Definition von personenbezogenen Daten und die Erkennung neuer und geänderter Datenverarbeitungen

Definition von personenbezogenen Daten und die Nachverfolgung von neuen und geänderten Verarbeitungsvorgängen

Sie wollen gleich zum relevanten Teil des Textes springen? Dann klicken Sie auf die Unterkapitel in der Inhaltsangabe:

Zurück zur Themenseite DSGVO-Compliance im Unternehmen: Ein detaillierter Praxisleitfaden.

Für Ihr Unternehmen ist ein unterstützender Prozess für den Datenschutz unerlässlich: Sie müssen bestimmen, wo und unter welchen Umständen mit personenbezogenen Daten umgegangen wird. Dadurch wird es Ihnen überhaupt erst möglich zu beurteilen, ob und inwieweit die DSGVO für Ihr Unternehmen überhaupt gilt. In diesem Abschnitt erklären wir Ihnen dazu die Grundlagen und Anforderungen.

Anwendbare Vorschriften der Datenschutz-Grundverordnung (DSGVO)

Da die Identifizierung von personenbezogenen Daten und die Nachverfolgung und Identifizierung der jeweiligen Verarbeitungsvorgänge als unterstützender Prozess gilt, gibt es keine genaue Vorschrift in der DSGVO, die das Verfahren festschreibt. Trotzdem ist es unerlässliche Voraussetzung, um die Vorgaben der DSGVO ordnungsgemäß anwenden zu können.

Nach Art. 24 Abs. 1 gehört es zur wesentlichen Verantwortung des Verantwortlichen sicherzustellen und den Nachweis dafür erbringen zu können, dass die Datenverarbeitung gemäß der DSGVO erfolgt. Was gemäß Art. 2 Abs. 1 sowohl für die ganze als auch für die teilweise automatisierte Verarbeitung personenbezogener Daten gilt. Als Folge dessen muss sich der Verantwortliche einen vollständigen Überblick über seine Verarbeitungstätigkeiten hinsichtlich dieser Daten verschaffen.

Auslegung und weitere Erläuterungen

Die Beurteilung, ob bestimmte Arten von Daten als „personenbezogene Daten“ zu qualifizieren sind, ist keine eindeutige oder triviale Aufgabe. Obwohl der Begriff in Art. 4 Abs. 1 der DSGVO definiert ist, gibt es durchaus Raum zur Auslegung. Und bei der Begutachtung bestimmter Datensätze, die in einem Unternehmenssystem gespeichert werden, ist es von Anfang an alles andere als klar, ob die einzelnen Daten als personenbezogen qualifiziert werden müssen. Dies liegt daran, dass in vielen Fällen eine umfangreiche Bewertung notwendig ist, ob natürliche Personen durch diese Daten identifizierbar sind oder nicht, da zur Bestimmbarkeit einer Person verschiedene Mittel und Möglichkeiten nach der DSGVO berücksichtigt werden müssen.

Eine gewisse Klärung (die wohl auch unter der DSGVO fortgilt) hat hier das EuGH-Urteil und in der Folge das BGH-Urteil in Sachen Breyer (EuGH, Urteil vom 19.10.2016 – C 582/14 – Breyer, MMR 2016, 842, 843 f. mit Anmerkung Moos/Rothkegel) gebracht, aber die Sache bleibt komplex (lesen Sie zu dem Urteil auch unseren Blog-Beitrag auf eudatareg.com und unseren Beitrag auf osborneclarke.com): Der EuGH hat darin einen wesentlichen Streitpunkt entschieden, indem er der sogenannten absoluten Theorie des Personenbezugs eine Absage erteilt hat. Der EuGH hat die Personenbeziehbarkeit von dynamischen IP-Adressen für einen Webseitenbetreiber jedenfalls für den Fall bejaht, dass dieser „vernünftigerweise“ über „rechtliche Mittel“ verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter bezüglich dieser Person verfügt, bestimmen zu lassen. Er hat zugleich aber auch gewisse Einschränkungen für die „Relativität“ des Personenbezugs festgeschrieben: Ein „rechtliches Mittel“ sei in diesem Sinne dann „vernünftig“, wenn die Identifizierung gesetzlich nicht verboten und auch praktisch durchführbar ist, also nicht einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde.

Die Unternehmen kommen also nicht umhin, jeweils im Einzelfall zu beurteilen, ob die von ihm verarbeiteten Daten personenbezgug aufweisen – gerade bei Gerätekennungen und anderen Identifikatoren kann dies eine komplexe Prüfung beinhalten.

Damit das Unternehmen beurteilen kann, ob personenbezogene Daten verarbeitet werden und ob die Etablierung neuer Vorgänge die Erhebung und Verwendung personenbezogener Daten mit sich bringt, ist es deshalb notwendig, ein Verfahren einzuführen, mit dem personenbezogene Daten und Verarbeitungsvorgänge im Zusammenhang mit personenbezogenen Daten erkannt werden können.

Was bedeutet das für Sie: Eine To-do-Liste

Die Identifizierung von personenbezogenen Daten und die Nachverfolgung von neuen und geänderten Verarbeitungsvorgängen ist keine einmalige Aufgabe. Es muss immer auch gewährleistet werden, dass das Unternehmen neue oder geänderte Methoden, wie personenbezogene Daten erhoben und verwendet werden, erfasst und nachverfolgt:

Dazu identifizieren Sie die Situationen, in denen personenbezogene Daten gesammelt werden. Außerdem müssen Sie die internen Prozesse ausfindig machen, die zur Bearbeiten von personenbezogenen Daten geführt haben und künftig auch führen werden. Im Anschluss daran gilt: Finden Sie heraus, welche Verpflichtungen und Restriktionen der Datenverarbeitungsprozesse laut DSGVO für Ihr Unternehmen gelten.

Was Sie konkret tun müssen:

  • Bilden Sie sich eine „Hausmeinung“, welche Arten von Daten Sie als personenbezogen einstufen.
  • Stellen Sie sicher, dass Ihre Mitarbeiter in den relevanten Abteilungen ausreichende Kenntnisse haben, den Personenbezug von Daten zu erkennen.
  • Ermitteln Sie neue und geänderte Verfahren zur Verarbeitung solcher personenbezogenen Daten.
  • Legen Sie Anforderungen für die Überprüfung von allen neuen und geänderten Prozessen fest. Es gilt herauszufinden, ob diese die Verwendung von personenbezogenen Daten zur Konsequenz haben.
  • Bestimmen Sie, wie diese Vorgänge gekennzeichnet werden.
  • Entwerfen und bestimmen Sie, wie diese Beurteilung und Identifizierung dokumentiert und für weitere Nachweise aufbewahrt werden kann.


Zurück zur Übersicht DSGVO-Compliance im Unternehmen: Ein detaillierter Praxisleitfaden.

Dr. Flemming Moos
Geposted von Dr. Flemming Moos

Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.

Kommentieren

Pflichtfelder sind markiert*