„Ich bin mit meinem Unternehmen nur im B2B-Bereich tätig. Deswegen tangiert mich die DSGVO doch nicht.“ Genau mit diesem Mythos soll heute aufgeräumt werden.

Mythos: Im B2B-Bereich gibt es gar keine personenbezogenen Daten. Richtig?

Keine personenbezogenen Daten im B2B-Bereich?

Noch immer ist es ein verbreiteter Irrglaube, dass die Bestimmungen der DSGVO nur dann Anwendung finden, wenn Verbraucher im Spiel sind, also im B2C-Bereich. Diese Annahme ist jedoch falsch. Die DSGVO unterscheidet nicht zwischen B2C oder B2B. Die Datenschutzgrundverordnung ist keine Verordnung zum Verbraucherschutz. Vielmehr sollen durch die Regelungen in der DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten geschützt werden. Sobald also in einem Unternehmen „personenbezogene Daten“ verarbeitet werden, und das ist z. B. schon der Name des Ansprechpartners eines Lieferanten, müssen die Anforderungen des europäischen Datenschutzes beachtet werden.
Dementsprechend sind auch Unternehmen, die nur im B2B-Bereich tätig sind, verpflichtet, stets darauf zu achten, dass Namen von Kunden, Lieferanten und anderen Geschäftskontakten, datenschutzkonform verarbeitet werden.

Augen auf beim Beschäftigtendatenschutz

Aber Achtung! Nicht nur die Daten von Kontaktpersonen außerhalb des Unternehmens müssen der DSGVO-entsprechend behandelt werden. Häufig wird vergessen, dass es sich auch bei den Daten von Angestellten um personenbezogene Daten handelt. Stichwort: Arbeitnehmerdatenschutz! Zu diesem Bereich zählen nicht nur die Daten der Mitarbeiter. Auch Bewerberdaten müssen entsprechend der Vorschriften der DSGVO verarbeitet werden

Was sind denn nun „personenbezogene Daten“?

Im Rahmen der Umsetzung der Bestimmungen der DSGVO ist es wichtig, die Basics zu kennen. Die Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen wird durch die DSGVO europaweit harmonisiert.

Legaldefinition

Der Begriff „personenbezogene Daten“ wird in Art. 4 Nr. 1 DSGVO legal, d. h. gesetzlich, definiert. Demnach sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen“. Diese Definition ist natürlich weit gefasst und trifft keine pauschale Aussage, was denn genau ein personenbezogenes Datum ist. Vielmehr muss erst noch geklärt werden, was eine „natürliche Person“ ist und was diese Person dann „identifiziert“ oder „identifizierbar“ macht.

Was ist eine „Natürliche Person“?

In der Juristerei spricht man von einer „natürlichen Person“ immer dann, wenn es um eine lebende Person, also einen Menschen geht. Was heißt das nun im Zusammenhang mit der DSGVO? Die DSGVO ist eine EU-Verordnung, die weltweit wirksam ist. Ausschlaggebendes Kriterium ist lediglich, dass es sich um die Verarbeitung von Daten von EU-Bürgern handeln muss.

Was heißt identifiziert oder identifizierbar?

Als „identifiziert“ wird eine Person dann bezeichnet, wenn entsprechende Daten unmittelbar mit einer Person verbunden sind oder sich leicht ein solcher Bezug herstellen lässt. Beispiel: „Frau Becker wohnt in der Semmelstraße 12“.

Wenn sich mit einem Datum der Bezug zu einer Person nicht direkt herstellen lässt, aber mit Zusatzwissen oder Zusatzinformationen herauszufinden ist, um welche Person es sich handelt, dann spricht man von einer identifizierbaren Person. Als Beispiel kann hier die Kundennummer bei einem Online-Shop genannt werden. Durch die Kundennummer ist zwar nicht sofort klar, um welche Person es geht, die Kundennummer kann aber einer bestimmten Person zugeordnet werden.

Und was genau sind denn alles personenbezogene Daten?

Betroffen sind alle Daten, durch die ein Personenbezug hergestellt werden kann. Gem. Art. 4 Nr. 1 DSGVO sind das solche Daten, die die Zuordnung einer Person “zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”, zulassen.

Daten, wie
• Name
• Adresse
• Telefonnummer
• Kreditkarten- oder Kontodaten
• Autokennzeichen und andere Fahrzeugdaten, wie Fahrgestellnummer
• IP-Adresse
sind zu personenbezogenen Daten zu zählen.

Aber auch visuelle Daten, wie Fotos oder Videos, sind personenbezogene Daten, genauso wie Angaben über Staatszugehörigkeit oder Vereinsmitgliedschaften.

Besondere Kategorien personenbezogener Daten

Einen speziellen Bereich stellen die besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO dar. Das sind beispielsweise Daten, durch die Rückschlüsse auf die ethnische Herkunft, politische Einstellung, sexuelle Orientierung, Gesundheitsstatus usw., einer Person möglich sind. Solche Daten werden besonders geschützt und deren Verarbeitung ist nur unter strengen Voraussetzungen erlaubt.

Fazit

In jedem Unternehmen, egal ob im B2B- oder im B2C-Bereich, werden personenbezogene Daten verarbeitet. Um die Umsetzung der DSGVO-Bestimmungen kommt man somit nicht herum. Das Team der SiDIT GmbH begleitet seit Jahren erfolgreich Unternehmen dabei, das Thema Datenschutz praxisnah und -tauglich anzupacken.
Lassen auch Sie sich von der Arbeitsweise der Datenschutzprofis der SiDIT GmbH überzeugen!

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Kein Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.