Data & More
Original

🌐 Support-Erklärung: Warum werden Reiserouten gemäß der DSGVO als personenbezogene Daten eingestuft?

3 Min. Lesezeit

🌐 Support-Erklärung: Warum werden Reiserouten gemäß der DSGVO als personenbezogene Daten eingestuft? Diese Seite erläutert, warum standortbezogene Reisedaten in diese Kategorie fallen und warum deren Aufbewahrung sorgfältig verwaltet werden muss.

Diese Seite erläutert, warum standortbezogene Reisedaten in diese Kategorie fallen und warum deren Aufbewahrung sorgfältig verwaltet werden muss.

Vielen Dank, dass Sie um eine Erläuterung gebeten haben, warum Reisedaten – wie Reiserouten und Flugdaten – von unserem System als DSGVO-pflichtige Daten gekennzeichnet werden. Viele Kunden gehen zunächst davon aus, dass nur offensichtlich sensible Daten (wie Gesundheits- oder Finanzdaten) unter die DSGVO fallen. Gemäß der Verordnung gilt jedoch,dass alle Informationen, die eine Person direkt oder indirekt identifizieren können, als personenbezogene Daten gelten.

1. Die DSGVO-Definition personenbezogener Daten

Die Datenschutz-Grundverordnung (DSGVO) definiert inArtikel 4(1)personenbezogene Daten wie folgt:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ('betroffene Person') beziehen."

Dies umfasst Identifikatoren wie einen Namen, eine Kennnummer, Standortdaten oder einen oder mehrere besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

2. Warum Reisedaten unter diese Definition fallen

Reiserouten und Flugdaten werden als personenbezogene Daten eingestuft, da siestandortbezogene Daten enthalten, die einer bestimmten Person und einem bestimmten Zeitpunkt zugeordnet werden können:

  • Standortverfolgung:Ein Flugticket oder eine Reiseroute dokumentiert ausdrücklich,wosich eine namentlich genannte Person befunden hat (Abflugsort) undwohinsie gereist ist (Ankunftsort) –zu bestimmten Daten und Zeiten.

  • Identifizierbarkeit:Diese detaillierten Informationen über die Bewegungen und den Zeitplan einer Person ermöglichen deren Identifizierung, Lokalisierung oder die Erstellung eines Profils auf Grundlage ihrer Reisehistorie.

Auch wenn es sich nicht um „besondere Kategorien personenbezogener Daten" handelt (zu denen Gesundheitsdaten, politische Meinungen oder religiöse Überzeugungen zählen), werden diese Daten dennoch alspersonenbezogene Dateneingestuft, die entsprechend geschützt werden müssen.

3. Rechtliche Grundlage: Das dänische Fallbeispiel

Diese Einstufung wird durch einen in der Europäischen Union etablierten Rechtsfall gestützt.

📰Fallbeispiel:Kurz nach der Einführung der DSGVO verfolgte dieDänische Datenschutzbehörde (Datatilsynet)erfolgreich einen Fall gegen ein Taxiunternehmen. Das Unternehmen wurde für einen Verstoß befunden, weil es Kundenbuchungsdaten (die die Fahrt einer Person von Punkt A nach Punkt B zu einem bestimmten Zeitpunkt nachverfolgen) ohne legitimen Zweck zu lange gespeichert hatte.

  • Quelle:Datatilsynet indstiller taxaselskab til bøde på 1.2 mio. kr.(Ein spezifischer Verweis auf diesen Fall ist auf der Website des Datatilsynet zu finden, März 2019).

Diese Entscheidung bestätigte, dass Standort- und Bewegungsaufzeichnungen – wie sie in Reiserouten vorkommen – den strengen Aufbewahrungsvorschriften der DSGVO unterliegen.

4. Unsere Compliance-Anforderung

Sie haben angegeben, dass von unserem System erwartet wurde, ausschließlich sensible und vertrauliche Daten zu erfassen. Unser System übernimmt diese Aufgabe selbstverständlich, jedoch besteht seine Kernfunktion darin, die Einhaltung des in der DSGVO verankertenGrundsatzes der Speicherbegrenzung(Artikel 5(1)(e)) sicherzustellen:

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Daher kennzeichnet unser System Reiserouten aus folgenden Gründen:

  1. Sie stellenpersonenbezogene Datendar (Standort-/Bewegungsverfolgung).

  2. Nach Abschluss der Reise ist der ursprüngliche Verarbeitungs-zweck(z. B. Buchung, Rechnungsstellung) in der Regel erfüllt.

  3. Ohne einenneuen, dokumentierten und legitimen Zweck für die weitere Aufbewahrung (z. B. eine spezifische gesetzliche Anforderung für Steuerprüfungen) müssen diese Datensicher gelöscht werden.

Unser System unterstützt Sie bei der Erfüllung dieser Verpflichtung, indem es diese Datensätze identifiziert, sobald der Aufbewahrungszweck abgelaufen ist.