Personenbezogene Daten erheben – Auf der sicheren Seite sein
28.05.2023
Inhaltsverzeichnis
- 1. Was sind personenbezogene Daten - ganz einfach erklärt?
- 2. Was fällt nicht unter den Begriff personenbezogene Daten?
- 3. Was sind personenbezogene Daten und was sind sensible Daten?
- 4. Darf ich dann überhaupt personenbezogene Daten erheben – und was muss ich beachten?
- 5. Optionale Felder in Kontaktformularen und personenbezogene Daten
- 6. Gilt das auch für meinen Newsletter?
- 7. Und wie sieht das in der Praxis aus?
Als Selbständige und Unternehmer wollen wir natürlich so viel wie möglich über unsere Kunden und Interessenten wissen. Wie heißen sie? Wo wohnen sie? Wann haben sie Geburtstag? Und welche Themen beschäftigen sie gerade? All das hilft uns nicht nur, mit ihnen in Kontakt zu bleiben, sondern auch, sie möglichst gezielt anzusprechen und unsere Angebote zu platzieren. Wenn Sie sich auch bereits damit beschäftigt haben, wie Sie am besten an diese Informationen kommen, sind Sie dabei sicherlich schnell auf den Begriff „personenbezogene Daten“ gestoßen. Aber was genau hat es mit diesen mysteriösen Daten auf sich? Was dürfen Sie abfragen – und was nicht? Und wie können Sie DSGVO-konform handeln, um Bußgelder zu vermeiden? All das schauen wir uns im Folgenden gemeinsam an.
Wenn Sie bereits auf Seite drei der Google-Suchergebnisse unterwegs waren und immer noch nicht ganz genau wissen, was denn nun zu den personenbezogenen Daten gehört, ist das absolut kein Wunder. Es kursieren die verschiedensten Definitionen – aber letztlich lassen diese sich alle kurz und knackig wie folgt zusammenfassen: Personenbezogene Daten sind alle Informationen, die es ermöglichen, eine Person eindeutig zu identifizieren oder von anderen Personen zu unterscheiden. Dazu gehört zum Beispiel der Name, die Adresse, das Geburtsdatum, die E-Mail-Adresse, die Telefonnummer, die IP-Adresse und alles andere, was Rückschlüsse auf die Person zulässt.
Nun könnte man leicht meinen, dass damit so ziemlich alle Informationen ein Problem für den Datenschutz darstellen. Doch es gibt Ausnahmen, denn nicht alles davon kann direkt auf eine bestimmte Person bezogen werden und fällt damit auch nicht unter den Begriff der personenbezogenen Daten. Dazu zählt zum Beispiel eine Handelsregisternummer oder eine allgemeine Emailadresse wie info@unternehmen.com.
Nachdem wir nun geklärt haben, was personenbezogene Daten generell sind, ist es noch wichtig, die Unterscheidung zu sensiblen Daten herzustellen. Informationen, die als besonders sensibel eingestuft werden sind unter anderem Gesundheitsdaten, sexuelle Orientierung, politische Einstellungen, Religion oder ethnische Herkunft. Diese Daten werden als sensible Daten bezeichnet, da ein hohes Risiko für Diskriminierung oder Missbrauch besteht und sie daher besonders schützenswert sind.
Bei dieser Frage kommt die Informationspflicht nach Art. 13 der DSGVO ins Spiel. Die DSGVO schreibt vor, dass Unternehmen, die personenbezogene Daten erheben, die betroffenen Personen darüber informieren müssen. Wie genau diese Information aussieht, ist in Art 13 DSGVO festgelegt und umfasst unter anderem den Zweck der Datenverarbeitung, die Kategorien von personenbezogenen Daten, die Empfänger der Daten und die geplante Dauer der Speicherung. Unternehmen müssen diese Informationen in klarer und verständlicher Sprache bereitstellen und sicherstellen, dass sie leicht zugänglich sind. Wenn Sie also eine ausführliche Datenschutzerklärung auf Ihrer Website haben, die all diese Punkte beinhaltet und die jederzeit eingesehen werden kann, machen Sie damit einen großen Schritt in die richtige Richtung.
Doch was ist mit all den Interessenten und Kunden, die nicht über die Website kommen? Auch diese Menschen müssen darüber Bescheid wissen, was mit Ihren Daten passiert. Es muss zwar nicht immer direkt ein unterschriebenes Formular sein, doch es gibt gewisse Punkte, die Sie beachten müssen, um auf der sicheren Seite zu sein. Wie genau das funktioniert, zeigen wir Ihnen gerne – sprechen Sie uns einfach an!
Übrigens, egal ob on- oder offline: Sie sollten immer darauf achten, dass Sie wirklich nur die Daten erheben, die Sie zwingend benötigen. Bei allem, was darüber hinausgeht, muss der Kunde wissen, wofür Sie die weiterführenden Informationen gerne hätten und wie Sie diese verwenden. Ein schönes Beispiel ist das einer Optikerin, die das Geburtsdatum ihrer Kunden benötigt, da sie bei den gemessenen Werten das Alter berücksichtigen muss. Da hierfür jedoch der Jahrgang ausreicht, darf sie nur das Geburtsjahr verpflichtend abfragen – Tag und Monat darf sie nicht erheben. Diese Angabe geht damit über den Auftrag hinaus und darf nur mit gesonderter Einwilligung erhoben werden.
Kontaktformulare sind ein wichtiges Instrument für Unternehmen, um mit Kunden und Interessenten in Kontakt zu treten und Informationen zu sammeln. Wenn wir das anwenden, was wir bisher in diesem Artikel gelernt haben, wissen wir, dass hier nur die Informationen abgefragt werden dürfen, die zwingend zur Kontaktaufnahme nötig sind. Doch was ist, wenn die Person am anderen Bildschirm Ihnen gern mehr Informationen geben möchte? Das lässt sich über sogenannte „Optionale Felder“ lösen, in denen zusätzliche Angaben gemacht werden können. Diese müssen jedoch nicht ausgefüllt werden, um das Formular abzusenden.
Wenn wir es wieder anhand des Geburtstags-Beispiels durchgehen, würde ihr Kontaktformular in diesem Fall 3 verpflichtende Felder beinhalten: Name, Emailadresse und ein Freitextfeld. Diese Angaben brauchen Sie, um das Anliegen der anderen Person zu kennen und sich darauf zurückmelden zu können. Wenn Sie zusätzlich gerne den Geburtstag abfragen möchten, um eine Grußkarte zu verschicken, tun Sie dies über ein optionales Feld und fügen den Vermerk hinzu „Wenn wir Ihnen auch zum Geburtstag gratulieren dürfen, können Sie hier gerne noch Ihr Geburtsdatum eintragen.“ Somit ist die Angabe des Geburtstags nicht zwingend nötig, um das Kontaktformular abzusenden – und die ausfüllende Person weiß genau, was Sie mit dieser zusätzlichen Information vorhaben.
Machen wir noch einen letzten kleinen Exkurs im Reich der personenbezogenen Daten in das weite Feld der Newsletter. Beim Anmeldeformular Ihres Newsletters können Sie es genauso handhaben wie bei dem eben erwähnten Beispiel des Kontaktformulars: Fragen Sie nur die personenbezogenen Daten ab, die Sie unbedingt benötigen, um Ihren Newsletter versenden zu können. Alles, was darüber hinausgeht, muss zum einen optional sein und zum anderen müssen Sie erklären, wozu Sie die Daten erheben.
Nachdem Sie sich die Einwilligung der Empfänger für den Newsletter-Versand abgeholt haben (hier spricht man von einem sogenannten Double-Opt-In-Verfahren), dürfen Sie die personenbezogenen Daten, die Sie erhoben haben, auch nur für den Zweck verwenden, den Sie vorher angegeben haben. Zudem müssen sie den Empfängern eine einfache Möglichkeit bieten, sich vom Newsletter abzumelden und ihre Daten wieder löschen zu lassen. Was Sie außerdem auch immer sicherstellen sollten, ist, dass Sie die personenbezogenen Daten sicher speichern und vor unbefugtem Zugriff schützen. Wenn Sie dies beachten, sind Sie auch bei Ihrem Newsletter sicher unterwegs, wenn es um personenbezogene Daten geht!
Nun sind Sie bereits mit jeder Menge Fachwissen gerüstet, um sicher und vertrauensvoll mit den personenbezogenen Daten umzugehen, die Sie in Ihrem Arbeitsalltag erheben. Das Ganze in der Praxis umzusetzen ist zwar kein Hexenwerk, wirft aber erfahrungsgemäß doch oft noch die ein oder andere Frage auf. Haben Sie noch Fragen – oder wollen Sie beim Thema der personenbezogenen Daten einfach auf Nummer sicher gehen? Dann sind wir gerne für Sie da! Buchen Sie sich hier Ihr unverbindliches Erstgespräch:
Sie haben Fragen zu diesem Thema oder wollen Ihr Unternehmen generell DSGVO-fit machen? Nehmen Sie einfach hier Kontakt mit uns auf!
„Wir sind die Ersten im Datenschutzdschungel, die ausschließlich auf Solo- und Kleinunternehmen spezialisiert sind und es gemeinsam mit ihnen innerhalb von 4 Stunden einfach und verständlich umsetzen!
Bereits seit 1991 schützen wir unsere Kunden vor Datenverlusten!“
Haben Sie diese Artikel bereits gelesen?