Personenbezogene Daten nach DSGVO einfach erklärt

Personenbezogene Daten nach DSGVO einfach erklärt

– Reposting – Hier geht’s zum Original: Personenbezogene Daten nach DSGVO einfach erklärt

Die Gretchen-Frage des Datenschutzes ist regelmäßig, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht. Denn nur wenn es sich um personenbezogene Daten handelt, findet die DSGVO Anwendung.

Was sind personenbezogene Daten?

Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO legaldefiniert, als:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“

Der Begriff der personenbezogenen Daten ist möglichst weit auszulegen, weil der Gesetzgeber durch die Formulierung „alle Informationen“ keinerlei Einschränkungen vorgenommen hat. Darüber hinaus wird dies auch durch die ständige Rechtsprechung des EuGH getragen.

Die DSGVO definiert den Betroffenen als natürliche Person. Juristische Personen, Personenmehrheiten und -gruppen sind somit nicht Teil des Schutzbereiches der DSGVO. Handelt es sich aber um Informationen über einer Personengruppe, die auf ein identifiziertes oder identifizierbares Mitglied „durchschlagen“, ist die Information ein personenbezogenes Datum. Die Daten einer verstorbenen Person sind jedoch keine personenbezogenen Daten (Erwägungsgrund 27), außer bestimmte Daten der verstorbenen Personen weisen einen Bezug zu einer noch lebenden Person auf, die dann einen Personenbezug haben können. Da Erwägungsgrund 27 eine Öffnungsklausel für die Mitgliedstaaten vorsieht, von der Deutschland keinen Gebrauch gemacht hat, können an dieser Stelle in anderen europäisches Ländern abweichende Regelungen herrschen. Ob die Daten von Ungeborenen einen Personenbezug aufweisen, ist umstritten, da die DSGVO keine eindeutige Aussage macht. Zum Teil wird wie bei Verstorbenen vertreten, dass die nationalen Rechtssysteme in der Verantwortung stehen entsprechende Regelungen vorzunehmen (Art. 29 Datenschutzgruppe, Stellungnahme 4/2007). Die Auseinandersetzung ist jedoch primär akademisch und kann dahinstehen, wenn man der Argumentation folgt und die Daten des Ungeborenen sich jedenfalls auch auf die Mutter des Ungeborenen beziehen und insoweit ein Personenbezug vorliegen kann.

Praktische Beispiele von personenbezogenen Daten

Die praktische Einordnung von Informationen führt jedoch immer wieder zu Schwierigkeiten. Daher nachfolgend einige Beispiele zur Veranschaulichung. Zu den typischen personenbezogenen Daten zählen neben dem Namen:

  • die Telefonnummer,
  • die Kreditkarten- oder Personalnummern einer Person,
  • die Kontodaten,
  • ein Kfz-Kennzeichen,
  • das Aussehen,
  • die Kundennummer
  • oder die Anschrift.

Darüber hinaus ist die IP-Adresse ein personenbezogenes Datum, wenn der Verarbeitende die rechtliche Möglichkeit hat den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten, welche den hinter der IP-Adresse stehenden Nutzer identifizieren kann.

Es fallen zudem Informationen, die weniger eindeutig sind, zu den personenbezogenen Daten, wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten oder auch die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten, wenn der Prüfling theoretisch identifiziert werden kann. Außerdem können auch subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen personenbezogene Daten sein, wenn beispielsweise die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Arbeitnehmers in Frage stehen.

Besondere Kategorien personenbezogener Daten

Zudem ist zu berücksichtigen, ob es sich bei den personenbezogenen Daten um besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO handeln, denn diese sind besonders geschützt und können nur ausnahmsweise unter Berücksichtigung der Vorsetzungen in Art. 9 DSGVO verarbeitet werden.

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Anonym oder pseudonym?

Und zu guter Letzt soll an dieser Stelle daran erinnert werden, dass es sich bei pseudonymen Daten um personenbezogene Daten handelt, die vollumfänglich den Regelungen der DSGVO unterliegen (Vgl. Art. 4 Nr. 5 DSGVO). Werden jedoch anonyme Daten verarbeitet, findet die DSGVO keine Anwendung (EG 26). Die „Flucht“ in die Anonymisierung ist jedoch herausfordernd, weil die Anforderungen an die Anonymisierung hoch sind.

Datenschutz = Schutz personenbezogener Daten

Datenschutz ist kein reiner Selbstzweck, der den Schutz der Daten bezweckt. Sondern als Ausprägung der informationellen Selbstbestimmung grundrechtliche personenbezogene Daten schützt. Es somit im Einzelfall zu prüfen, ob zu verarbeitenden Daten einen Personenbezug ausweisen oder nicht.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Personenbezogene Daten nach DSGVO einfach erklärt.