Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Dies ist durch die Zuordnung signifikanter Merkmale zu einer Person möglich. Wir sprachen mit Rechtsanwalt Fabian Braches und Rechtsanwalt Cornelius Matutis.
Was fällt unter die Kategorie »personenbezogene Daten«?
RA Fabian Braches: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Dies ist insbesondere durch die Zuordnung der folgenden Merkmale zu einer Person möglich:
- einer Kennung wie einem Namen,
- einer Kennnummer,
- Standortdaten,
- einer Online-Kennung oder
- einem oder mehrerer besonderer Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person sind.
Sämtliche Personal- sowie Kundenstammdaten, Login-Kennungen, Kundennummern sowie Daten von Auftragnehmern wie etwa Kooperationspartnern und Freelancern etc. sind also personenbezogene Daten.
Neben den »personenbezogenen Daten« existieren auch noch die besonderen Kategorien personenbezogener Daten. Deren Verarbeitung ist nur unter strengen Voraussetzungen zulässig. Besondere Kategorien personenbezogener Daten sind:
- die rassische und ethnische Herkunft,
- die politische Meinung,
- die religiöse oder weltanschauliche Überzeugung
- Daten, aus denen sich die Gewerkschaftshörigkeit ergibt,
- genetische Daten,
- biometrische Daten,
- Gesundheitsdaten,
- Daten zum Sexualleben oder der sexuellen Orientierung.
Fallen auch E-Mails darunter?
RA Cornelius Matutis: Natürlich. Die E-Mail-Adresse ist bereits ein personenbezogenes Datum, soweit es nicht die generelle Unternehmens-Mail-Adresse ist. Und der Inhalt von E-Mails kann die verschiedensten personenbezogenen Daten enthalten. Mit heutiger Technik ist es auch einfach möglich diese automatisiert zu durchsuchen, so dass auch hier eine umfassende Datenverarbeitung möglich ist.
Wie lange muss ich und wie lange darf ich eine mit meinem Kunden geführte Korrespondenz aufbewahren? Muss ich die Daten löschen oder archivieren?
RA Cornelius Matutis: Sie müssen die Korrespondenz nur insoweit aufheben, wie dies gesetzlich z.B. wegen der steuer- und handelsrechtlichen Vorschriften erforderlich ist. Dies gilt aber nicht für die gesamten E-Mails, sondern nur solche, welche als Handelsbriefe (dann 6 Jahre) oder steuerrelevante Belege (dann 10 Jahre) eingestuft werden. Hier wird man als kürzeste Aufbewahrungszeit die 3 Jahre der allgemeinen Verjährungsfrist ansehen können. Wichtig ist vor allem, dass Sie sich Gedanken darüber machen, welche E-Mails Sie wie lange aufbewahren wollen bzw. sollen und diese Gedanken müssen Sie dann in einem entsprechenden Dokument (Verzeichnis der Verarbeitungstätigkeiten) niederschreiben, damit die Aufsichtsbehörde sieht, dass Sie sich die Gedanken gemacht haben. Und in regelmäßigen Abständen sollten Sie dann die vorhandenen E-Mails dahingehend durchgehen, ob diese nun endgültig gelöscht werden können.
Eine Archivierung ändert hieran nichts, denn die Daten sind dann weiterhin bei Ihnen aufbewahrt. Interessant wird es in der Zukunft, wie mit vorhandenen alten Datensicherungen umzugehen sein wird, denn diese könnten durchaus bereits gelöschte E-Mails enthalten, welche die Unternehmen überhaupt nicht mehr besitzen dürften.
Welche Auswirkungen hat die DSGVO bei der Nutzung von Online- bzw. Cloud-Anwendungen wie Whats App, Trello, FB-Messenger, Google-Drive?
RA Fabian Braches: Bei der Verwendung von Cloud-Anwendungen dürfte es sich regelmäßig um eine sog. Auftragsdatenverarbeitung handeln. Liegt eine solche Auftragsverarbeitung vor, muss ein Vertrag zur Auftragsverarbeitung mit dem Auftragsverarbeiter, also dem Cloud-Anbieter abgeschlossen werden. Dafür gibt es vom Gesetzgeber bestimmte Vorgaben: Der Cloud-Anbieter muss sorgfältig ausgewählt werden. Er muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen zum Datenschutz getroffen hat, die sicherstellen, dass die Verarbeitung der Daten des Auftraggebers im Einklang mit der DSGVO erfolgt. Wichtig ist hierbei die Frage, ob die Daten innerhalb oder außerhalb der EU/EWR gespeichert werden. Wenn die Verarbeitung in einem sog. Drittland (z.B. USA, Indien, China etc.) erfolgt, sind hier weitere Vorkehrungen zum Datenschutz zu treffen. So müssen für eine Datenverarbeitung in Drittländern geeignete Garantien für die Einhaltung des Datenschutzes nach der DSGVO bestehen (z.B. EU-Standardverträge, Privacy Shield-Abkommen, Angemessenheitsbeschluss der EU-Kommission). Ob die jeweiligen Anbieter diese Voraussetzungen erfüllen, muss konkret im Einzelfall geprüft werden.