Inbound Marketing Blog

DSGVO – So definieren sich personenbezogene Daten

DSGVO – So definieren sich personenbezogene Daten
10:43
 

 

AdobeStock_©-IBEX.Media_667602333_900x527px-1

Ob soziale Medien, staatliche Institutionen oder private Unternehmen: Sie alle sammeln und speichern täglich eine unberechenbar große Menge an personenbezogenen Daten. Und diese unterliegen dem aktuellen Datenschutz. Die Datenschutzgrundverordnung, welche seit Mai 2018 wirksam ist, soll deshalb persönliche Daten besser schützen und versieht Verstöße gegen die Datensicherheit mit hohen Sanktionen. Und gerade deshalb sollten Unternehmen sich darüber informieren, was genau unter den Begriff “personenbezogene Daten” fällt. Denn obwohl deren Definition im Gesetz theoretisch festgelegt ist, ist die Auslegung in der Praxis oft undurchsichtig und komplex.

Persönliche Daten sind ein Grundwert der Digitalisierung

Inbound Marketing ist auf die Verarbeitung persönlicher Daten ausgelegt.
Wir können sie als Währung der Inbound Methodik bezeichnen. 

Durch die Datenschutzgrundverordnung wird die Arbeit mit diesen Daten allerdings stark beeinflusst: Umfassende Kontrollmaßnahmen und gesetzliche Vorgaben sorgen dafür, dass persönliche Daten eines verarbeitenden Systems - und natürlich die zugehörigen Personen - geschützt bleiben. Das ist die Kernidee der DSGVO.
Und das ist gut so…

Der maßgeblich Artikel 2 der DSGVO besagt:

[Die] Datenschutzgrundverordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht-automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Sind Sie bereit für die DSGVO? Prüfen Sie es mit unserer Checkliste!

Personenbezogene Daten: Die eindeutige Definition

Gesetzlich definiert wird der Begriff personenbezogene Daten in Artikel 4 der DSGVO als:

… alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen

Klingt das noch sehr nach Beamtensprache, wird §46, Absatz 1 des Bundesdatenschutzgesetzes schon etwas konkreter:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse aller bestimmten oder bestimmbaren natürlichen Personen.
(Alternativ auch oft als Betroffene bezeichnet).

Doch auch hier fragt man sich, welche Kriterien Personen als natürlich sowie
bestimmt (identifiziert) oder bestimmbar (identifizierbar) klassifizieren.

Schauen wir uns daher den Kern dieser gesetzlichen Bestimmungen etwas genauer an:

1. Grundvoraussetzung - Natürliche Person

Daten gelten nur dann als personenbezogen, wenn sie sich auf eine natürliche Person beziehen. Natürlich ist dabei jede lebende Person - unabhängig von ihrer Herkunft. 

2. Globaler Ansatz für alle EU-Mitglieder

Auch wenn es sich bei der DSGVO um eine EU-weit eingeführte Verordnung handelt, gelten ihre Bestimmungen weltweit. Ausschlaggebend ist lediglich die Verarbeitung der Daten von EU-Bürgern.

3. Abspaltung von Rechtsformen

Juristische Personen wie Gesellschaften, Vereine oder Stiftungen fallen nicht unter die Definition und sind damit nicht durch die DSGVO geschützt.

4. Ausnahmen

Der Schutz von Daten verstorbener Personen fällt gemäß dem Erwägungsgrund 27 nicht unter die Richtlinien der DSGVO.
Eine staatsinterne Vorschrift mittels des Bundesdatenschutzgesetzes (BDSG) wurde hierfür nicht vorgenommen.

5. Spezifikation - Identifizierte oder identifizierbare Personen

Der Begriff identifiziert wird hier gleichgesetzt mit bestimmt.
Und der Begriff identifizierbar mit bestimmbar.

In diesem Zusammenhang sollten sich Unternehmen also immer die Frage stellen, ob eine gegebene Information einer bestimmten Person zuzuordnen ist oder ob dies mit Zusatzinformationen möglich wäre.

  • Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann.
  • Ist dies nicht direkt, jedoch mit Zusatzwissen möglich, handelt es sich um eine identifizierbare Person. 
  • Dieses Zusatzwissen müssen Sie nicht zwangsweise selbst besitzen, es kann auch von Drittpersonen kommen.

Verstoß gegen die DSGVO? Mit diesen Sanktionen müssen Sie rechnen

Übrigens:

  • Vor allem bei Personen in sensiblen Ämtern kann ein Personenbezug häufig nicht hergestellt werden.
  • Ebenso, wenn die bestimmte Information unter eine religiöse, ärztliche oder juristische Schweigepflicht fällt.

DSGVO Checkliste jetzt kostenfrei downloaden

 

Personenbezogene Daten: Was zählt alles dazu?

Grundsätzlich fallen alle Daten unter die personenbezogenen Daten, mit deren Hilfe ein solcher Personenbezug hergestellt werden kann.

Artikel 4 der DSGVO spricht dabei von der Zuordnung einer Person:
zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Klassisch gehören dazu also:

  • Name
  • Adresse
  • Telefonnummern
  • Autokennzeichen
  • Kreditkartennummern 
  • Kontodaten und allgemeine Finanzdaten
  • Online-Daten wie IP-Adresse oder E-Mail Adresse
  • Standortdaten
  • Personaldaten, inklusive Personalnummer
  • biometrische Daten (wie Scans einer Gesichtserkennung oder Videoaufnahmen)
  • Gesundheitsdaten oder gespeicherte Fingerabdrücke
    (die z.B. im neuesten Personalausweis festgehalten sind)

Unter die DSGVO fallen also alle Daten, die eindeutig zugeordnet werden können. Und so zählen eben auch physische Daten, wie das Aussehen zu den personenbezogenen Daten.

Darüber hinaus sind es Sachverhalte wie die Staats- oder Religionszugehörigkeit oder eine Mitgliedschaft in einem Verein.

Bei anonymisierten Daten ist die betroffene Person weder identifiziert noch identifizierbar.
Oder auch, wenn ursprünglich personenbezogene Daten so anonymisiert wurden, dass eine Identifizierung nicht mehr möglich ist.
Eben dann zählen sie nicht zu den personenbezogenen Daten.
Dies ist zum Beispiel bei einer politischen Wahl der Fall.

Aber Achtung:
Sogenannte pseudonymisierte Daten fallen unter die personenbezogenen Daten,
sobald Zusatzwissen vorliegt, mit dessen Hilfe die Daten wieder der ursprünglichen Person zugeordnet werden könnten. 

Externe Inhalte DSGVO-konform anbieten? Nutzen Sie die Shariff Lösung!

Ausdehnung des Begriffs durch technische Entwicklungen

Die fortschreitende Entwicklung von Datenanalyse- und KI-Technologien erhöht die Möglichkeiten zur Identifizierung von Personen.
Das bedeutet, dass auch zukünftig mehr Daten als personenbezogen eingestuft werden können. 

Die modernsten Technologien können schon jetzt komplexe Muster in großen Datensätzen erkennen und nutzen, um Verbindungen herzustellen, die vorher nicht offensichtlich waren. Beispielsweise kann durch maschinelles Lernen aus scheinbar anonymen Daten eine Identität rekonstruiert werden. Stichwort Algorithmus.

Auch Technologien zur Gesichtserkennung und andere biometrische Systeme verbessern kontinuierlich ihre Genauigkeit, was die Erkennung und Verknüpfung von physischen Merkmalen mit individuellen Identitäten erleichtert. Vieles wird noch kommen. Sicher ist:

Jede Erweiterung der Möglichkeiten wirkt sich auch wirksam auf die DSGVO aus.

Personenbezogene Daten in der praktischen Anwendung

Wir haben es bereits zu Anfang erwähnt und daran kann auch die DSGVO nichts ändern:

Inbound Marketing, Inbound Sales, digitaler Service - die gesamte Grundlage der Digitalisierung ist auf die Verarbeitung persönlicher Daten ausgelegt.
Diese persönlichen Daten - gerade im Austausch gegen qualifizierte Informationen oder Dienste - sind die Währung des kundenzentrierten Arbeitens und des Konzeptes Inbound

Wie sollen also Unternehmen mit dem Dilemma umgehen?

Was die DSGVO allem voran fordert, ist die Transparenz gegenüber Prospects, Kunden und allen anderen Kontakten, deren Daten Sie erfassen.
Dafür müssen

  • alle eingesetzten Werkzeuge (Cookies, Tracking-Tools, etc.) benannt und 
  • mit einem Einverständnis Ihrer Kontakte versehen sein. 

  • Die Einwilligung - Opt-In genannt - und alle Daten müssen dokumentiert werden 
  • und auf einem sicheren Server verwahrt und gegen Angriffe geschützt sein.

  • Eine Speicherung und Verarbeitung von Daten darf aber schon ab dem ersten Kontakt erfolgen, begründet durch ein sogenanntes 
  • berechtigtes Interesse, welches Unternehmen verfolgen, sobald personenbezogene Daten für Zwecke der Direktwerbung verarbeitet werden.

  • Und schließlich müssen Vorkommnisse - wie z.B. Datendiebstahl oder Sicherheitsbrüche - umgehend gemeldet werden. 

Die Ziele:
Kundenbeziehungen von Anfang an rechtssicher aufzubauen,
die Rechte der natürlichen Personen zu wahren und
den Geschäftserfolg damit rechtskonform voranzutreiben.

Einwilligung bei der DSGVO - Das Opt-In und Double-Opt-In Verfahren

Eine rechtssichere Vorgehensweise basiert auch auf der konzeptionellen Legitimation: 

  • B2B Unternehmen definieren deshalb genau ihre Absichten an Hand des vorhandenen Geschäftsmodells. 
  • Sie arbeiten mit Ideal-Bildern ihrer Wunschkunden und entwickeln Ideal Customer Profiles (ICPs), um berechtigte Interessen auf Unternehmensebene abzubilden. 
  • Eine Ebene darunter bilden Buying Center Entscheider-Gruppen ab und Buyer Personas stellen die jeweiligen Einzelpersonen in diesen Gruppen dar. 

Das hat Auswirkungen, auch auf die Ansprache potenzieller Neukunden:

Einzig Inhalte und Angebote, die auf die Probleme und Fragen von Wunschkunden ausgerichtet sind, dabei Ihr Geschäftsmodell abbilden sowie transparente Vorgehensweisen bei der Datensammlung und Erfassung liefern sind glaubwürdig und bilden soliden Schutz gegen DSGVO-Verstöße.


Fast überflüssig zu erwähnen, dass hier ein DSGVO-konformes CRM-System unabdingbar wird. 

Erfüllt Ihr CRM die Anforderungen der Datenschutz Grundverordnung?

Und dass eine leistungsfähige Inbound-Software Ihnen hier automatisiert unter die Arme greifen kann.  

DSGVO umsetzen: Diese HubSpot-Features helfen dabei!

Diesen Artikel können Sie auch gerne anhören: 

Folge 6: DSGVO – So definieren sich personenbezogene Daten
2024-09-12  15 min
Folge 6: DSGVO – So definieren sich personenbezogene Daten
Digitalize or Die – der Podcast für Marketing, Vertrieb und Kundenservice
Play

 

Fazit

Unser Artikel sollte es gezeigt haben:
Personenbezogene Daten gehen weiter, als so mancher vielleicht gedacht hätte.
Dabei ist dieses Wissen gerade in Bezug auf die Datenschutz Grundverordnung (DSGVO) enorm wichtig. 

Nur die Unternehmen, die alle betroffenen Daten rechtssicher sammeln und entsprechend schützen, sind vor Sanktionen sicher und können weiterhin von der Verarbeitung persönlicher Daten profitieren.

Übrigens schließen sich Inbound Marketing und Datenschutz nicht aus – im Gegenteil. Erfahren Sie hier mehr dazu:

Die Digitalisierung von Geschäftsprozessen DSGVO konform umsetzen


Über alles Beschriebene hinaus stellt sich die Frage:

Datenschutz? Klar. - Aber was brauchen Unternehmen noch?

Die Digitalisierung ist nach wie vor ein komplexer Vorgang. Sind Sie darauf vorbereitet?
All-in-One-Lösung: Die Digitalisierung von Geschäftsprozessen angehen

Wie gut sind zum Beispiel Ihre Kenntnisse zum Thema Sales Enablement

Sales Enablement bedeutet, es wird kontinuierlich sichergestellt, dass Unternehmen und ihre Vertriebsteams ausreichend gerüstet sind. Sowohl in Bezug auf die Optimierung von Vertriebsinhalten und im Zusammenhang mit Reporting und Analyse, als auch bezüglich  Automatisierung, Rechtssicherheit und Technologie. 
Hier erfahren Sie mehr darüber: Alles Wichtige zum Thema Sales Enablement

Vor allem anderen: Was können WIR noch für SIE tun?

Sie haben weitere Fragen zu personenbezogenen Daten, zur DSGVO oder generell zur Digitalisierung Ihrer Abteilungen Marketing, Vertrieb und Kundenservice? – Kein Problem!

Wir freuen uns sehr über jeden Beitrag, den LANGEundPFLANZ digital leisten kann, um Ihnen bei der Bewältigung der aktuellen Herausforderungen in Ihrem Unternehmen zu helfen. Deshalb bieten wir zu Fragen der Digitalisierung allen Unternehmen, die im B2B Bereich tätig sind, gerne eine kostenfreie Erstberatung an.

Buchen Sie sich einfach einen Termin in unserem Kalender
und wir kommen umgehend auf Sie zu.

Termin jetzt online buchen #Corona

 

Abschließend könnten diese Artikel Sie interessieren:

Und eine zusätzliche Strategie-Blaupause für die Digitalisierung von
Marketing, Vertrieb und Kundenservice finden Sie in diesem Interview:

Digitalisierung anpacken: Stufen vom Ist-Zustand zur digitalen Roadmap 



Rechtlicher Hinweis:

Die in diesem Artikel enthaltenen rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet.
Wir weisen deshalb darauf hin, dass Sie bei Beratungsbedarf über Ihre Auslegung dieser Informationen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten.
Sie dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.

 

Foto:  © IBEX.Media/AdobeStock.com

Themen: DSGVO