Datenschutzgrundverordnung für Dummies. Christian Szidzek

Datenschutzgrundverordnung für Dummies - Christian Szidzek


Скачать книгу
Daten

      Anonymisierte Daten sind vom Anwendungsbereich der DSGVO generell ausgenommen. Darunter sind solche Informationen zu verstehen, die so verändert sind, dass die betroffene Person nicht mehr identifizierbar ist. Eine Möglichkeit, Daten zu anonymisieren, besteht darin, Einzelangaben aus Datenbeständen herauszufiltern. So könnten etwa aus dem noch konkret zuzuordnenden Datenbestand Name, Anschrift, Familienstand, Alter zur statistischen Verwendung alle Angaben gelöscht werden bis auf den Familienstand, wollte man zum Beispiel wissen, wie viele ledige Personen in einem bestimmten Ortsteil leben. Man kennt dann zwar die Zahl der Verheirateten und Ledigen, aber kann diese nicht mehr den dahinterstehenden Personen zuordnen. Maßgebend ist, dass die Daten derart verändert werden, dass diese nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten Person wieder zugeordnet werden können. Das würde bedeuten, die ursprünglich erfolgte Datenerhebung neu durchführen zu müssen. Damit kommt dem Aufwand der Re-Identifizierung eine entscheidende Bedeutung bei der Beurteilung zu, ob es sich um ein anonymisiertes Datum handelt oder nicht. Wann die Daten so verändert sind, dass der Re-Identifizierungsaufwand unverhältnismäßig hoch ist, ist nicht immer leicht zu bestimmen. Laut Erwägungsgrund 26 sollen zur Ermittlung dabei objektive Kriterien herangezogen werden, wie etwa die Kosten und der Zeitaufwand einer Re-Identifizierung unter Berücksichtigung der jeweils aktuell verfügbaren Technologie. Was ein Erwägungsgrund ist, können Sie noch einmal nachlesen in Kapitel 1 Ein Monster namens DSGVO unter der Überschrift Erwägungsgründe.

      Datenkategorien

      Sie können im Rahmen Ihrer Dokumentationspflichten im Datenschutz, die Sie später in diesem Buch noch kennenlernen werden, einzelne Datenfelder angeben, wie zum Beispiel: Wohnort, Postleitzahl, Straße und Hausnummer als Daten, die Sie verarbeiten. Das ist präzise und dagegen ist nichts einzuwenden. Sie können diese Datenfelder aber auch unter einem Oberbegriff clustern und einfach nur Kategorien angeben, wie Adressdaten. Das erleichtert das Leben ein wenig und ist zulässig.

      Auswahl Datenkategorien (nicht abschließend)

       Stammdaten (Name, Adresse, Kunde, Nummer, Kontaktdaten etc.)

       Adressdaten

       Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer, Fax-Nummer)

       Bestell-, Kauf-, Nutzungs-Historie

       Abrechnungs-, Rechnungs-, Zahlungsdaten

       Verhaltensdaten

       Ortungsdaten (zum Beispiel GPS)

       Daten zu strafrechtlichen Verurteilungen und Verstößen

       Persönliche Kennziffern (Sozialversicherungsnummer, Führerscheinnummer u. a.)

       Bank- und Kreditkarten-Daten

       … und viele mehr

      Betroffenenkategorien

      Bei der Angabe derjenigen, die Sie einer Datenverarbeitung unterziehen, genügt es in offiziellen Dokumenten ebenfalls, lediglich Kategorien dieser Betroffenen anzugeben. Hier können Sie mit folgenden Begriffen arbeiten:

       Bewerber

       Beschäftigte

       Externe Mitarbeiter

       Lieferanten

       Dienstleister

       Kunden

       Interessenten

       Gesellschafter

       Kooperationspartner

       Patienten

       Mollusken

       … und was Ihnen sonst noch einfällt

      Sie haben jetzt erfahren, was Datenschützer unter personenbezogenen Daten verstehen. Nicht, dass im Datenschutz nicht alle personenbezogenen Daten ohnehin schon schützenswert sind. Es gibt indes personenbezogene Daten, die sozusagen »gleicher sind als andere«, um es mit den Worten George Orwells in dessen Werk Animal Farm zu formulieren. Wir wissen an dieser Stelle nicht, was Ihr Name oder Ihr Geburtsdatum dazu sagt, aber die DSGVO betrachtet bestimmte sogenannte besondere Kategorien personenbezogener Daten als noch schützenswerter als Ihren Namen oder Ihr Geburtsdatum. Welche Daten unter die besonderen Kategorien fallen, ist dabei in Art. 9 Abs. 1 DSGVO geregelt. Und das sind die folgenden Daten.

      

Besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO:

       Angaben über die rassische und ethnische Herkunft

       Angaben über politische Meinungen

       Angaben über religiöse oder weltanschauliche Überzeugungen

       Angaben zur Gewerkschaftszugehörigkeit

       Genetische Informationen

       Biometrische Informationen

       Angaben zur Gesundheit

       Informationen zum Sexualleben oder der sexuellen Orientierung

      Wenn Sie es mit solchen Daten zu tun haben, müssen bei Ihnen alle Alarmglocken schlagen. Art. 9 Abs. 1 verbietet nämlich die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich. Nur unter sehr engen Voraussetzungen dürfen die besonderen Kategorien personenbezogener Daten überhaupt verarbeitet werden (Art. 9 Abs. 2).

      

Bei einer beabsichtigten umfangreichen Verarbeitung besonderer Arten personenbezogener Daten müssen Sie gemäß Art. 35 Abs. 3 b) DSGVO außerdem noch vorab eine Datenschutzfolgenabschätzung durchzuführen! Was das ist und weshalb Sie wenig begeistert sein werden, wenn Sie das tun müssen, erfahren Sie unten in dem Kapitel Technisch-organisatorische Maßnahmen unter der Überschrift Datenschutzfolgenabschätzung.

      Was sich hinter den jeweiligen besonderen Kategorien personenbezogener Daten genau verbirgt, lässt sich auf den ersten Blick nicht immer gleich in der gebotenen Eindeutigkeit erschließen. Nachfolgend also einige Begriffserläuterungen.

      Angaben über die rassische und ethnische Herkunft

      Zu den besonderen Kategorien personenbezogener Daten gehören zunächst einmal solche Daten, aus denen die rassische oder ethnische Herkunft einer Person hervorgehen kann.

      

Angaben, aus denen die rassische oder ethnische Herkunft hervorgehen kann, sind solche Angaben, die auf eine Zugehörigkeit Betroffener zu einer Rasse, einer bestimmten Volksgruppe oder einer Minderheit schließen lassen.


Скачать книгу