17. Oktober 2015 - Wichtige Datenschutz-Begriffe

Personenbezogene Daten

Personenbezogene Daten, engl. Personal Data, stellen allgemein die Gesamtheit aller Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“ im Sinne des Datenschutzes) dar.

Als bestimmbar wird in diesem Zusammenhang eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Element/en, das/die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität ist/sind.

Zentralster Begriff im Datenschutz

Der Personenbezug ist der zentralste aller Begriffe im Datenschutz. Nahezu alle Datenschutzvorschriften gelten ausschließlich für personenbezogene Daten. Daher hat es auch nicht an Versuchen gefehlt, bestimmten Daten, die nur mittelbar mit einer Person zu tun haben, den Personenbezug abzusprechen. Literatur und Rechtsprechung sind dem in aller Regel jedoch nicht gefolgt.

Die maßgebliche Definition des Begriffs „personenbezogene Daten“ ist in § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) enthalten. Auf ihn nehmen andere Datenschutzgesetze entweder Bezug, oder er wird dort mehr oder weniger wörtlich wiederholt. Demnach sind personenbezogene Daten

  • Einzelangaben
  • über persönliche und sachliche Verhältnisse
  • einer bestimmten oder bestimmbaren natürlichen Person.

Wichtig für die Praxis

Für die Praxis ist zunächst wichtig, dass ein Personenbezug nur bei Daten natürlicher Personen gegeben sein kann. Natürliche Personen lassen sich – etwas unjuristisch – als „Menschen aus Fleisch und Blut“ definieren.

Die Daten juristischer Personen (GmbH, Aktiengesellschaft usw.) sind also nicht erfasst. Einzige Ausnahme: Daten einer so genannten „Ein-Mann-GmbH“, bei der also Gesellschafter und Geschäftsführer identisch sind und aus einer einzigen Person bestehen, gelten auch als Daten dieses Gesellschafters/Geschäftsführers.

Auf den ersten Blick könnte man meinen, dass dies in der Praxis eine Erleichterung bringt. Das Gegenteil ist jedoch der Fall. Da man einer GmbH ohne nähere Recherchen in der Regel nicht ansehen kann, ob es sich um eine Ein-Mann-GmbH handelt, muss man zunächst einmal davon ausgehen, dass sich hinter jeder GmbH eine Ein-Mann-GmbH verbergen kann. Das führt dazu, dass z.B. auch eine Kundendatei, in der nur Daten von GmbHs enthalten sind, zunächst einmal als personenbezogen zu betrachten ist.

Dies gilt natürlich nur unter der Voraussetzung, dass die Person, um die es geht, bestimmt oder bestimmbar ist:

  • „Bestimmt“ wird eine Person in der Regel dadurch, dass sie direkt namentlich genannt ist.
  • „Bestimmbar“ wird sie u.a. dadurch, dass man sie mithilfe der vorhandenen Angaben bestimmen kann, wenn man öffentlich zugängliche Quellen (Telefonbuch, aber z.B. auch Handelsregister) hinzuzieht. Dieses weite Verständnis des Begriffs „Bestimmbar“ führt dazu, dass eine Bestimmbarkeit in der Praxis sehr häufig gegeben ist.

Die weiteren im BDSG genannten Voraussetzungen für den Personenbezug, nämlich

  • das Merkmal „Einzelangaben“ und
  • das Merkmal „persönliche oder sachliche Verhältnisse“,

sind in der Regel erfüllt und müssen nur selten näher geprüft werden. „Einzelangaben“ sind alle Angaben, die etwas über eine Person aussagen, also im Ergebnis nahezu alles. Und „persönliche oder sachliche Verhältnisse“ decken alles ab, was sich auf eine Person bezieht, von der Wirtschaftslage über den Familienstand bis hin zu verwandtschaftlichen Verflechtungen.

Gegenbegriffe zu personenbezogenen Daten

Gegenbegriffe zu den personenbezogenen Daten sind zum einen die anonymen Daten (§ 3 Abs. 6 BDSG) und zum anderen die pseudonymen Daten (§ 3 Abs. 6a BDSG). Beide Maßnahmen, die Anonymisierung wie auch die Pseudonymisierung im Datenschutz, sorgen dafür, dass eine Person nicht mehr bestimmt oder bestimmbar ist. Sie unterscheiden sich durch den Grad der Wahrscheinlichkeit, mit dem es doch noch zu einer Bestimmung kommen kann.

Lesetipp: Wie sieht es in Ihrem Firmennetzwerk aus? Lesen Sie hier, wie Sie prüfen, wo sich überall im Netzwerk personenbezogene Daten verstecken.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln