Die Kontaktdaten von Personen werden umfassend verarbeitet. Ein Kundenprofil in einem Webshop, die Lieferadresse, eine Anfrage beim Kundenservice und viele andere Verarbeitungsvorgänge erfordern den Namen einer Person.
Namen sind mehr als nur Zeichenfolgen
Ein automatisches System, das Kundenbeschwerden empfängt und speichert, kann Kundennamen als zufällige Zeichen behandeln und diese auf Länge, Großschreibung und Sonderzeichen überprüfen. Ein Mitarbeiter, der Kundenbeschwerden bearbeitet oder Bewerber für ein Vorstellungsgespräch auswählt, kann aufmerksamer sein. Die meisten manuellen Verarbeitungsaktivitäten werden von Personen durchgeführt, die sich der verschiedenen ethnischen Gruppen bewusst sind und nicht unbedingt neutral sind.
Denken Sie an 'Bram de Jong', 'Krzysztof Wiśniewski' oder 'Heiner Schneider' (die Namen stammen aus einer Liste der beliebtesten Namen, und jede Übereinstimmung mit realen Personen ist rein zufällig). Würden Sie erwarten, dass sie entsprechend niederländisch, polnisch und deutsch sind und alle männlich?
Sollte ich mich darum kümmern?
Gemäß der DSGVO A. 9 (1) 'Die Verarbeitung personenbezogener Daten, die ... ethnische Herkunft ... offenbaren, ist untersagt'. Es ist eine zusätzliche Einwilligung erforderlich (oder die Notwendigkeit, einer gesetzlichen Verpflichtung im Bereich der Beschäftigung nachzukommen), und zusätzliche Schutzmaßnahmen sind erforderlich, wie z.B. die Durchführung einer DFA.
In den meisten Situationen können Sie Namen als neutrale Zeichen behandeln, und die meisten Unternehmen tun dies. In der Mehrheit der Verarbeitungstätigkeiten werden die Namen nicht auf eine Weise verarbeitet, die ethnische Identitäten offenbart. Denken Sie an die Entgegennahme von Online-Bestellungen, die automatisch und einheitlich verarbeitet werden, wobei Kundennamen zwischen Systemen und Etiketten ohne Analyse übertragen werden.
Aber Sie müssen auf die (in der Regel manuellen) Aktivitäten achten, bei denen die wahrgenommene ethnische Herkunft berücksichtigt werden kann. Als Verantwortlicher für diese Aktivitäten sind Sie dafür verantwortlich, die Risiken zu identifizieren und zu bewerten sowie geeignete Maßnahmen zur Risikominderung zu ergreifen. Sie sind auch verpflichtet, geeignete Maßnahmen zu ergreifen, um die Verarbeitung personenbezogener Daten zu minimieren.
Was ist zu tun?
Behalten Sie dies im Hinterkopf, wenn Sie die Verzeichnisse von Verarbeitungstätigkeiten (VvT) erstellen und die Risiken jeder Tätigkeit bewerten. Achten Sie insbesondere auf:
- Versuche, Namen durch automatische Systeme zu analysieren, zu gruppieren oder anderweitig zu verarbeiten, da dies zur Verarbeitung ethnischer Herkunft oder Profiling führen kann.
- Manuelle Vorgänge, bei denen bestimmte Spannungen erwartet werden, wie z. B. Kundenanrufe oder Personalauswahl (Einstellung, Wohnungsvergabe usw.)
- Mehrsprachige, internationale oder ausgelagerte (manuelle) Operationen (Reise, Callcenter), bei denen Mitarbeiter möglicherweise mit internationalen Kunden umgehen und sie mental gruppieren.
Die Verarbeitung ist oft nicht explizit, und es wird kein Datenbankfeld mit dem Namen 'Ethnie' erstellt. Aber in Chats, E-Mails und anderen Dokumenten werden oft verschiedene ethniespezifische Kommentare hinterlassen. Diese offenbaren die stattfindende Verarbeitung und haben bereits zu Korrekturmaßnahmen durch Gerichte und Behörden geführt.
Aus der Perspektive der DSGVO (BDSG, GDPR) Compliance-Dokumentation ist es für die meisten Vorgänge weiterhin akzeptabel und konform, die Kategorie personenbezogener Daten 'Kontaktdaten' zu verwenden, die Namen sowie Adressen, E-Mails, Telefonnummern und andere Möglichkeiten zur Kontaktaufnahme umfasst. Viele Unternehmen führen nur ein oder zwei Verarbeitungstätigkeiten durch, bei denen tatsächlich Namen betrachtet werden.
Es ist konformer, die Kategorie 'Kontaktdaten' in eine Kategorie für namensoffenlegende Daten (Namen, E-Mails, Profile in sozialen Medien und andere Kontaktdatensätze, die den Namen offenbaren können) und eine andere Kategorie für namenlose Kontaktdaten (physische Adressen, Telefonnummern) aufzuteilen. Dies wird helfen, die Verarbeitungstätigkeiten, die damit verbundenen Risiken und Ihre Bemühungen zur Minimierung der Verarbeitung personenbezogener Daten im Einklang mit dem Prinzip der 'Datenminimierung' der DSGVO (DSGVO A. 5 (c)) zu dokumentieren.
Sie möchten möglicherweise auch Datenschutz-Folgenabschätzungen (DFA) für Aktivitäten durchführen, bei denen Namen verarbeitet werden. Die Durchführung der DFA, unabhängig von ihrem Ergebnis, ist an sich ein Nachweis für die Einhaltung.
Wir können Ihnen bei diesen Aufgaben im Rahmen der PrivacyDocs DSGVO-Beratung helfen.