Aus datenschutzrechtlicher Sicht ist die Verarbeitung von personenbezogenen Daten besonders problematisch. Anders, als man es als Laie vermuten könnte, zählen zu den personenbezogenen Daten auch solche Daten, aus denen man indirekt Rückschlüsse auf die Person ziehen kann. Relevant sind daher beispielsweise auch Webanalysedaten, welche die IP-Adresse des Nutzers enthalten. Solche Daten werden von Google oder Facebook automatisiert eingeholt, wenn Ihre Webseite dies erlaubt. Ohne dass der Nutzer seinen Namen oder seine Adresse eingegeben hat, ist es theoretisch möglich, den Standort des Computers ausfindig zu machen. Somit treffen die Pflichten der DS-GVO jeden Betreiber einer Internetseite, die solche Analysedaten erhebt. Selbst, wenn es sich um eine Seite handelt, die vom Nutzer nur angeschaut werden kann, also keine weiteren Funktionen enthält. Auch Fotos gehören übrigens zu den personenbezogenen Daten.

Einem erweiterten Schutz überliegt die Verarbeitung besonderer personenbezogener Daten. Besondere personenbezogene Daten sind sensible Angaben, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenfalls dazu gehöhren genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher Daten ist nur in Ausnahmefällen oder mit ausdrücklicher Einwilligung des Betroffenen erlaubt. Falls Ihr Unternehmen solche Daten erfasst, ist eine individuelle Rechtsberatung zu empfehlen.

Umfang der Verarbeitung personenbezogener Daten

Ein Kernpunkt der Datenschutzerklärung ist die Nennung des Umfangs der Datenverarbeitung. Für den Verbraucher muss nachvollziehbar sein, in welcher Weise seine Daten genutzt werden.

Nennen Sie konkret, welche Daten erhoben und verwendet werden. Wichtig: Der Umfang der Datenverarbeitung muss für die einzelnen möglichen Vorgänge beschrieben werden, also beispielsweise Newsletter-Bestellung, Registrierung eines Nutzerkontos oder Aufgabe einer Bestellung. Es muss weiterhin beschrieben werden, wie die Datenverarbeitung erfolgt.