Personenbezogene Daten
Beim Arbeiten mit Check-it werden personenbezogene Daten von Nutzern erfasst und verarbeitet. Das betrifft sowohl die Stammdaten der angelegten Benutzer als auch Daten, die im laufenden Betrieb entstehen – etwa beim Ausfüllen von Checklisten, beim Hochladen von Fotos oder bei der Erfassung von Standortdaten.
Der Umgang mit personenbezogenen Daten unterliegt den Vorgaben der Datenschutz-Grundverordnung (DSGVO). Als Verantwortlicher – in der Regel der Arbeitgeber oder das Unternehmen, das Check-it einsetzt – ist sicherzustellen, dass die Verarbeitung dieser Daten auf einer zulässigen Rechtsgrundlage beruht.
Dieser Artikel gibt einen Überblick darüber, welche personenbezogenen Daten in Check-it erfasst werden und welche Rechtsgrundlagen für die Verarbeitung in Betracht kommen.
Inhalt
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Bei Fragen zur datenschutzkonformen Nutzung von Check-it empfehlen wir, einen Datenschutzbeauftragten hinzuzuziehen.
Welche personenbezogenen Daten werden aufgenommen?
Durch das Programm werden folgende personenbezogene Daten aufgenommen:
Nutzerdaten:
- Vorname, Nachname
- E-Mail-Adresse
- Benutzerrolle / Berechtigungen
Nutzungsdaten:
- Erhobene Daten (Checklisteneinträge) dieser Person mit Zeitstempel
- Zeitpunkt des letzten Logins
- Hochgeladene Fotos / Anhänge
- Standortdaten (GPS), sofern bei der Erfassung aktiviert
Technische Daten:
- Geräteinformationen (Gerätetyp, Betriebssystem)
- IP-Adresse
Zugangsdaten:
- Passwort (verschlüsselt gespeichert)
Rechtlicher Rahmen für das Aufnehmen personenbezogener Daten
Da es sich beim Anlegen von Nutzern in Check-it um Informationen handelt, die sich auf eine identifizierbare natürliche Person beziehen, handelt es sich um personenbezogene Daten im Sinne von Artikel 4 Nr. 1 der Datenschutz-Grundverordnung (DSGVO).
Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn eine der in Artikel 6 Absatz 1 DSGVO genannten Bedingungen erfüllt ist. Je nach Anwendungsfall kommen insbesondere folgende Rechtsgrundlagen in Betracht:
- Art. 6 Abs. 1 b) DSGVO – die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, dessen Vertragspartei die betroffene Person ist
- Art. 6 Abs. 1 c) DSGVO – die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z. B. Prüf- und Dokumentationspflichten gemäß BetrSichV, DGUV oder branchenspezifischen Vorschriften)
- Art. 6 Abs. 1 f) DSGVO – die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich
Welche Rechtsgrundlage im konkreten Fall zutrifft, hängt vom jeweiligen Einsatzbereich ab und ist vom Verantwortlichen eigenständig zu prüfen.
DSGVO, Datenschutzgrundverordnung Art. 4 Nr. 1
“personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
DSGVO, Datenschutzgrundverordnung Art. 6 Abs. 1 c)
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
b) die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
f) die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich
