Aus gegebenen Anlass möchten wir nochmals alle Vereine darauf hinweisen, dass ab dem 25. Mai neue Datenschutzbestimmungen wirksam werden. Neben der internen Datenverwaltung im Verein ist davon auch der Internetauftritt des jeweiligen Vereins / Gruppe betroffen. Nutzt die verbleibende Zeit und passt eure Internetseiten den Vorgaben an.
Was sind personenbezogene Daten?
Antwort
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.
Personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und fallen in den Anwendungsbereich der Datenschutz-Grundverordnung.
Personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, gelten nicht mehr als personenbezogene Daten. Damit die Daten wirklich anonymisiert sind, muss die Anonymisierung unumkehrbar sein.
Die Datenschutz-Grundverordnung schützt personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technik – sie ist technologieneutral und gilt für die automatisierte wie die manuelle Verarbeitung, sofern die Daten nach vorherbestimmten Kriterien (z. B. alphabetische Reihenfolge) geordnet sind. Es ist ebenfalls nicht entscheidend, wie die Daten gespeichert werden – in einem IT-System, mittels Videoüberwachung oder auf Papier. In all diesen Fällen fallen die personenbezogenen Daten unter die in der Datenschutz-Grundverordnung dargelegten Datenschutzklauseln.
Beispiele für personenbezogene Daten:
• Name und Vorname;
• eine Privatanschrift;
• eine E-Mail-Adresse wie vorname.nachname@unternehmen.com;
• eine Ausweisnummer;
• Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen)*;
• eine IP-Adresse;
• eine Cookie-Kennung*;
• die Werbekennung Ihres Telefons;
• Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten.
*Beachten Sie, dass in einigen Fällen eine besondere sektorale Rechtsvorschrift z. B. die Nutzung von Standortdaten oder die Verwendung von Cookies regelt – die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 (ABl. L 201 vom 31.7.2002, S. 37) und die Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates vom 27. Oktober 2004 (ABl. L 364 vom 9.12.2004, S. 1).
Beispiele für nicht personenbezogene Daten:
• Handelsregisternummer;
• eine E-Mail-Adresse wie info@unternehmen.com;
• anonymisierte Daten.
Referenzen
• Artikel 2, Artikel 4 Absätze 1 und 5 und Erwägungsgründe 14, 15, 26, 27, 29 und 30 der Datenschutz-Grundverordnung
• WP 01248/07/DE, WP 136 Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“
• Stellungnahme 5/2014 der Artikel-29-Datenschutzgruppe zu Anonymisierungstechniken
Was umfasst Datenverarbeitung?
Antwort
„Verarbeitung“ schließt eine Vielzahl unterschiedlicher mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgänge im Zusammenhang mit personenbezogenen Daten ein. Sie umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Die Datenschutz-Grundverordnung gilt für die vollständig oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem strukturierten Dateisystem gespeichert sind.
Beispiele für die Verarbeitung:
• Personalverwaltung und Lohnbuchhaltung;
• Zugang zu/Nutzung einer Kontaktdatenbank, die personenbezogene Daten enthält;
• Versand von Werbe-E-Mails*;
• Vernichtung von Akten, die personenbezogene Daten enthalten;
• Veröffentlichung/Einstellung eines Fotos einer Person auf einer Website;
• Speicherung von IP- oder MAC-Adressen;
• Videoaufzeichnung (Videoüberwachung).
*Denken Sie daran, dass Sie beim Versand von E-Mails für Zwecke der Direktwerbung auch den in der Datenschutzrichtlinie für elektronische Kommunikation dargelegten Vermarktungsvorschriften entsprechen müssen.
Referenzen
• Artikel 4 Absätze 2 und 6 der Datenschutz-Grundverordnung