Immer wieder werden wir von Unternehmen gefragt ob man mit Dienstleister XY einen Auftragsdatenverarbeitungsvertrag abschließen muss. Der Grund dafür ist oft ein ganz banaler: Vielen Unternehmen ist einfach nicht klar, was überhaupt genau personenbezogene Daten sind.
DEFINITION
Die Definition personenbezogener Daten im Datenschutzrecht finden wir in § 3 Abs. 1 BDSG. Hier heißt es „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Der Anwendungsbereich betrifft also nur natürliche Personen – also Menschen. Daten von juristischen Personen, also Unternehmensdaten, werden durch das Datenschutzrecht nicht geschützt – sofern sie nicht wieder natürliche Personen, wie Mitarbeiter und Kunden betreffen.
WAS SIND PERSONENBEZOGENE DATEN
Die nach dem BDSG zu schützenden Daten sind personenbezogene und personenbeziehbare Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Dabei ist es ohne Belang ob es sich bei den Daten um Mitarbeiter-, Kunden- oder Lieferantendaten handelt. Solange obige Definition zutrifft ist das BDSG anzuwenden.
- Personenbezogene Daten: sind z. B. Name, Telefonnummer, Geburtsdatum, Staatsangehörigkeit, Beruf, Konfession, Foto, Urlaubsplanung, Gesundheitsdaten, Ethnische Herkunft,…
- Personenbeziehbare Daten: sind Daten ohne direkten Bezug aus denen sich aber eine Person herleiten lässt, z. B. IP-Adresse, KFZ-Kennzeichen, Personalnummer, Kontonummer, aber auch nicht ausreichend anonymisierte oder pseudonymisierte personenbezogene Daten,…
VERBOT MIT ERLAUBNISVORBEHALT
Das BDSG ist ein sogenanntes Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass grundsätzlich die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist. Im § 4 Satz 1 BDSG finden wir die Ausnahmeregelung für dieses Verbot: „Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“. Es ist also im Einzelfall immer zu prüfen, ob einer dieser Erlaubnistatbestände zutrifft. Ein typisches Beispiel dafür wäre die Erfüllung eines Kauf-, Miet- oder Arbeitsvertrages.