AB 08 — Personenbezogene Daten (DSGVO)
Theorie
Abschnitt betitelt „Theorie“Einleitung
Abschnitt betitelt „Einleitung“Personenbezogene Daten sind ein zentraler Bestandteil moderner Informationssysteme und stehen im Mittelpunkt des Datenschutzrechts. Organisationen, Schulen, Unternehmen und öffentliche Einrichtungen verarbeiten täglich Daten, die Rückschlüsse auf eine identifizierte oder identifizierbare Person zulassen. Der verantwortungsvolle Umgang mit solchen Daten ist essenziell, um die Privatsphäre zu schützen und gesetzliche Anforderungen – insbesondere den Datenschutz-Grundverordnung (DSGVO) – einzuhalten.
Dieses Kapitel vermittelt die Grundlagen dazu, was personenbezogene Daten sind, wie sie eingeteilt werden, welche Risiken bestehen und welche technischen sowie organisatorischen Maßnahmen einen sicheren Umgang unterstützen.
Definition personenbezogener Daten (nach DSGVO)
Abschnitt betitelt „Definition personenbezogener Daten (nach DSGVO)“Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt erkennbar ist – beispielsweise durch:
Name, Adresse, Geburtsdatum
Matrikelnummer, Kundennummer
Standortdaten, IP-Adresse
Online-Kennungen
Merkmale wie Aussehen, Stimme, biometrische Daten
Auch Kombinationen aus mehreren unspezifischen Angaben können eine Person identifizierbar machen.
Kategorien personenbezogener Daten
Abschnitt betitelt „Kategorien personenbezogener Daten“Normale personenbezogene Daten
Abschnitt betitelt „Normale personenbezogene Daten“Diese Daten erfordern keinen besonderen Schutz über die üblichen technischen und organisatorischen Maßnahmen hinaus. Beispiele:
Name, Vorname
Anschrift
Telefonnummer
schulische oder berufliche Zugehörigkeiten
E-Mail-Adresse
Besondere Kategorien personenbezogener Daten
Abschnitt betitelt „Besondere Kategorien personenbezogener Daten“Diese Art von Daten unterliegt einem erhöhten Schutz, da ein Missbrauch besonders schwerwiegende Folgen haben kann. Dazu gehören:
Gesundheitsdaten
genetische und biometrische Daten
politische Meinungen
religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
sexuelle Orientierung
Für die Verarbeitung solcher Daten gelten strenge Anforderungen (u. a. ausdrückliche Einwilligung).
Prinzipien der Datenverarbeitung
Abschnitt betitelt „Prinzipien der Datenverarbeitung“Die DSGVO definiert grundlegende Prinzipien, die jede Datenverarbeitung erfüllen muss:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben
Abschnitt betitelt „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben“Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage besteht (Einwilligung, Vertrag, gesetzliche Pflicht etc.).
Zweckbindung
Abschnitt betitelt „Zweckbindung“Daten dürfen nur für klar definierte und legitime Zwecke erhoben werden – und nicht darüber hinaus verwendet werden.
Datenminimierung
Abschnitt betitelt „Datenminimierung“Es dürfen nur solche Daten verarbeitet werden, die unbedingt notwendig sind.
Richtigkeit
Abschnitt betitelt „Richtigkeit“Daten müssen korrekt und aktuell gehalten werden.
Speicherbegrenzung
Abschnitt betitelt „Speicherbegrenzung“Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind.
Integrität und Vertraulichkeit
Abschnitt betitelt „Integrität und Vertraulichkeit“Daten müssen vor unbefugtem Zugriff, Verlust oder Veränderung geschützt werden.
Rechenschaftspflicht
Abschnitt betitelt „Rechenschaftspflicht“Organisationen müssen jederzeit nachweisen können, dass sie die Datenschutzprinzipien einhalten.
Rechte der betroffenen Personen
Abschnitt betitelt „Rechte der betroffenen Personen“Personen, deren Daten verarbeitet werden, haben folgende Rechte:
Auskunftsrecht: Welche Daten werden gespeichert?
Recht auf Berichtigung: Falsche Daten korrigieren lassen
Recht auf Löschung („Recht auf Vergessenwerden“)
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit
Widerspruchsrecht gegen die Verarbeitung
Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein
Die Rechte stärken die Selbstbestimmung über die eigenen Daten.
Risiken bei unsachgemäßer Verarbeitung
Abschnitt betitelt „Risiken bei unsachgemäßer Verarbeitung“Unsachgemäßer Umgang kann zu:
Identitätsdiebstahl
Profilbildung oder Überwachung
Diskriminierung
Rufschädigung
finanziellen Schäden
Verlust sensibler Daten
Bußgeldern für Organisationen
führen. Je sensitiver die Daten, desto höher das Risiko.
Technische und organisatorische Maßnahmen (TOMs)
Abschnitt betitelt „Technische und organisatorische Maßnahmen (TOMs)“Technische Maßnahmen
Abschnitt betitelt „Technische Maßnahmen“Verschlüsselung
Zugriffskontrollen (Passwörter, Rollenmodelle, Multifaktor-Authentifizierung)
Firewalls und Virenschutz
sichere Datenübertragung (HTTPS, VPN)
regelmäßige Backups
Datenminimierung und Pseudonymisierung
Organisatorische Maßnahmen
Abschnitt betitelt „Organisatorische Maßnahmen“Schulungen für Mitarbeitende
Datenschutzkonzepte und Richtlinien
klare Verantwortlichkeiten (z. B. Datenschutzbeauftragter)
Protokollierungen und Audits
sichere Aufbewahrung physischer Dokumente
8. Konkrete Beispiele personenbezogener Daten im Alltag
Abschnitt betitelt „8. Konkrete Beispiele personenbezogener Daten im Alltag“Schule / Bildung
Abschnitt betitelt „Schule / Bildung“Noten, Abwesenheiten
Fotos der Schüler
Lernplattform-Accounts
Geräte-IDs von Schul-Tablets
Arbeitswelt
Abschnitt betitelt „Arbeitswelt“Mitarbeiterakten
Arbeitszeitdaten
Lohninformationen
Zutrittsausweise
Digitale Welt
Abschnitt betitelt „Digitale Welt“Cookies und Tracking-Profile
Social-Media-Daten
GPS-Standorte
Cloud-Backups
Verantwortlichkeiten bei der Verarbeitung
Abschnitt betitelt „Verantwortlichkeiten bei der Verarbeitung“Jede Organisation muss klare Rollen definieren:
Verantwortlicher: Entscheidet über Zweck und Mittel
Auftragsverarbeiter: Verarbeitet Daten im Auftrag des Verantwortlichen
Betroffene Person: Die Person, deren Daten vorliegen
Datenschutzbeauftragter: Überwacht Einhaltung der DSGVO
Praktische Übung
Abschnitt betitelt „Praktische Übung“- Welche Daten gelten als „persönlich“?
Größe und Gewicht
Name
Marke des Autos
Kosename des Goldfisches
Sozialversicherungsnummer
Aktuelle IP-Adresse
Begründe, warum die Daten personenbezogen sind oder nicht.
Beispiel:
„Name“ → eindeutig identifizierende Information
„Kosename des Goldfisches“ → nur personenbezogen, wenn er zur Identifikation einer bestimmten Person genutzt wird
1b. Ordne jede Angabe einer Kategorie zu:
normale personenbezogene Daten
besondere personenbezogene Daten (Gesundheit, Religion, etc.)
nicht personenbezogen
- Wo muss man anfragen, um personenbezogene Daten verwalten zu dürfen?
Erstelle ein Mini-Flussdiagramm.
Beispiel: „Ich will Daten verarbeiten → brauche ich eine Genehmigung/Einewilligung?“
- Liste wenigstens drei Ausnahmefälle in denen man keine Genehmigung zur Verarbeitung und Speicherung personenbezogener Daten braucht.
Zu jedem Ausnahmefall ein realistisches Beispiel beifügen (z. B. „Vertragserfüllung → Online-Shop braucht Adresse für Lieferung“).
- Falls man eine Genehmigung hat oder keine braucht: Welche personenbezogenen Daten darf man sammeln?
Erklären sie:
Was heißt Datenminimierung?
Was wäre ein Verstoß gegen Datenminimierung?
- In welchen Fällen liegt ein klarer Verstoß vor? (Szenarien)
Begründen, warum / warum nicht ein Verstoß vorliegt
beschreiben, welcher DSGVO-Grundsatz verletzt wurde (Rechtmäßigkeit, Zweckbindung, Datenminimierung …)
eine korrekte Alternative aufschreiben
Josy ist Hotelier. Bei jeder telefonischen Reservierung fragt er den Kunden nach seiner Kreditkartennummer zwecks Sicherheit.
Nicolas muss heute zu einem Meeting im CRP Henry Tudor. An der Rezeption muss er sich namentlich auf eine Liste eintragen und bekommt ein Badge, bevor er weitergehen darf.
Der Sekretär des FC Rammeldange verwaltet alle Mitglieder in einer Excel Tabelle. Unter anderem findet man darin auch alle ihre Geburtsdaten wieder.
Auf der Seite des Einkaufszentrums MAS Karpone kann man live mit verfolgen welche Leute gerade welche online Bestellungen aufgegeben haben und wo sich die Lieferwagen der Firma derzeit befinden.
- Web-Server-Szenario: Polizei steht vor der Tür
Stell dir vor, du verwaltest einen Webserver, auf welchem du anderen Leuten Web-Space zur Verfügung stellst. Eines Tages klopft die Polizei an deine Tür und will dich wegen Verbreitung von raubkopierter Musik, welche sich auf deinem Server befinden soll, verhaften.
Woran solltest du bei der Installation deines Servers gedacht haben, um in einem solchen Fall deinen Kopf relativ einfach aus der Schlinge zu ziehen?
-
Liste die technischen Maßnahmen auf (z. B. Log-Trennung, IP-Tracking, Nutzertrennung)
-
Liste die organisatorischen Maßnahmen auf (z. B. AGB, Nutzungshinweise, Verantwortlichkeitsklärung)
-
Formuliere eine kurze Entlastungserklärung, die du hättest vorlegen können.
Beispiel:
„Mein Server arbeitet nach dem Shared-Hosting-Prinzip. Ich dokumentiere, welche Benutzer welchen Speicher nutzen. Ich überwache selbst keine Inhalte, leite aber Behördenanfragen korrekt weiter.“
- Mit welchen Konsequenzen muss man in Luxemburg bei Datenschutzverletzungen rechnen?
Da die Strafen teils komplex sind, ergänze:
Finde mindestens eine reale Strafe aus Luxemburg oder der EU.
Beschreibe:
Was ist passiert?
Welche Regeln wurden gebrochen?
Welche Strafe gab es?
Wie hätte man es verhindern können?
- Gib deine Informationsquellen an.
Kompetenzen
Abschnitt betitelt „Kompetenzen“| Abk. | Kompetenz | Punkte |
|---|---|---|
| K1 | Der Auszubildende ist in der Lage eine der Situation angepasste Verschlüsselungstechnik anzuwenden und Daten gesichert zu übertragen. | |
| K2 | Der Auszubildende ist in der Lage Gegenmaßnahmen für Malware einzusetzen. | |
| K3 | Der Auszubildende ist in der Lage die Integrität der Daten und die Authentizität von Personen und Servern zu überprüfen. | |
| K4 | Der Auszubildende ist in der Lage die Grundsätze des Urheberrechts zu beschreiben. | |
| K5 | Der Auszubildende ist in der Lage die Regeln und Verhaltensweisen im Umgang mit personenbezogenen Daten zusammenzustellen. | 12/12 |
| K6 | Der Auszubildende ist in der Lage und bereit, selbstständig und in einer Gemeinschaft, verantwortlich und zielführend zu handeln und sich weiterzuentwickeln. |
