Als Selbstständige erstellen wir hilfreiche und auch mal kreative Produkte. Egal, ob physische Produkte (wie Weihnachtskarten, Schaltschränke oder Schmuck), Dienstleistungen (wie texten, entwickeln, beraten, coachen) oder virtuellen Produkten, wie E-Books und Online-Kursen.
Bei all unseren Geschäftstätigkeiten entstehen Daten, ganz egal, ob es Daten von Interessenten sind, von Kunden, Mandanten oder von Mitarbeiter.
In diesem Artikel erfährst du, was personenbezogene Daten sind. Warum du dich damit beschäftigen solltest und wie du heute noch mit deinem Verzeichnis von Verarbeitungstätigkeiten starten kannst.
Im Datenschutz geht’s um personenbezogene Daten
Wie der Name schon verrät, personenbezogene Daten sind Daten, die etwas mit einer bestimmten Person zu tun haben. Mithilfe dieser Daten lässt sich die Person identifizieren.
Gehen wir mal von dir aus, dann wären Beispiele für personenbezogene Daten:
- Dein Name
- Deine Adresse
- Deine Telefonnummer
- Deine IBAN- und Kreditkartennummer
- Deine Sozialversicherungsnummer
- Deine Personalausweisnummer
- Deine IP-Adresse (auch wenn diese oft nur mit Aufwand zu dir nachvollzogen werden kann)
- Deine E-Mail-Adresse
- Deine Anmeldedaten für einen Online-Shop
- Deine Kundennummern
- Dein Autokennzeichen
- Deine individuelle Meinung zu einem bestimmten Thema (Hallo, Facebook-Post!)
- Ein Foto von dir
das sind alles personenbezogene Daten.
Und dann gibt es noch besonders schützenswerte personenbezogene Daten von dir:
- Deine Röntgenbilder
- Deine Blutwerte
- Deine DNA
- Dein Fingerabdruck
- Deine Religionszugehörigkeit
- Deine sexuelle Orientierung
- Deine politische Meinung
- Deine ethnische Herkunft
Bei den besonders schützenswerten personenbezogenen Daten musst du mehr bei der Verarbeitung der Daten beachten. Dazu in einem anderen Artikel mehr.
Der Datenschutz bezieht sich auf natürliche Personen. Es wird unterschieden zwischen natürlichen Personen (also du und ich) und juristischen Personen, wie Unternehmen, Stiftungen, Behörden, usw. Die Datenschutzgrundverordnung gilt für natürliche Personen, die noch am Leben sind. Für verstorbene Personen gilt sie wiederum nicht.
Soweit so gut und wie sieht das in deinem Unternehmensalltag aus?
Welche personenbezogenen Daten deiner Kunden, Mitarbeiter und Interessenten verarbeitest du?
Jedes Unternehmen sammelt und verarbeitet personenbezogene Daten. In irgendeiner Form. Ohne eine Adresse (egal ob Postadresse oder E-Mail-Adresse) könnten wir unseren Kunden keine Produkte ausliefern. Auch keine Rechnungen schreiben. Oft werden Daten auch zur Zahlungsabwicklung, wie der IBAN- oder der Kreditkartennummer, gespeichert. Oder es gibt ein Benutzerkonto für einen Online-Shop mit E-Mail-Adresse und Passwort.
Personenbezogene Daten sind somit ein wesentlicher Bestandteil der Geschäftstätigkeit eines jeden Unternehmens.
Wie das in deinem Unternehmen aussehen könnte, schauen wir uns nun gemeinsam an. Exemplarisch gehe ich hier auf drei Personengruppen mit je drei Beispielen ein.
Zur Info: Es kann noch weitere Personengruppen, wie Bewerber, Geschäftspartner oder Dienstleister geben.
Typische personenbezogene Daten deiner Interessenten
Um es zu vereinfachen, sind in diesem Beispiel Websitebesucher auch Interessenten.
- Im E-Mail-Marketing sammelst du E-Mail-Adressen, eventuell auch den Vor- und Nachnahmen, um später Newsletter an die entsprechenden Personen zu versenden. Außerdem hast du eine Einwilligung, z.B. durch eine Double-Opt-in E-Mail erhalten. In der du nachsehen kannst, wann und wofür sich der Newsletter-Abonnent angemeldet und eingewilligt hat. Zudem kannst du in vielen E-Mail-Marketing-Tools auch herausbekommen, für welche Whitepapers, Aktionen und Co er sich auf deiner Website interessiert hat. Auch kannst du nachsehen, wie hoch oder niedrig die Öffnungs– und Klickraten der einzelnen Kampagnen und der einzelnen Newsletter-Abonnenten sind.
- Die IP-Adresse deines Websitebesuchers mit Zeitpunkt des Besuchs werden typischerweise von deinem Webhoster in den Logs für eine bestimmte Zeit aus Sicherheitsgründen gespeichert.
- Wenn du ein Webanalyse Tool auf deiner Website eingerichtet hast, wird der Besuch des Websitebesuchers nachverfolgt. Meistens werden der Zeitpunkt, die Dauer des Besuchs, die besuchten Webseiten, der geografische Standort, die IP-Adresse (hoffentlich anonymisiert) aufgezeichnet und verarbeitet.
Typische personenbezogene Daten deiner Kunden
- Wenn du mit deinen Kunden über E-Mail kommunizierst, erhältst du den Vor- und Nachnamen deines Kunden, die E-Mail-Adresse, den Inhalt der E-Mail und die Anhänge der E-Mail.
- Wenn du deine Produkte ausgeliefert oder das Projekt fertiggestellt hast, kannst du deinen Kunden nach einem Testimonial fragen. Oft erhältst du dann ein Foto und eine spezielle Bewertung für dein Produkt bzw. deine Dienstleistung.
- Bei einem Online-Business werden Online-Meetings aufgezeichnet. Deine Kunden sind standardmäßig (außer du stellst das aktiv ab) auf der Aufzeichnung sichtbar (Bild / Video) und hörbar (Stimme). Nachrichten im Chat werden mit Namen und Meinung gespeichert.
Typische personenbezogene Daten deiner Mitarbeiter
- Über die Zeiterfassung erhebt ein Tool die gearbeiteten Stunden, Pausen, eventuell Krankheitstage, Urlaubstage, Überstunden.
- In der Personalakte finden sich z.B. Arbeitsvertrag, Bewerbung, Zeugnisse, Krankheitsbescheinigungen, Schulungen, Unterweisungen.
- Für die Lohnabrechnung benötigst du z.B. Name, Adresse, Krankenkasse, Rentenversicherungsnummer, Geburtstag, Familienstand, Geschlecht, Steuerklasse, Religion, Kinder, Gehalt, Stundenlohn, Bankdaten, Schwerbehindertenstatus, …
Und jetzt du: Welche personenbezogenen Daten verarbeitest du?
Meine Empfehlung starte mit den Personengruppen Interessenten, Websitebesuchern und Kunden. Wenn du Mitarbeiter hast, nimm die Personengruppe ebenfalls mit auf.
Das Bayrische Landesamt für Datenschutzaufsicht hat einfache Muster für Verzeichnisse von Verarbeitungstätigkeiten auf ihrer Website bereitgestellt.
Dort findest du Beispiele (als PDF) für folgende Bereiche:
- Arztpraxis
- Beherbergungsbetrieb
- Einzelhändler
- Handwerksbetrieb
- Kfz-Werkstatt
- Online-Shop
- Verein
- WEG (Wohnungseigentums)-Verwaltung
Diese Beispiele dienen nur als Einstieg. Ein umfassendes Muster kannst du hier abrufen (PDF). Je größer dein Unternehmen ist, umso detaillierter werden deine Angaben sein.
Für den ersten groben Überblick kann dir auch das Sofortmaßnahmen-Paket für kleine Unternehmen und Vereine des Bayerischen Landesamt für Datenschutzaufsicht (Buch) eine Hilfe sein.
In den Beispielen für typische personenbezogene Daten weiter oben hast du bereits die Verarbeitungstätigkeit (z.B. Lohnabrechnung, Aufzeichnung eines Online-Meetings, Betrieb der Website, Veröffentlichen der Testimonials deiner Kunden auf der Website), die Kategorie der Betroffenen (z.B. Interessent, Websitebesucher, Kunde, Mitarbeiter) und die Kategorie der personenbezogenen Daten (z.B. E-Mail-Adresse, Passwort, IP-Adresse, Religionszugehörigkeit).
3 Gründe ein Verzeichnis von Verarbeitungstätigkeiten zu führen
Du fragst dich bestimmt, warum ich dich dazu ermuntere darüber nachzudenken, welche personenbezogene Daten du verarbeitest. Die folgenden 3 Gründe fallen mir spontan ein.
Grund 1: Nachweispflicht
Es gibt Pflichten, im Datenschutz. Zum einen die der Nachweispflicht. Dazu gehört die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten. In diesem Verzeichnis dokumentierst du, u.a. in welchem Zusammenhang du die personenbezogenen Daten verarbeitest.
Warte, gilt das nicht erst ab 250 Mitarbeitern? Theoretisch ja. Aber nur, wenn die personenbezogenen Daten gelegentlich (statt ständig) verarbeitet werden. Allein wenn du schon eines der Beispiele von weiter oben aus deinem Unternehmensalltag wiedererkennst, gilt die Ausnahme nicht mehr.
Grund 2: Betroffenenanfragen
Außerdem hilft dir das Verzeichnis von Verarbeitungstätigkeiten bei Betroffenenanfragen. Betroffene sind die Personen, deren personenbezogenen Daten du verarbeitest. Also z.B. deine Interessenten (auch hier ebenso die Websitebesucher), Kunden, Mandanten und Mitarbeiter.
Betroffene haben die Möglichkeit, bei dir anzufragen, welche personenbezogene Daten du von ihnen verarbeitest. Hast du dieses Verzeichnis, kannst du relativ schnell nachschauen, wo, welche personenbezogene Daten, zu welchem Zweck, für welche Tätigkeit von der Person gespeichert werden. Lass solche Anfragen von Betroffenen niemals liegen, das kann teuer für dich werden.
Grund 3: Datenpannen
Es gibt noch einen weiteren Grund, ein Verzeichnis von Verarbeitungstätigkeiten zu führen: Eine Datenpanne. Die häufigsten Datenschutzverletzungen sind Übermittlungen von personenbezogenen Daten an falsche Empfänger, System- oder Konfigurationsfehler, Cyber-Angriffe, Diebstahl und Verlust von Datenträgern.
Ein Verzeichnis von Verarbeitungstätigkeiten kann dir dabei helfen bei einer Datenpanne schnell zu erkennen, wer die Betroffenen sind, welche personenbezogenen Daten von der Datenpanne betroffen sind. Außerdem helfen dir diese Informationen bei einer ersten Einschätzung zu dem entstandenen Risiko für die Betroffenen und den daraus resultierenden – möglicherweise notwendigen – Meldungen an die Datenschutzaufsichtsbehörde.
Und die Chancen stehen sehr hoch, wenn du mal mit einer Aufsichtsbehörde zu tun hast, sie dich nach deinem Verzeichnis von Verarbeitungstätigkeiten fragen.
Wie es weiter geht
Wenn du endlich Datenschutz in deinem Unternehmen, in deiner Selbstständigkeit angehen möchtest, starte damit, dass du dir überlegst, welche personenbezogene Daten du verarbeitest bzw. welches Tool die Aufgabe übernimmt. Beschreibe die dazugehörigen Verarbeitungstätigkeiten. Schritt für Schritt füllst du dann die noch fehlenden Bereiche.
