Datenschutzbeauftragter
Nach § 3 Abs. 1 Bundesdatenschutzgesetz sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:
- Name, Alter, Familienstand, Geburtsdatum
- Anschrift, Telefonnummer, personalisierte E-Mail Adresse
- Konto-, Kreditkartennummer
- Kraftfahrzeugnummer, Kfz-Kennzeichen
- Personalausweisnummer, Sozialversicherungsnummer
- Vorstrafen, Werturteile wie zum Beispiel Zeugnisse
- genetische Daten und Krankendaten
Kundendaten
Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.
Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten. Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.
Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.
Verarbeitung
Nach § 4f Bundesdatenschutzgesetz (BDSG) müssen Daten verarbeitende Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten und damit in der Regel mehr als 9 Personen ständig beschäftigen. Gleiches gilt bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten auf andere Weise, wenn hiermit in der Regel mindestens zwanzig Personen beschäftigt sind. Bei der Berechnung der Personenzahl werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung der nicht-öffentlichen Stelle zugreifen.