Unser Kundenservice:

+49 175 8064029

Welche Daten dürfen gespeichert werden?

In der heutigen digitalen Geschäftswelt ist der Umgang mit personenbezogenen Daten ein zentrales Thema. Unternehmen müssen sicherstellen, dass sie die Datenschutz-Grundverordnung (DSGVO) einhalten, um rechtliche Konsequenzen zu vermeiden und das Vertrauen ihrer Kunden und Mitarbeiter zu bewahren. Doch welche Daten dürfen Unternehmen überhaupt speichern? Dieser Artikel gibt einen Überblick über die zulässige Datenspeicherung und bietet praxisnahe Hinweise für kleine und mittelständische Unternehmen (KMU).

Grundlagen der Datenspeicherung gemäß DSGVO

Personenbezogene Daten und ihre Kategorien

Die DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer und IP-Adresse. Besonders sensibel sind sogenannte besondere Kategorien personenbezogener Daten, wie Angaben zur ethnischen Herkunft, politischen Meinungen, religiösen Überzeugungen oder Gesundheitsdaten. Diese unterliegen strengeren Schutzmaßnahmen und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden.

Rechtsgrundlagen für die Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn eine der folgenden Rechtsgrundlagen vorliegt:

  • Einwilligung: Die betroffene Person hat der Verarbeitung ihrer Daten für einen oder mehrere bestimmte Zwecke zugestimmt.
  • Vertragserfüllung: Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist.
  • Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

Datenspeicherung im Beschäftigungsverhältnis

Erhebung und Verarbeitung von Mitarbeiterdaten

Arbeitgeber dürfen nur solche Daten ihrer Mitarbeiter erheben und verarbeiten, die für das Beschäftigungsverhältnis notwendig sind. Dazu zählen beispielsweise:

  • Name und Kontaktdaten
  • Geburtsdatum
  • Sozialversicherungsnummer
  • Bankverbindung für Gehaltszahlungen
  • Steuerliche Informationen wie Steuerklasse und -ID

Die Verarbeitung dieser Daten ist durch das Bundesdatenschutzgesetz (BDSG) geregelt und bedarf keiner zusätzlichen Einwilligung der Mitarbeiter.

Umgang mit sensiblen Mitarbeiterdaten

Besondere Vorsicht ist beim Umgang mit sensiblen Daten geboten. Gesundheitsdaten, wie Arbeitsunfähigkeitsbescheinigungen, dürfen nur verarbeitet werden, wenn dies für die Lohnfortzahlung im Krankheitsfall erforderlich ist. Diese Daten sollten ausschließlich dem Personalverantwortlichen und dem direkten Vorgesetzten zugänglich sein. Ein öffentlich zugänglicher Kalender mit Krankheitstagen ist unzulässig. Stattdessen kann ein allgemeiner Abwesenheitskalender geführt werden, der alle Arten von Abwesenheiten, wie Urlaub oder Fortbildungen, erfasst.

Datenspeicherung im Kundenverhältnis

Erhebung und Verarbeitung von Kundendaten

Unternehmen dürfen Kundendaten nur erheben und verarbeiten, wenn dies für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Beispielsweise sind für die Abwicklung einer Bestellung folgende Daten notwendig:

  • Name
  • Lieferadresse
  • Rechnungsadresse
  • Zahlungsinformationen

Die Erhebung zusätzlicher Daten, die nicht für die Vertragserfüllung notwendig sind, erfordert die ausdrückliche Einwilligung des Kunden.

Grundsatz der Datenminimierung

Ein zentraler Grundsatz der DSGVO ist die Datenminimierung. Unternehmen sollten nur die Daten erheben, die für den jeweiligen Zweck notwendig sind. Beispielsweise ist es unzulässig, bei der Anmeldung zu einem Newsletter den Familienstand oder die Anzahl der Kinder abzufragen, da diese Informationen für den Versand des Newsletters nicht relevant sind.

Praktische Tipps für KMU

Implementierung von Datenschutzmaßnahmen

Um den Anforderungen der DSGVO gerecht zu werden, sollten KMU folgende Maßnahmen ergreifen:

  • Datenschutzrichtlinien erstellen: Entwickeln Sie klare Richtlinien für den Umgang mit personenbezogenen Daten und schulen Sie Ihre Mitarbeiter entsprechend.
  • Verarbeitungsverzeichnis führen: Dokumentieren Sie alle Prozesse, in denen personenbezogene Daten verarbeitet werden, um Transparenz zu gewährleisten.
  • Datensicherheitsmaßnahmen umsetzen: Implementieren Sie technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, wie z.B. Zugriffsbeschränkungen und Verschlüsselung.
  • Aufbewahrungsfristen beachten: Löschen Sie personenbezogene Daten, sobald der Zweck der Verarbeitung erfüllt ist und keine gesetzlichen Aufbewahrungspflichten mehr bestehen.

Einholung von Einwilligungen

Für die Verarbeitung von Daten, die nicht durch eine der genannten Rechtsgrundlagen abgedeckt sind, ist die Einwilligung der betroffenen Person erforderlich. Diese Einwilligung muss freiwillig, informiert und eindeutig sein. Zudem muss sie jederzeit widerrufbar sein. Dokumentieren Sie die Einwilligungen sorgfältig, um im Falle einer Prüfung nachweisen zu können, dass die Verarbeitung rechtmäßig erfolgt ist.

Fazit

Die Einhaltung der DSGVO ist für Unternehmen unerlässlich, um rechtliche Risiken zu minimieren und das Vertrauen von Kunden und Mitarbeitern zu stärken. Durch die bewusste Erhebung und Verarbeitung nur der notwendigen Daten sowie die Implementierung geeigneter Datenschutzmaßnahmen können KMU den Anforderungen gerecht werden und ihre Geschäftsprozesse datenschutzkonform gestalten.

FAQ

Welche Daten dürfen Unternehmen ohne Einwilligung speichern?
Unternehmen dürfen personenbezogene Daten ohne Einwilligung speichern, wenn dies zur Erfüllung eines Vertrags, zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrung berechtigter Interessen erforderlich ist, sofern die Interessen der betroffenen Person nicht überwiegen.
Wie lange dürfen personenbezogene Daten gespeichert werden?
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Nach Erfüllung des Zwecks sind die Daten zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Was versteht man unter sensiblen Daten?
Sensible Daten, auch besondere Kategorien personenbezogener Daten genannt, umfassen Informationen wie ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Deine Individuelle Webseite

Klick auf den Button, um Dir eine kostenlose Beratung zu sichern gern auch bei einem Kaffee vor Ort in Donauwörth.

Los gehts
WordPress Cookie Plugin von Real Cookie Banner Call Now Button