Was sind personenbezogene Daten?
Laut Bundesdatenschutzgesetz sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen“, wobei verschiedene Gerichte in der Bundesrepublik Deutschland diese Definition auch auf juristische Personen anwenden, soweit ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung gegeben ist. In Gesetzen und Richtlinien werden verschiedene Begriffe mit leicht unterschiedlichen Definitionen verwendet. Diese reichen von „personenbezogene Daten“ und „persönliche Daten“ über „persönliche Informationen“ und „persönlich identifizierbare Informationen (PII)“ bis hin zu „Personaldaten“, werden aber häufig synonym verwendet.
Da es verschiedene Gesetze zu Datenschutz und Datensicherheit gibt, in denen festgelegt ist, wie die Daten einer Person erfasst und verarbeitet werden dürfen, ist es wichtig, dass Sie wissen, welche Informationen Sie schützen müssen und welche Pflichten Sie haben.
Im Rest dieses Beitrags helfen wir Ihnen, genau das zu tun, indem wir Sie durch die gesetzlichen Vorschriften für die Erfassung personenbezogener Daten führen.
Wie sind personenbezogene Daten laut DSGVO definiert?
Die Datenschutz-Grundverordnung (DSGVO) definiert „personenbezogene Daten“ so:
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Wen schützt die DSGVO?
Die DSGVO soll EU-Bürgern mehr Kontrolle darüber geben, wie Unternehmen und Organisationen ihre personenbezogenen Daten erfassen und verarbeiten. Diese Personen werden im Allgemeinen als „betroffene Personen“ bezeichnet. Die DSGVO löst einige Datenschutzgesetze in Europa ab und schafft einen einheitlichen, verbindlichen Rahmen für den Datenschutz in der gesamten EU.
Wer muss sich an die DSGVO halten?
In erster Linie sieht die DSGVO Vorschriften für die für Datenverarbeitung Verantwortlichen vor, also Unternehmen und Organisationen, die entscheiden, wie und warum sie personenbezogene Daten verarbeiten. Die DSGVO zwingt sie dazu, den EU-Bürgern eine Vielzahl von Rechten und Zustimmungsmöglichkeiten einzuräumen. Sie reglementiert auch die Unternehmen und Organisationen, die Daten im Auftrag der für die Verarbeitung Verantwortlichen verarbeiten – auch Datenverarbeiter genannt.
Wie sind personenbezogene Daten laut CCPA definiert?
Der California Consumer Privacy Act (CCPA) enthält Vorschriften bezüglich „persönlicher Informationen“ und definiert diese folgendermaßen:
„Persönliche Informationen“ bezeichnet Informationen, die einen bestimmten Verbraucher oder Haushalt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihm verknüpft werden könnten.
Dies kann Online-Kennungen, Fotos und Tonaufnahmen sowie geografische Standortdaten umfassen.
Wen schützt der CCPA?
Der CCPA ist das erste umfassende Gesetz eines Bundesstaates in den USA zur Stärkung der Datenschutzrechte und des Verbraucherschutzes.Es ermöglicht den Einwohnern Kaliforniens (oder „Verbrauchern“) zu erfahren und zu ändern, wie Unternehmen ihre personenbezogenen Daten erfassen und davon profitieren, und bietet diesen Verbrauchern mehr Transparenz und einklagbare Rechte.
Wer muss sich an den CCPA halten?
Der CCPA gilt für gewinnorientierte Unternehmen und Organisationen, die in Kalifornien tätig sind und mindestens eine der folgenden Kriterien erfüllen:
- Jährlicher Bruttoumsatz von 25 Millionen Dollar oder mehr
- Kauft, erhält, verkauft oder teilt die personenbezogenen Daten von mindestens 50.000 Verbrauchern, Haushalten oder Geräten
- Erwirtschaftet mindestens 50 % des Jahresumsatzes aus dem Verkauf personenbezogener Daten von Verbrauchern
Zwar gibt es zwischen DSGVO und CCPA einige gravierende Unterschiede (wie etwa den Umfang der einzelnen Personen einzuräumenden Rechte), aber auch wesentliche Übereinstimmungen. Und da viele weltweit tätige Unternehmen beide Gesetzgebungen einhalten müssen, ist es von entscheidender Bedeutung, das volle Ausmaß der sich daraus ergebenden Pflichten zu verstehen.
Welche Risiken birgt ein falscher Umgang mit personenbezogenen Daten?
Falscher Umgang mit personenbezogenen Daten kann, selbst wenn er unwissentlich geschieht, zu einer Vielzahl von Ordnungsmaßnahmen und Strafen führen.
So gibt es zum Beispiel eine Reihe von nationalen Datenschutzbehörden in der EU, die die DSGVO anwenden, und jede hat folgende Befugnisse:
- Unternehmen prüfen, die der Verstöße verdächtigt werden
- Warnungen und Verweise aussprechen
- Unternehmen die Datenverarbeitung untersagen
- Die Datenweitergabe in Drittstaaten aussetzen
- Die Löschung von Daten anordnen
Bei Verstößen gegen die Vorschriften der DSGVO oder Verletzungen des Schutzes personenbezogener Daten drohen Unternehmen und Organisation außerdem Bußgelder. Die DSGVO sieht – je nachdem, welcher Betrag höher ist – ein maximales Bußgeld von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens vor, wobei die genaue Strafe von der Art des jeweiligen Verstoßes abhängt.
Derzeit sieht der CCPA ein kleineres Spektrum an Sanktionen und Zwangsmaßnahmen vor. Der Generalstaatsanwalt von Kalifornien kann Geldstrafen von bis zu 7.500 Dollar je vorsätzlichem Verstoß und in anderen Fällen von bis zu 2.500 Dollar verhängen.
Dies wird sich jedoch ändern, da die Verabschiedung der Privacy Rights and Enforcement Act Initiative – ein Gesetzesentwurf, der während der Parlamentswahlen 2020 angenommen wurde – den CCPA mit neuen Bestimmungen zur Strafverfolgung ergänzt. Die Gesetzesinitiative sieht insbesondere die Schaffung der California Privacy Protection Agency vor. Dabei handelt es sich um eine Behörde mit der Befugnis, potenzielle Verstöße zu untersuchen, Anordnungen zu erlassen, Bußgelder zu verhängen und Zivilklagen zur Eintreibung unbezahlter Bußgelder zu erheben.
So halten Sie die DSGVO und den CCPA ein
Auch wenn die DSGVO und der CCPA für einzelne Unternehmen und Organisationen auf unterschiedliche Weise gelten, werden Ihnen die folgenden Schritte helfen, im Umgang mit personenbezogenen Daten beide Gesetzgebungen einzuhalten.
- Prüfen Sie Ihre Daten: Sie sollten wissen, welche Daten Sie verarbeiten, wer Zugriff darauf hat und auf welcher rechtlichen Grundlage dies geschieht.
- Wo möglich, verschlüsseln, pseudonymisieren oder anonymisieren Sie personenbezogene Daten.
- Speichern Sie Daten nur so lange, wie sie ihren Zweck erfüllen.
- Schaffen Sie ein Bewusstsein für Datenschutz und -sicherheit und ernennen Sie Personen in Ihrem Unternehmen, die die Verantwortung für die Einhaltung der Vorschriften übernehmen.
- Führen Sie ein Verfahren ein, mit dem Behörden und betroffene Personen benachrichtigt werden, falls eine Datenschutzverletzung auftritt.
- Machen Sie es Einzelpersonen leicht, Informationen über ihre Rechte und die Daten, die Sie über sie haben, anzufordern und zu erhalten.
- Kommunizieren Sie deutlich, dass Personen ihre Daten berichtigen, aktualisieren und deren Löschung beantragen können.
- Bieten Sie den Personen gegebenenfalls die Möglichkeit, ihr Einverständnis zur Datenerfassung zu geben oder zu verweigern.
Gesetze und Vorschriften zum Datenschutz entwickeln sich ständig weiter. Umso wichtiger ist es, jetzt nachhaltige Prozesse für den Datenschutz zu schaffen, damit Ihr Unternehmen auf künftige Entwicklungen besser reagieren kann.
Fangen Sie deshalb heute noch an und setzen Sie DSGVO und CCPA um.
In diesem Artikel werden zwar bestimmte Rechtsbegriffe erörtert, dennoch handelt es sich nicht um eine Rechtsberatung im juristischen Sinn. Vielmehr dient der Artikel allein Informationszwecken. Für eine Rechtsberatung bezüglich der Compliance-Anforderungen an Ihr Unternehmen, wenden Sie sich bitte an die Rechtsabteilung Ihres Unternehmens. Okta macht keinerlei Zusicherungen, übernimmt keinerlei Gewährleistung oder keinerlei sonstigen Garantien für den Inhalt dieses Artikels. Information zu den vertraglichen Zusicherungen von Okta gegenüber Kunden finden Sie unter okta.com/agreements.