Warum ist dieses Thema für meine Organisation relevant?

Menschliches Verhalten ist die häufigste Ursache von Sicherheitsvorfällen. Wissen und Awareness zu diesem Thema senken das Risiko direkt und nachweisbar.

Wie hilft 2LRN4 bei diesem Thema?

2LRN4 verknüpft das Thema mit einem risikobasierten Trainingsmodul, optionaler Phishing-Simulation und Reports, sodass Sie Compliance gegenüber Aufsicht und Vorstand belegen können.

Reicht ein Awareness-Training aus oder braucht es mehr?

Training ist ein notwendiger Baustein, aber kein vollständiger Schutz. Kombinieren Sie es mit technischen Maßnahmen (MFA, E-Mail-Filter), Prozessen und einer Meldekultur für besten Schutz.

Personenbezogene Daten erkennen: was zählt dazu und was nicht?

Die DSGVO gilt, sobald du personenbezogene Daten verarbeitest. Aber was zählt genau dazu? Viele denken nur an Name und Adresse. Tatsächlich ist der Begriff viel weiter: jedes Datum, das sich einer Person zuordnen lässt, zählt. Wer das erkennt, weiß, wann die Datenschutzregeln greifen.

Die Definition: einer Person zuordenbar

Ein personenbezogenes Datum ist jede Information über eine identifizierte oder identifizierbare natürliche Person. "Identifizierbar" ist weit: auch wenn du jemanden erst mit Zusatzinformation zuordnen kannst, zählt es.

Es geht also nicht nur um direkte Daten wie den Namen, sondern auch um indirekte: eine Kombination aus Geburtsdatum, Postleitzahl und Geschlecht kann eine Person eindeutig machen, auch ohne Namen.

Beispiele, die oft vergessen werden

Neben Name, Adresse und E-Mail zählen auch diese Daten:

IP-Adresse und Cookie-ID: einem Gerät und damit oft einer Person zuordenbar.
Kfz-Kennzeichen: mit einem Halter verknüpft.
Fotos und Video: auf denen jemand erkennbar ist.
Standortdaten: wo jemand war und wann.
Personalnummer und Steuer-ID: eindeutige Kennungen.
Stimme und Handschrift: können zu einer Person führen.

Besondere und strafrechtliche Daten

Manche personenbezogenen Daten sind besonders sensibel: Gesundheit, rassische oder ethnische Herkunft, Religion, politische Meinung, Gewerkschaftszugehörigkeit, sexuelle Orientierung und Biometrie. Dafür gelten strengere Regeln.

Auch Daten über Straftaten genießen zusätzlichen Schutz. Triffst du auf solche Daten, behandle sie mit besonderer Sorgfalt und teile sie nur über freigegebene Kanäle.

So verankerst du das in deinem Awareness-Programm

Erkennung ist die Kernkompetenz; richte dein Programm auf die Frage 'wann gilt die DSGVO?'.

Lass Mitarbeitende in kurzen Übungen Beispiele einordnen: personenbezogenes Datum oder nicht.
Nutze Beispiele aus dem eigenen Arbeitsalltag, etwa eine Excel mit E-Mail-Adressen, ein Foto oder ein IP-Log.
Wiederhole per Microlearning, denn Erkennung verblasst ohne Übung.
Biete Vertiefung je Zielgruppe über unseren Kurskatalog.

FAQ

Ist eine geschäftliche E-Mail-Adresse ein personenbezogenes Datum?

Meist ja. Eine Adresse wie vorname.nachname@firma.de ist einer Person zuordenbar und fällt damit unter die DSGVO. Eine allgemeine Adresse wie info@firma.de in der Regel nicht.

Ist eine IP-Adresse ein personenbezogenes Datum?

Ja, in der Regel. Eine IP-Adresse ist einem Gerät und damit oft einer Person zuordenbar, besonders zusammen mit anderen Daten. Die DSGVO behandelt sie daher als personenbezogenes Datum.

Fallen Daten Verstorbener unter die DSGVO?

Nein, die DSGVO gilt nur für lebende Personen. Beachte jedoch: nationale Regeln oder Berufsgeheimnisse können dennoch Schutz bieten, und Daten Verstorbener können zugleich Daten Lebender enthalten.

Sind anonymisierte Daten noch personenbezogen?

Echt anonymisierte Daten, die sich keiner Person mehr zuordnen lassen, fallen nicht unter die DSGVO. Pseudonymisierte Daten schon, denn sie sind mit Zusatzinformation noch zuordenbar.

Zählt eine Kombination einzelner Daten?

Ja. Einzelne Daten mögen harmlos wirken, aber eine Kombination wie Geburtsdatum, Postleitzahl und Geschlecht kann eine Person eindeutig identifizieren. Dann gelten die Datenschutzregeln uneingeschränkt.