Der Gesetzgeber unterscheidet zwischen personenbezogenen und besonders schützenswerten Daten aus besonderen Kategorien. Im Anwendungsfall von Veranstaltungen handelt es sich im Regelfall um die Verarbeitung von personenbezogenen Daten. Daten zu Unternehmen ohne Personenbezug bzw. „juristischen Personen“ finden in der DSGVO keine Beachtung.
Personenbezogene Daten
Diese umfassen sämtliche Informationen sowohl über das Privat- bzw. Berufsleben einer Person als auch das Leben in der Öffentlichkeit. Im EU-Recht sowie im Recht des Europarates werden personenbezogene Daten als Informationen über eine bestimmte oder bestimmbare natürliche Person definiert – es handelt sich demnach um Angaben über Betroffene, über die diese identifizierbar sind. Das technische Format der Daten spielt dabei keine Rolle: ob Excel, Word, E-Mail, Video- oder Sprachaufnahme, Foto oder handgeschriebene Karteikarte – relevant ist lediglich, dass ein Personenbezug hergestellt werden kann.
Personenbezogene Daten beziehen sich nicht nur auf das private Leben, sondern inkludieren auch sämtliche berufliche Daten wie die Position im Unternehmen oder die geschäftliche E-Mail-Adresse. All diese „Daten“ fallen unter die DSGVO.
Folgende Daten gelten als personenbezogene Daten:
- Geschlecht
- Geburtsdatum
- Vor- und Nachname
- Akademische Titel
- Adressdaten (privat wie geschäftlich)
- KFZ-Kennzeichen
- Telefonnummern
- E-Mail-Adressen (privat wie geschäftlich)
- Unternehmen (Arbeitgeber)
- Berufliche Position
- Körpermaße (z. B. Schuhgröße)
- Beziehungsstatus und Partner
Auch Daten die im Rahmen einer Veranstaltung erhoben bzw. verarbeitet werden fallen in die Kategorie personenbezogener Daten:
- Teilnahme an einer Veranstaltung
- Interaktionen im Rahmen einer Veranstaltung
- Foto-, Video- und Tonaufnahmen
Sonderfall Lebensmittelunverträglichkeiten
Auch wenn Lebensmittelunverträglichkeiten als Gesundheitsdaten verstanden werden können, fallen diese aber zumindest aus Sicht der DSGVO nicht in den eine besondere Kategorie personenbezogener Daten – lassen diese doch keinen Rückschluss auf den allgemeinen Gesundheitszustand einer Person zu.
Besondere Kategorien personenbezogener Daten
Diese Art von Daten wird für den Großteil an Veranstaltungen keine Bedeutung haben. Daten besonderer Kategorien, früher auch unter der Bezeichnung „sensible Daten“ bekannt, beziehen sich auf den höchstpersönlichen Lebensbereich einer Person und sich daher besonders schützenswert.
Folgende Daten fallen in die besondere Kategorien personenbezogener Daten:
- Gesundheit
- Religion
- Sexualleben
- politische Meinung
- Zugehörigkeit zu einer Gewerkschaft
- ethnische Herkunft
- genetische Daten
- biometrische Daten
- strafrechtliche Daten
Sollten Sie diese Art von Daten verarbeiten, müssen Sie besonders vorsichtig sein, da Sie diese immer nur mit der ausdrücklichen Zustimmung der betroffenen Person verwenden dürfen. Die besonderen Kategorien personenbezogener Daten werden u. a. in Art 9 iVm Art 4 Ziffer 13 bis 15 DSGVO geregelt.
Ausnahme: Daten von Unternehmen
Auf reine Unternehmensdaten, wie z. B. Umsatzkennzahlen oder Firmennamen und Adressen, die Sie eventuell in Ihrem CRM verarbeiten, ist die DSGVO nicht anzuwenden. Im EU-Recht ist der Schutz „juristischer Personen“ bezüglich der Verarbeitung von Daten nicht geregelt.