche Bußgelder, wenn Unternehmen personenbezogene Daten nicht ordnungsgemäß schützen oder verarbeiten.

Für Geschäftsführer, IT-Verantwortliche und Compliance-Beauftragte ist es daher unerlässlich, ein fundiertes Verständnis davon zu entwickeln, welche Informationen als personenbezogene Daten gelten und welche Pflichten daraus entstehen. 

Rechtliche Grundlagen: Was die DSGVO unter personenbezogenen Daten versteht

Die Definition nach Art. 4 Nr. 1 DSGVO

Die DSGVO definiert personenbezogene Daten in Art. 4 Nr. 1 als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder einem Online-Identifikator bestimmt werden kann.

Diese Definition ist bewusst weit gefasst. Entscheidend ist nicht die Form der Information, sondern die Möglichkeit, eine Person damit zu identifizieren.

Das Konzept der Identifizierbarkeit

Identifizierbarkeit bedeutet, dass eine Person mit verhältnismäßigen Mitteln bestimmt werden kann. Dabei sind alle Mittel zu berücksichtigen, die der Verantwortliche oder eine andere Person vernünftigerweise nutzen könnte. Die technischen Möglichkeiten und Kosten der Identifizierung spielen eine Rolle – theoretisch mögliche, aber praktisch unverhältnismäßige Identifizierungen reichen nicht aus.

Wichtig: Auch wenn Sie selbst die Information nicht zur Identifizierung nutzen können, aber ein Dritter dazu in der Lage wäre, handelt es sich um personenbezogene Daten. Ebenso fallen Daten darunter, die erst in Kombination mit anderen Informationen eine Identifizierung ermöglichen.

Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

Manche personenbezogenen Daten sind besonders schützenswert. Art. 9 Abs. 1 DSGVO verbietet grundsätzlich die Verarbeitung von Daten, die Auskunft geben über:

• Rassische und ethnische Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Genetische und biometrische Daten zur eindeutigen Identifizierung
• Gesundheitsdaten
• Daten zum Sexualleben oder zur sexuellen Orientierung

Diese sensiblen Daten dürfen nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO verarbeitet werden, etwa bei ausdrücklicher Einwilligung oder zur Erfüllung arbeitsrechtlicher Pflichten.

Strafrechtliche Verurteilungen und Straftaten

Art. 10 DSGVO regelt die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten. Diese Informationen dürfen nur unter behördlicher Aufsicht oder wenn das Unionsrecht oder das Recht der Mitgliedstaaten dies vorsieht, verarbeitet werden. Für Unternehmen bedeutet dies praktisch: Derartige Daten sollten nur in Ausnahmefällen und mit besonderer rechtlicher Prüfung verarbeitet werden.

Kategorien personenbezogener Daten im Unternehmenskontext

Mitarbeiterdaten: Von der Bewerbung bis zum Austritt

Personenbezogene Daten von Mitarbeitern durchziehen den gesamten Beschäftigungszyklus. Bereits im Bewerbungsverfahren verarbeiten Sie umfangreiche Daten: Name, Adresse, Geburtsdatum, Ausbildung, Berufserfahrung, oft auch Foto und Zeugnisse. Nach der Einstellung kommen hinzu: Bankverbindung, Steueridentifikationsnummer, Sozialversicherungsnummer, Arbeitszeitnachweise, Urlaubsanträge, Krankmeldungen und vieles mehr.

Besonders sensibel sind Gesundheitsdaten, etwa bei Krankmeldungen oder im Rahmen des betrieblichen Eingliederungsmanagements. Diese fallen unter die besonderen Kategorien nach Art. 9 DSGVO und erfordern erhöhte Schutzmaßnahmen.

Kundendaten: Von Kontaktinformationen bis zum Kaufverhalten

Im Kundenkontext verarbeiten Unternehmen diverse personenbezogene Daten: Namen, Kontaktdaten, Rechnungsadressen, Zahlungsinformationen, Kaufhistorie, Kommunikationsverlauf und bei Online-Angeboten auch IP-Adressen, Cookies und Nutzungsprofile.

Bewerberdaten: Besondere Herausforderungen im Recruiting

Bewerbungsunterlagen enthalten vielfältige personenbezogene Daten, darunter oft auch Informationen, die Sie eigentlich gar nicht benötigen. Fotos, Angaben zu Familienstand oder Staatsangehörigkeit sind zwar häufig in Bewerbungen enthalten, für die Entscheidung über die Stellenbesetzung aber in der Regel nicht relevant.

Lieferanten- und Partnerdaten

Auch im B2B-Bereich verarbeiten Sie personenbezogene Daten, wenn Sie mit natürlichen Personen als Geschäftspartnern oder mit Ansprechpartnern bei Lieferanten und Dienstleistern kommunizieren. Namen, E-Mail-Adressen, Telefonnummern und Funktionsbezeichnungen von Kontaktpersonen fallen unter die DSGVO.

Online-Identifikatoren und technische Daten

Im digitalen Geschäftsverkehr entstehen zahlreiche personenbezogene Daten, die oft unterschätzt werden:

IP-Adressen gelten als personenbezogene Daten, da Internet-Provider die Zuordnung zu einem Anschlussinhaber vornehmen können. Ihre Speicherung und Verarbeitung bedarf daher einer Rechtsgrundlage.

Cookies und ähnliche Tracking-Technologien können personenbezogene Daten sein, wenn sie genutzt werden, um Nutzer zu identifizieren oder Profile zu erstellen. 

Gerätekennungen von Smartphones oder Tablets, MAC-Adressen von Netzwerkgeräten und Standortdaten sind weitere Beispiele für technische Daten mit Personenbezug.

Sie nutzen Tools wie Google Analytics, Zoom oder Microsoft Teams? Dann verarbeiten Sie kontinuierlich personenbezogene Daten und sollten die datenschutzrechtlichen Anforderungen genau prüfen. Bei Fragen zur rechtskonformen Einbindung solcher Dienste stehe ich Ihnen gerne beratend zur Seite.

Videoüberwachung und biometrische Daten

Videoaufnahmen, auf denen Personen identifizierbar sind, stellen personenbezogene Daten dar. Werden diese Aufnahmen mit biometrischen Verfahren ausgewertet (etwa Gesichtserkennung), handelt es sich um besonders sensible Daten nach Art. 9 DSGVO.

Praktische Tipps für den rechtskonformen Umgang mit personenbezogenen Daten

Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DSGVO sind Sie verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, bei denen personenbezogene Daten verarbeitet werden. Dies erscheint zunächst aufwendig, ist aber ein unverzichtbares Instrument, um den Überblick über Ihre Datenverarbeitungen zu behalten.

Das Verzeichnis sollte mindestens enthalten: Zweck der Verarbeitung, Kategorien von Betroffenen und Daten, Empfänger der Daten, geplante Löschfristen und technisch-organisatorische Maßnahmen. Halten Sie das Verzeichnis aktuell und nutzen Sie es als Arbeitsinstrument, nicht als formale Pflichtübung.

Implementieren Sie Datensparsamkeit und Zweckbindung

Verarbeiten Sie nur die personenbezogenen Daten, die Sie tatsächlich für den jeweiligen Zweck benötigen. Der Grundsatz der Datenminimierung verlangt, dass Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind.

Fragen Sie sich bei jeder Datenerhebung: Brauche ich diese Information wirklich? Kann ich meinen Zweck auch mit weniger oder weniger detaillierten Daten erreichen? Dies schützt nicht nur die Betroffenen, sondern reduziert auch Ihr Risiko bei einem möglichen Datenschutzvorfall.

Setzen Sie technische und organisatorische Maßnahmen um

Art. 32 DSGVO verpflichtet Sie, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören:

• Verschlüsselung und Pseudonymisierung
• Zugriffsbeschränkungen und Berechtigungskonzepte
• Regelmäßige Datensicherungen
• Sichere Vernichtung von Datenträgern
• Schulung der Mitarbeiter
• Protokollierung von Verarbeitungsvorgängen

Die konkreten Maßnahmen hängen vom Schutzbedarf der verarbeiteten Daten ab. Sensible Gesundheitsdaten erfordern höhere Sicherheitsstandards als allgemeine Kontaktdaten.

Schaffen Sie Transparenz gegenüber Betroffenen

Informieren Sie die Betroffenen umfassend über die Verarbeitung ihrer Daten. Nach Art. 13 und 14 DSGVO müssen Sie bei der Datenerhebung zahlreiche Informationen bereitstellen, darunter: Zweck der Verarbeitung, Rechtsgrundlage, Speicherdauer, Empfänger der Daten und die Rechte der Betroffenen.

Nutzen Sie klare, verständliche Datenschutzhinweise. Vermeiden Sie juristische Fachsprache, wo immer möglich. Eine gute Datenschutzinformation schafft Vertrauen und reduziert Anfragen von Betroffenen.

Checkliste: So identifizieren und schützen Sie personenbezogene Daten

Bestandsaufnahme

• Erstellen Sie eine Liste aller Prozesse, bei denen personenbezogene Daten verarbeitet werden
• Identifizieren Sie alle Datenquellen (intern und extern)
• Dokumentieren Sie, welche Kategorien personenbezogener Daten Sie verarbeiten
• Prüfen Sie, ob Sie besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeiten
• Erfassen Sie alle Systeme und Anwendungen, die personenbezogene Daten speichern

Rechtliche Grundlagen prüfen

• Bestimmen Sie für jede Verarbeitung die Rechtsgrundlage 
• Prüfen Sie bei Einwilligungen, ob diese den Anforderungen der DSGVO entsprechen
• Identifizieren Sie Verarbeitungen, die auf berechtigten Interessen beruhen, und dokumentieren Sie die Interessenabwägung

Verträge und Vereinbarungen

• Schließen Sie mit allen Auftragsverarbeitern Verträge nach Art. 28 DSGVO ab
• Prüfen Sie bei Drittlandübermittlungen die erforderlichen Garantien (z.B. Standardvertragsklauseln)
• Dokumentieren Sie gemeinsame Verantwortlichkeiten nach Art. 26 DSGVO, falls zutreffend

Technische und organisatorische Maßnahmen

• Implementieren Sie Zugriffsbeschränkungen nach dem Need-to-know-Prinzip
• Verschlüsseln Sie personenbezogene Daten bei der Übertragung und Speicherung
• Etablieren Sie ein Backup- und Recovery-Konzept
• Führen Sie regelmäßige Sicherheitsupdates durch
• Protokollieren Sie sicherheitsrelevante Ereignisse

Information und Transparenz

• Erstellen Sie Datenschutzhinweise für alle Datenerhebungen
• Informieren Sie Betroffene nach Art. 13/14 DSGVO vollständig
• Stellen Sie sicher, dass Betroffenenrechte ausgeübt werden können
• Richten Sie einen klaren Prozess für die Bearbeitung von Betroffenenanfragen ein

Dokumentation und Rechenschaft

• Führen Sie ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
• Dokumentieren Sie technische und organisatorische Maßnahmen
• Führen Sie bei risikoreichen Verarbeitungen eine Datenschutz-Folgenabschätzung durch
• Schulen Sie Ihre Mitarbeiter regelmäßig zum Datenschutz
• Bestellen Sie einen Datenschutzbeauftragten, falls erforderlich

Laufende Überwachung

• Überprüfen Sie regelmäßig die Aktualität Ihrer Datenschutzdokumentation
• Löschen Sie personenbezogene Daten nach Ablauf der Speicherfrist
• Überwachen Sie Änderungen in der Rechtsprechung und Gesetzgebung
• Führen Sie interne Audits zur Datenschutz-Compliance durch

Datenschutz als Managementaufgabe verstehen

Personenbezogene Daten durchziehen praktisch jeden Geschäftsprozess moderner Unternehmen. Die Frage „Was sind personenbezogene Daten im Unternehmen?“ ist daher keine rein juristische Spitzfindigkeit, sondern eine zentrale Compliance-Frage mit erheblicher praktischer und wirtschaftlicher Relevanz.

Ein rechtskonformer Umgang mit personenbezogenen Daten erfordert systematisches Vorgehen: von der Identifikation aller Verarbeitungsprozesse über die Prüfung der rechtlichen Grundlagen bis hin zur Implementierung technischer und organisatorischer Schutzmaßnahmen. Datenschutz ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der regelmäßige Überprüfung und Anpassung erfordert.

Die gute Nachricht: Ein professionelles Datenschutzmanagement schützt nicht nur vor Bußgeldern, sondern schafft auch Wettbewerbsvorteile. Kunden und Geschäftspartner legen zunehmend Wert auf einen verantwortungsvollen Umgang mit ihren Daten. Unternehmen, die hier überzeugen können, bauen Vertrauen auf und positionieren sich als verlässliche Partner.

Benötigen Sie Unterstützung bei der datenschutzrechtlichen Beurteilung Ihrer Verarbeitungsprozesse oder möchten Sie Ihre Compliance-Strukturen auf den Prüfstand stellen? Als Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter begleite ich Sie bei allen Fragen rund um personenbezogene Daten im Unternehmen. Vereinbaren Sie ein Erstgespräch, um Ihre Situation zu besprechen.

Häufig gestellte Fragen