15. Februar 2015 - Wichtige Datenschutz-Begriffe

Daten

„Daten“ ist einer der zentralen Begriffe im Bundesdatenschutzgesetz, aber nicht nur dort. Was versteht man darunter unter verschiedenen Blickwinkeln?

(1) Allgemein

Allgemein die aus Messungen, Beobachtungen u.ä. gewonnenen Angaben und/oder Informationen. In der Informatik die zur Darstellung von Informationen dienenden Zeichen (digitale Daten) oder kontinuierlichen Funktionen (analoge Daten), die auf sogenannten Datenverarbeitungsanlagen gespeichert verarbeitet und/oder erzeugt werden können.

(2) Daten im Sinne des BDSG

Im Sinne des deutschen Bundesdatenschutzgesetzes (BDSG) sogenannte Personenbezogene Daten, engl. Personally Identifiable Data (PID) oder Personal Data (PD). Darunter versteht man allgemein die Gesamtheit aller Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“ im Sinne des Datenschutzes).

Als bestimmbar wird in diesem Zusammenhang eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Element/en, das/die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität ist/sind.

Personenbezug

Der Personenbezug ist der zentralste aller Begriffe im Datenschutz. Nahezu alle Datenschutzvorschriften gelten ausschließlich für personenbezogene Daten. Daher hat es auch nicht an Versuchen gefehlt, bestimmten Daten, die nur mittelbar mit einer Person zu tun haben, den Personenbezug abzusprechen. Literatur und Rechtsprechung sind dem in aller Regel jedoch nicht gefolgt.

Die maßgebliche Definition des Begriffs ist in § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) enthalten. Auf ihn wird in anderen Datenschutzgesetzen entweder Bezug genommen oder er wird dort mehr oder weniger wörtlich wiederholt. Demnach sind personenbezogene Daten

  • Einzelangaben
  • über persönliche und sachliche Verhältnisse
  • einer bestimmten oder bestimmbaren natürlichen Person.

Natürliche Personen

Für die Praxis ist zunächst wichtig, dass ein Personenbezug nur bei Daten natürlicher Personen gegeben sein kann. Die natürlichen Personen lassen sich – etwas unjuristisch – als „Menschen aus Fleisch und Blut“ definieren.

Die Daten juristischer Personen (GmbH, Aktiengesellschaft usw.) sind also nicht erfasst. Einzige Ausnahme: Daten einer „Ein-Mann-GmbH“, bei der also Gesellschafter und Geschäftsführer identisch sind und aus einer einzigen Person bestehen, gelten auch als Daten dieses Gesellschafters/Geschäftsführers.

Auf den ersten Blick könnte man meinen, dass dies der Praxis eine Erleichterung bringt. Das Gegenteil ist jedoch der Fall. Da man einer GmbH ohne nähere Recherchen in der Regel nicht ansehen kann, ob es sich um eine Ein-Mann-GmbH handelt, muss man zunächst einmal davon ausgehen, dass sich hinter jeder GmbH eine Ein-Mann-GmbH verbergen kann. Das führt dazu, dass z.B. auch eine Kundendatei, in der nur Daten von GmbHs enthalten sind, zunächst einmal als personenbezogen zu betrachten ist.

Bestimmte und bestimmbare Personen

Dies gilt natürlich nur unter der Voraussetzung, dass die Person, um die es geht, bestimmt oder bestimmbar ist:

  • „Bestimmt“ wird eine Person in der Regel dadurch, dass sie direkt namentlich genannt ist.
  • „Bestimmbar“ wird sie u.a. dadurch, dass man sie mithilfe der vorhandenen Angaben bestimmen kann, wenn man öffentlich zugängliche Quellen (Telefonbuch, aber z.B. auch Handelsregister) hinzuzieht. Dieses weite Verständnis des Begriffs „Bestimmbar“ führt dazu, dass eine Bestimmbarkeit in der Praxis sehr häufig gegeben ist.

Die weiteren im BDSG genannten Voraussetzungen für den Personenbezug, nämlich

  • das Merkmal „Einzelangaben“ und
  • das Merkmal „persönliche oder sachliche Verhältnisse“,

sind in der Regel erfüllt und müssen nur selten näher geprüft werden. „Einzelangaben“ sind alle Angaben, die etwas über eine Person aussagen, also im Ergebnis nahezu alles. Und „persönliche oder sachliche Verhältnisse“ decken alles ab, was sich auf eine Person bezieht, von der Wirtschaftslage über den Familienstand bis hin zu verwandtschaftlichen Verflechtungen.

Anonyme und pseudonyme Daten

Gegenbegriffe zu den personenbezogenen Daten sind zum einen die anonymen Daten (§ 3 Abs. 6 BDSG) und zum anderen die pseudonymen Daten (§ 3 Abs. 6a BDSG). Beide Maßnahmen, die Anonymisierung wie auch die Pseudonymisierung, sorgen dafür, dass eine Person nicht mehr bestimmt oder bestimmbar ist. Sie unterscheiden sich durch den Grad der Wahrscheinlichkeit, mit dem es doch noch zu einer Bestimmung kommen kann.

(3) Daten im Sinne des DSG 2000

Im Sinne des österreichischen Datenschutzgesetzes 2000 (DSG 2000) – „Bundesgesetz über den Schutz personenbezogener Daten“ – sogenannte personenbezogene Daten, engl. Personally Identifiable Data (PID) oder Personal Data (PD).

Darunter versteht das DSG 2000 Angaben über Betroffene (Data Subjects), deren Identität bestimmt oder bestimmbar ist, „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, einen Dienstleister oder einen Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten der Art ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann.

Intensität des Personenbezugs

Im österreichischen Datenschutzrecht werden Daten nach der Intensität des Personenbezugs unterschieden in:

  • direkt personenbezogene Daten: personenbezogene Daten im engeren Sinne
  • indirekt personenbezogene Daten: Daten, bei denen der Personenbezug der Art ist, dass für den Auftraggeber, Dienstleister oder sonstigen Empfänger der Daten die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmt werden kann
  • nicht personenbezogene (anonymisierte) Daten: Angaben, die unter keinen Umständen auf Betroffene rückführbar sind

Grad der Schutzwürdigkeit

Außerdem können Daten nach dem Grad der Schutzwürdigkeit unterteilt werden in:

  • sensible (besonders schutzwürdige) Daten: Daten natürlicher Personen über deren rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben
  • nicht sensible Daten: alle Daten, die nicht zu den sensiblen Daten zählen
Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln