Welche personenbezogenen Daten dürfen wir überhaupt verarbeiten?

Viele Unternehmen fragen sich zu Beginn ihrer Datenschutz-Umsetzung: Welche Daten dürfen wir eigentlich speichern und nutzen – und welche nicht? Die Antwort liefert die DSGVO, die klar zwischen zulässigen und unzulässigen Verarbeitungen unterscheidet.

 

Definition personenbezogener Daten

Nach Art. 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu gehören:

  • Basisdaten: Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail.
  • Mitarbeiterdaten: Personalnummern, Arbeitszeiten, Gehaltsinformationen.
  • Kundendaten: Bestellhistorien, Bankverbindungen, Kommunikationsdaten.
  • Online-Daten: IP-Adressen, Cookies, Standortdaten, Tracking-Informationen.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) genießen einen verschärften Schutz. Dazu gehören etwa Gesundheitsdaten, biometrische Daten, politische Meinungen, Gewerkschaftszugehörigkeit oder religiöse Überzeugungen.

 

Grundprinzip: Erlaubnisvorbehalt

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist durch eine Rechtsgrundlage erlaubt. Diese Grundsätze (Art. 6 DSGVO) sind zentral:

  • Einwilligung: Die betroffene Person stimmt der Verarbeitung ausdrücklich zu (z. B. Newsletter-Anmeldung).
  • Vertragserfüllung: Verarbeitung ist notwendig, um einen Vertrag zu erfüllen (z. B. Versandadresse für eine Bestellung).
  • Rechtliche Pflicht: Verarbeitung zur Erfüllung gesetzlicher Vorgaben (z. B. Aufbewahrung von Rechnungen).

Berechtigtes Interesse: Verarbeitung ist erforderlich, um berechtigte Interessen des Unternehmens oder Dritter zu wahren – sofern nicht die Interessen der Betroffenen überwiegen (z. B. IT-Sicherheit, Direktwerbung an Bestandskunden).

 

Praktische Beispiele

  • Zulässig: Lohnabrechnung für Mitarbeiter (Pflicht nach Arbeits- und Steuerrecht).
  • Zulässig: Kundendaten für den Versand von Waren.
  • Nicht zulässig: Speicherung von Gesundheitsdaten ohne Rechtsgrundlage.
  • Nicht zulässig: Weitergabe von Kundendaten an Dritte zu Werbezwecken ohne Einwilligung.

 

Risiken bei unzulässiger Verarbeitung

  • Hohe Bußgelder (bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes).
  • Vertrauensverlust bei Kunden, Mitarbeitern und Geschäftspartnern.
  • Reputationsschäden durch Datenschutzvorfälle.

 

Fazit

Unternehmen dürfen personenbezogene Daten nur verarbeiten, wenn eine klare Rechtsgrundlage besteht. Die Einhaltung der DSGVO schützt nicht nur vor Strafen, sondern stärkt auch das Vertrauen in das Unternehmen.

 

Wir prüfen gemeinsam mit Ihnen, welche Daten Sie rechtssicher verarbeiten dürfen – und helfen, Risiken zu vermeiden. Kontaktieren Sie uns für ein kostenfreies Erstgespräch.

👉 Kontaktieren Sie uns für ein kostenfreies Erstgespräch zur DSGVO

✉ Kostenloses Erstgespräch

 

Wir sind Experten für Datenschutz und IT-Sicherheit – seit 2003

Unsere erfahrenen Spezialisten unterstützen Sie unter anderem bei:

– der Einführung und Beachtung von DSGVO, BDSG und TTDSG
– der Umsetzung von ISO 27001, TISAX, PCI-DSS oder NIS-2
– der Vorbereitung auf Audits und Zertifizierungen

 

tec4net GmbH – Datenschutz und IT-Sicherheit praktikabel umsetzen.

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com

 

Alle unsere NEWS -> http://news.tec4net.comhttps://x.com/tec4net