Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 ist „personenbezogene Daten“ ein Modewort geworden. Deine Mitarbeiter wissen wahrscheinlich, dass es wichtig ist, auf sichere Weise mit personenbezogenen Daten umzugehen. Aber vielleicht wissen sie nicht, was sie dafür genau tun müssen.
In diesem Blog-Post werden wir näher darauf eingehen, was personenbezogene Daten sind, welche Arten personenbezogener Daten es gibt und wie man vorgeht, wenn verschiedene Arten personenbezogener Daten gleichzeitig vorliegen.
Warum ist es wichtig?
Da die DSGVO seit einigen Jahren eingeführt wird, hat der Aufwand für den falschen Umgang mit personenbezogenen Daten zugenommen. Gleiches gilt für die Summe der Geldbußen, die bis zu 4% des weltweiten Umsatzes eines Unternehmens ausmachen können. Der unsichere Umgang mit personenbezogenen Daten kann jedoch auch zu Identitätsdiebstahl, Finanzbetrug, Verletzung der Privatsphäre oder nachteiligen Auswirkungen auf Ihr Unternehmen führen.
Personenbezogene Daten in aller Kürze
Personenbezogene Daten lassen sich kurz als Informationen beschreiben, die verwendet werden können, um eine bestimmte Person zu identifizieren. Dazu zählen Informationen wie Name, Adresse, Kfz-Kennzeichen, eine Stellenbewerbung oder ein Foto einer Tätowierung. Es ist ein sehr weitgefasster Begriff, weshalb diese Informationen durch eine Aufteilung in entweder allgemeine oder sensible personenbezogene Daten näher bestimmt werden.
Allgemeine personenbezogene Daten
Zu den allgemeinen personenbezogenen Daten können persönliche Identifikationsangaben wie etwa die folgenden zählen:
-
Name
-
Adresse
-
Handynummer
-
Geburtsdatum
-
Beruf
Sensible personenbezogene Daten
Wenn personenbezogene Daten als sensibel eingestuft werden, sind die Vorschriften der DSGVO für den Umgang mit ihnen viel strenger, da eine unangemessene Behandlung solcher Daten erheblichere Konsequenzen haben kann. Darum ist es wichtig, dass deine Mitarbeiter in der Lage sind, sensible personenbezogene Daten zu erkennen und besonders vorsichtig mit ihnen umzugehen. Die meisten sensiblen personenbezogenen Daten können in eine der folgenden Kategorien eingeordnet werden:
-
Ethnie bzw. ethnische Zugehörigkeit
-
Politische, religiöse oder philosophische Ansichten
-
Mitgliedschaft in einer Gewerkschaft
-
Genetische Daten/biometrische Daten (z. B. Fingerabdrücke)
-
Gesundheitsinformationen
-
Sexuelle Beziehungen oder sexuelle Orientierung
Vielen werden diese Kategorien selbstverständlich erscheinen, aber es gibt ein paar überraschende Beispiele. Eine Sozialversicherungsnummer etwa gilt nicht als sensible Information. Die Sozialversicherungsnummer gehört einer dritten Kategorie an – nämlich vertraulichen personenbezogenen Daten. Diese gelten zwar nicht als sensible personenbezogene Daten, der Umgang mit ihnen unterliegt aber in manchen Ländern eigenen Regulierungen.
Gemischte personenbezogene Daten
Die Anforderungen der DSGVO können unklar erscheinen, wenn du beispielsweise ein Dokument erhältst, das sowohl allgemeine als auch sensible und vertrauliche Daten enthält. Normalerweise kannst du schnell herausfinden, wie du Informationen verarbeitest, wenn du gut darin bist, sensible personenbezogene Daten zu erkennen. Nimm zum Beispiel einen Lebenslauf. Die meisten Informationen in einem Lebenslauf wie etwa Name, Adresse, Telefonnummer, Alter und Berufserfahrung können als allgemeine personenbezogene Daten eingeordnet werden. Gleichzeitig können manche Informationen zur Ausbildung und zu früheren Arbeitgebern auch als vertrauliche Informationen gelten. Eine Faustregel für deine Mitarbeiter ist, dass sie in solchen Situationen zuerst die sensiblen personenbezogenen Daten identifizieren sollten. Wenn du auch nur einen einzigen Fall sensibler Daten findest, muss das gesamte Dokument als sensible personenbezogene Daten behandelt werden. Dadurch wird vermieden, dass du alle personenbezogenen Daten einzeln verarbeiten musst.
Der Umgang mit personenbezogenen Daten
Je nach der Kategorie, zu der die personenbezogenen Daten zählen, enthält die DSGVO auch Regeln für die Situationen, in denen sie verarbeitet werden dürfen. Wir werden in diesem Blog-Post nicht weiter auf diese Regeln eingehen, aber falls du Interesse hast, kannst du in den DSGVO-Richtlinien selbst viel mehr darüber erfahren. Das wird dir helfen sicherzustellen, dass du die Regulierungen nicht selbst verletzt, und zu erkennen, ob Organisationen die erforderlichen Berechtigungen haben, um deine eigenen personenbezogenen Daten zu verarbeiten.
Tipps zum Umgang mit personenbezogenen Daten
Obwohl es entmutigend erscheinen mag, Änderungen in Ihre Gewohnheiten und Ihre Arbeitsroutine einzubeziehen, kann es einen langen Weg gehen, sich nur an drei einfache Schritte zu erinnern:
-
Wissen, wann Sie allgemein sensible personenbezogene Daten verarbeiten. Wenn es um sensible personenbezogene Daten geht, sollten Sie besonders darauf achten.
-
Behandeln Sie personenbezogene Daten als etwas, das Sie ausleihen. Kümmere dich darum, gib es zurück, wenn du fertig bist, und leihe es nicht an andere aus. Es bedeutet, es sicher aufzubewahren, es zu löschen, wenn Sie fertig sind, und es niemals an andere Personen weiterzugeben. Klicken Sie hier, um das Poster herunterzuladen.
-
Wenn Sie Zweifel haben, wie mit personenbezogenen Daten in Ihrer Organisation umgegangen werden soll, fragen Sie die verantwortliche Person, z. B. Ihren Datenschutzbeauftragten.
Was kann ich tun?
Das Wissen und die Sorgfalt deiner Mitarbeiter sind zentral für deine IT-Sicherheit. CyberPilot bietet Trainings an, in denen Mitarbeiter über IT-Sicherheit und gute Datenverarbeitung aufgeklärt und darin geschult werden. Mit guter Aufklärungsarbeit erreichst du ein höheres Sicherheitsniveau und gewährleistest eine gute Basis für die Einhaltung der DSGVO.