Personenbezogene Daten: So schützt die digitale Postzustellung vor Datenverlust

In einer digitalen Welt sind personenbezogene Daten von zentraler Bedeutung. Sie umfassen alle Informationen, die eine Person identifizieren können, und sind für Unternehmen, Behörden und viele andere Organisationen unverzichtbar. Die Datenschutz-Grundverordnung (DSGVO) spielt hierbei eine entscheidende Rolle, indem sie den Schutz und die Verarbeitung dieser Daten regelt.

In diesem Beitrag erfährst du, was personenbezogene Daten sind, warum ihr Schutz so wichtig ist und welche Konsequenzen bei Nichteinhaltung der DSGVO drohen. Zudem zeigen wir, wie die digitale Postzustellung persönliche Daten schützt.

Was sind personenbezogene Daten?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare und lebende Person beziehen, sind personenbezogene Daten. Auch Daten, die zuvor anonymisiert, verschlüsselt oder pseudonymisiert wurden, jedoch später zur erneuten Identifizierung führen können, zählen hierzu. Wurden die Daten in einer Weise anonymisiert, die unumkehrbar ist, sodass eine Person nicht oder nicht mehr identifiziert werden kann, zählen diese nicht mehr zu personenbezogenen Daten (Europäische Kommission).

Identifizierbarkeit von Personen

Personen können identifiziert werden, wenn man sie direkt oder indirekt einer Kennung zuordnet. Hierzu zählen bspw. die Zuordnung zu einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung, aber auch besonderen Merkmalen, „[…]die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind.” (intersoft consulting) Auch unterschiedliche Teilinformationen gehören zu personenbezogenen Daten, sofern sie gemeinsam zur Identifizierung einer Person führen können.¹ Dementsprechend zählen zu personenbezogenen Daten sämtliche Informationen, mit denen eine direkte oder indirekte Zuordnung zu einer Person möglich ist.  

Folgende Beispiele fallen unter personenbezogene Daten: 

Beispiele für nicht personenbezogene Daten: 

• Handelsregisternummer 

• Eine allgemeine E-Mail-Adresse  

• Anonymisierte Daten 

• Verkehrsdaten 

• Wetterdaten 

• Produktionsdaten oder Bezug zu Mitarbeitenden 

• Finanzmarktdaten 

• und weitere

Relevanz und Sensibilität dieser Daten

Personenbezogene Daten sind für verschiedenste Gruppen und Organisationen relevant. Beispielsweise benötigen Unternehmen diese Daten, um ihre Produkte oder Dienstleistungen zu verbessern, gezielte Werbung schalten zu können oder Kundenbeziehungen zu pflegen. Regierungsbehörden sammeln personenbezogene Daten, etwa zur Steuererhebung oder für Sozialleistungen. Auch im Gesundheitswesen sind diese Daten nicht wegzudenken, um Patient:innen bestmöglich zu behandeln. Weitere Beispiele sind Bildungseinrichtungen oder Forschungsinstitute, die für die Ausgestaltung von Bildungsangeboten oder Auswertungen von Studien personenbezogene Angaben benötigen.

Diese sensiblen Daten zu schützen, ist aus mehreren Gründen von großer Bedeutung.  

• Privatsphäre: Jeder Mensch hat ein Recht auf Privatsphäre, welche sogar als allgemeines Menschenrecht anerkannt ist.² Personenbezogene Daten können viel über eine Person preisgeben, wie die Identität, Gewohnheiten, Vorlieben oder sogar den Aufenthaltsort.  

• Schutz vor Datenmissbrauch: In einer digitalisierten Welt, ist es unkompliziert, Daten zu sammeln und zu missbrauchen, was unter anderem in Identitätsdiebstahl, Betrug oder anderen Formen von Cyberkriminalität enden kann. 

• Vertrauen: Menschen sind eher bereit, ihre Daten mit einer Organisation oder Institution zu teilen, bei der sie Vertrauen in die Sicherheit ihrer Daten haben.  

• Rechtliche Anforderungen: Es gibt Gesetze und Vorschriften, wie die Datenschutz-Grundverordnung (DSGVO) in der EU, die den Schutz personenbezogener Daten vorschreiben und hohe Strafen für Verstöße vorsehen. 

Schutz personenbezogener Daten in der EU

Die Datenschutz-Grundverordnung (kurz: DSGVO) ist seit dem 25. Mai 2018 wirksam und regelt die Verarbeitung personenbezogener Daten durch alle Unternehmen in der EU bzw. auch außerhalb der EU, sofern diese Leistungen oder Produkte an EU-Bürger:innen richten und hierzu deren Daten erheben oder nutzen.³ Die Definition personenbezogener Daten ist die Ausgangslage zur Anwendung der DSGVO.  

Eine natürliche Person erlangt ihre Rechtsfähigkeit mit ihrer Geburt und verliert sie mit ihrem Tod. Für den Schutz personenbezogener Daten muss es sich bei der identifizierten oder identifizierbaren Person demnach um eine lebende Person handeln. Da sich die Informationen für einen Personenbezug auf natürliche Personen beziehen müssen, greift die Datenschutzgrundverordnung bei juristischen Personen wie Körperschaften, Anstalten und Stiftungen nicht.⁴

Die Regelungen, die die DSGVO in Bezug auf den Umgang mit Mitarbeitenden-, Kunden-, Bürger:innendaten usw. mit sich bringt, sind in elf Kapiteln mit insgesamt 99 Artikeln niedergeschrieben. Darin enthalten sind beispielsweise das Recht auf Vergessenwerden, das Recht auf Informationszugangsfreiheit und Datenübertragbarkeit. Die DSGVO verankert wichtige Prinzipien wie Privacy by Design und Privacy by Default. Privacy by Design bedeutet, dass der Schutz personenbezogener Daten bereits bei der Systemgestaltung berücksichtigt wird. Privacy by Default legt fest, dass der Schutz dieser Daten der Standard ist. Eine Reduzierung des Schutzes ist nur möglich, wenn die Benutzer:innen selbst Anpassungen vornehmen.⁵

Grundlagen der DSGVO: Sechs Prinzipien zur Verarbeitung personenbezogener Daten

Im Wesentlichen enthält die DSGVO insgesamt sechs Grundsätze zur Verarbeitung von personenbezogenen Daten, die in Art. 5 DSGVO aufgeführt sind:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz:  Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und auf für Betroffene nachvollziehbare Weise verarbeitet werden 

2. Zweckbindung:  Der Zweck zur Erhebung dieser Daten muss festgelegt, eindeutig und legitim sein. Die Weiterverarbeitung von Daten muss in einer Weise erfolgen, die mit dem ursprünglichen Zweck übereinstimmt.  

3. Datenminimierung: Personenbezogene Daten sollen auf ein angemessenes und nur für den Zweck notwendiges Ausmaß beschränkt sein.  

4. Richtigkeit: Sie müssen sachlich richtig und ggf. auf dem neuesten Stand sein. Hierfür müssen angemessene Maßnahmen getroffen werden, um falsche Daten unverzüglich zu löschen oder zu korrigieren. 

5. Speicherbegrenzung: Personenbezogene Daten müssen i.d.R. so gespeichert werden, dass eine Identifizierung der Personen nur so lange möglich ist, wie für den Zweck erforderlich. Hierbei gilt es Ausnahmen zu beachten, die Art. 89 DSGVO regelt. 
6. Integrität und Vertraulichkeit: Die Verarbeitung muss eine angemessene Sicherheit dieser Daten gewährleisten. Dazu gehört auch der Schutz vor unbefugter und unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust oder Zerstörung bzw. Schädigung durch geeignete technische und organisatorische Maßnahmen. 

Mögliche Konsequenzen bei Nichteinhaltung der DSGVO

Nationale Aufsichtsbehörden können oder müssen für bestimmte Datenschutzverstöße Bußgelder verhängen. Je nach Verstoß gegen die DSGVO kann eine Strafe von bis zu vier Prozent des weltweiten Unternehmensumsatzes beziehungsweise bis 20 Millionen Euro verhängt werden. Je nachdem, welche Summe höher ist. Darüber hinaus können weitere Maßnahmen wie bspw. der Ausspruch eines zeitlich begrenzten oder endgültigen Verbots der Datenverarbeitung auferlegt werden.⁶

Häufige Ursachen für Datenverlust

Trotz all dieser Vorschriften kommt es nicht selten zu Datenverlusten. Ca. 95 % der befragten Unternehmen wurden 2021 Opfer von Cyberangriffen und rund 80 % erlitten hierbei Datenverluste.² Neben Cyberangriffen gibt es auch eine Reihe an anderen Gründen für Datenverlust. Schlecht geschützte Zugänge, leicht zu erratende Passwörter, Malware wie Viren, defekte Hard- oder Software, Bedienfehler, höhere Gewalt wie bspw. Naturkatastrophen oder Diebstahl sind Beispiele, die zum Verlust sensibler Daten führen können. Organisationen müssen sich demnach absichern, wo sie welche Daten und auf welche Art und Weise verarbeiten, um das Risiko eines Datenverlusts möglichst gering zu halten. 

Möglichkeiten der digitalen Postzustellung zum Schutz personenbezogener Daten

Die digitale verschlüsselte Postzustellung mit d.velop postbox unterstützt den Datenschutz, indem sie eine sichere und nachvollziehbare Übermittlung sensibler Informationen ermöglicht. Durch die Verschlüsselung werden die Dokumente vor unbefugtem Zugriff geschützt, sodass nur die beabsichtigten Empfänger:innen auf den Inhalt zugreifen können. Zudem bieten verschlüsselte Systeme oft eine Nachweisführung über den Versand der Dokumente. Dadurch gestaltet sich der Versand vertraulicher Daten sicher, ohne die Risiken einer herkömmlichen E-Mail-Zustellung. 

Datenschutz und Sicherheit in der d.velop postbox: Wichtige Aspekte im Überblick

Wie die d.velop postbox Datenschutz gewährleistet, zeigen folgende Sicherheitsaspekte:

1. Zugriff über eine verschlüsselte Verbindung

Diese ist unerlässlich, um personenbezogene Daten bestmöglich zu schützen. Durch die Verschlüsselung werden die Daten auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des bzw. der Empfängers:in wieder entschlüsselt. Dies stellt sicher, dass die Daten während der Übertragung geschützt sind und nur vom Empfangenden entschlüsselt werden können. Eine Zwei-Faktor-Authentifizierung auf Seite der Empfänger:innen dient zum zusätzlichen Schutz der personenbezogenen Daten. 

2. Schutz von (personenbezogenen) Daten innerhalb und außerhalb der App

Sowohl innerhalb der d.velop postbox als auch außerhalb, auf dem (privaten) Smartphone existieren persönliche und somit schützenswerte Informationen. Die d.velop postbox liest weder das Smartphone aus, noch hat sie Zugriff auf das persönliche Kontaktbuch. Auch auf private Dateien, wie Dokumente und Fotos kann die App nur zugreifen, sofern der oder die Nutzer:in die spezielle Datei bspw. zum Upload in der App freigegeben hat. Eine abgesicherte Kamerafunktion kann darüber hinaus sicherstellen, dass innerhalb der App aufgenommene Bilder nicht in die Galerie der Smartphones gespeichert werden, sondern ausschließlich innerhalb der App einsehbar sind. 

3. Softwarestandorte in der Europäischen Union und Zertifizierungen

Entgegen der DSGVO, können bspw. Daten in den USA auf Servern abgespeichert werden und vom Staat ohne gesetzliche Anordnung abgerufen werden. Setzen Unternehmen auf einen Softwareanbieter außerhalb der EU, könnten sie Datenschutzverstöße riskieren.  
Laut Bitkom erscheinen IT-Anbieter aus Deutschland am vertrauenswürdigsten im Umgang mit persönlichen Daten. Im Optimalfall ist eine Software von einer offiziellen Stelle zertifiziert. Bei Informationssicherheits-Managementsystemen gilt die Zertifizierung auf Basis der Norm ISO/IEC 27001 als Maßstab. d.velop postbox wird in einem deutschen Rechenzentrum gehostet, die diese Norm erfüllt. Grundsätzlich ist es bei personenbezogenen Daten empfehlenswert, darauf zu achten, dass sie in deutschen Rechenzentren gespeichert sind, die den Ansprüchen der DSGVO gerecht werden. 

Insgesamt ist eine DSGVO-konforme Nutzung der d.velop postbox möglich, sodass sie auch ohne Bedenken auf den privaten Smartphones der Mitarbeitenden (gemäß eines effizienten BYOD-Ansatzes) zum Einsatz kommen kann.   

Fazit: Die Wahl der richtigen Tools ist entscheidend, um personenbezogene Daten zu schützen

Die Datenschutz-Grundverordnung (DSGVO) bietet einen umfassenden rechtlichen Rahmen, um sicherzustellen, dass sensible Daten verantwortungsvoll und sicher verarbeitet werden. Unternehmen und Organisationen müssen sich der Relevanz und Sensibilität personenbezogener Daten bewusst sein und geeignete Maßnahmen ergreifen, um deren Schutz zu gewährleisten. Moderne Technologien, wie digitale Postzustellung, können dabei eine wichtige Rolle spielen, indem sie den Datenschutz unterstützen und gleichzeitig die Effizienz und Kommunikation innerhalb von Unternehmen verbessern. Letztlich trägt ein verantwortungsvoller Umgang mit personenbezogenen Daten nicht nur zum Schutz der Privatsphäre bei, sondern stärkt auch das Vertrauen der Menschen in die digitalen Systeme und Prozesse.