Gratis
20. November 2017 - Wichtige Datenschutz-Begriffe

Was sind personenbezogene Daten?

Personenbezogene Daten sind ein Kernbegriff des Datenschutzes. Nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen, kommt das Datenschutzrecht zur Anwendung. Lassen sich Daten dagegen keinem Menschen zuordnen, müssen keine datenschutzrechtlichen Regeln beachtet werden.

Was genau sind personenbezogene Daten? Definition des Begriffs nach DSGVO und BDSG (Bild: iStock.com / peterhowell)

Der Begriff der „personenbezogenen Daten“ ist gesetzlich definiert in Art. 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO) als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

Der Umgang mit personenbezogenen Daten ist in erster Linie in der DSGVO geregelt. Wenn andere Gesetze Aussagen über personenbezogenen Daten enthalten, verweisen sie entweder direkt auf die Datenschutzgesetze. Oder sie enthalten eigene, aber inhaltlich konforme Formulierungen, beispielsweise § 67 SGB X (Definition der Sozialdaten).

Gesetze, Vorschriften und Rechtsprechung

  • 4 Nr. 1 DSGVO (Definition der personenbezogenen Daten) mit Erwägungsgründen 26, 27, 30 der DSGVO
  • 67 SGB-X (Definition von Sozialdaten als Unterfall der personenbezogenen Daten)
  • Urteil des EuGH vom 19.10.2016 (Rs. C–582/14) über den Personenbezug anhand von IP-Adressen (Breyer-Urteil)
  • BGH vom 16.05.2017 (Az. VI ZR 135/13) über den Personenbezug von dynamischen IP-Adressen

Angaben über eine Person

Vom Datenschutz umfasst sind „alle Informationen“, die sich direkt oder indirekt auf einen Menschen beziehen. Dies ist weit auszulegen.

Einzelangaben mit Personenbezug sind beispielsweise:

  • Name und Identifikationsmerkmale (z.B. Geburtsdatum, Namenszusätze, Ausweisnummer)
  • Kontaktdaten (z.B. Postanschrift, E-Mail-Adresse, Telefonnummer)
  • körperliche Merkmale (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck, Krankheiten, Drogenkonsum)
  • geistige Zustände (z.B. Wünsche, Einstellungen, Überzeugungen, Geschäftsfähigkeit)
  • Verbindungen und Beziehungen (z.B. Verwandtschafts- und Freundschaftsbeziehungen, Arbeitgeber)
  • weitere Daten (z.B. Standortdaten, Nutzungsdaten, Handlungen, Äußerungen, Werturteile, beruflicher Werdegang, Bankverbindungen etc.)

Natürliche Person

Personenbezogen sind Daten nur dann, wenn sie sich auf eine „natürliche Person“ im Rechtssinn beziehen. Gemeint ist damit ein lebender Mensch, egal welchen Alters und welcher Nationalität. Die Datenschutzvorschriften gelten somit gleichermaßen für Nicht-EU-Bürger.

Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist. Angaben über „juristische Personen“ (GmbH, AG, Vereine, Stiftungen etc.) sind nicht personenbezogen und deshalb nicht durch das Datenschutzrecht geschützt.

Identifizierte oder identifizierbare Personen

Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

  • Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt. Beispiele für eine bestimmte Person: „Herr Schmidt arbeitet bei der Firma XY“ oder „Der IT-Leiter der Firma XY hat am 22.3. Geburtstag“.
  • Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen, aber mit Hilfe von Zusatzwissen kann die Person ausfindig gemacht werden.
    Beispiel für eine identifizierbare Personen: „Der Mitarbeiter mit der Personalnummer 1234 hat im letzten Monat zehn Überstunden angesammelt“. Zumindest für Mitarbeiter der Personalabteilung ist es möglich, die Personalnummer und damit die gesamte Aussage einem konkreten Menschen zuordnen.

Zusatzwissen

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49). Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Beispiel: IP-Adressen

Die Frage nach dem Zusatzwissen war anhand von IP-Adressen durch EuGH und BGH entschieden worden.

  • Für den Telekommunikationsanbieter stellt die IP-Adresse, die er einem Internetnutzer (Kunden) zuweist, ein personenbezogenes Datum dar. Er besitzt die tatsächliche Möglichkeit, eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.
  • Für einen Webseitenbetreiber besitzt die IP-Adresse einen Personenbezug, weil er entweder eigenes Zusatzwissen nützen kann (z.B. wenn ein Seitennutzer das Kontaktformular nutzt und dort personenbezogene Daten einträgt) oder weil er rechtliche Möglichkeiten besitzt, die Angabe beim Telekommunikationsanbieter nachzufragen. Dies ist grundsätzlich immer der Fall, so der BGH, weil er sich etwa bei Cyberattacken an die zuständige Behörde wenden kann. Er besitzt deshalb immer die rechtliche Möglichkeit, den Nutzer identifizieren zu lassen. Aus diesem Grund stellt die IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum dar.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung.

Besondere Kategorien von personenbezogenen Daten

Hierbei handelt es sich um einen Teilbereich der personenbezogenen Daten. Die „Besonderen Kategorien personenbezogener Daten“ unterliegen einem strengeren Schutz.

___________________

Definition nach BDSG-alt:

Die maßgebliche Definition des Begriffs „personenbezogene Daten“ ist in § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) enthalten. Auf ihn nehmen andere Datenschutzgesetze entweder Bezug, oder er wird dort mehr oder weniger wörtlich wiederholt. Demnach sind personenbezogene Daten

  • Einzelangaben
  • über persönliche und sachliche Verhältnisse
  • einer bestimmten oder bestimmbaren natürlichen Person.

Wichtig für die Praxis

Für die Praxis ist zunächst wichtig, dass ein Personenbezug nur bei Daten natürlicher Personen gegeben sein kann. Natürliche Personen lassen sich – etwas unjuristisch – als „Menschen aus Fleisch und Blut“ definieren.

Die Daten juristischer Personen (GmbH, Aktiengesellschaft usw.) sind also nicht erfasst. Einzige Ausnahme: Daten einer so genannten „Ein-Mann-GmbH“, bei der also Gesellschafter und Geschäftsführer identisch sind und aus einer einzigen Person bestehen, gelten auch als Daten dieses Gesellschafters/Geschäftsführers.

Auf den ersten Blick könnte man meinen, dass dies in der Praxis eine Erleichterung bringt. Das Gegenteil ist jedoch der Fall. Da man einer GmbH ohne nähere Recherchen in der Regel nicht ansehen kann, ob es sich um eine Ein-Mann-GmbH handelt, muss man zunächst einmal davon ausgehen, dass sich hinter jeder GmbH eine Ein-Mann-GmbH verbergen kann. Das führt dazu, dass z.B. auch eine Kundendatei, in der nur Daten von GmbHs enthalten sind, zunächst einmal als personenbezogen zu betrachten ist.

Dies gilt natürlich nur unter der Voraussetzung, dass die Person, um die es geht, bestimmt oder bestimmbar ist:

  • „Bestimmt“ wird eine Person in der Regel dadurch, dass sie direkt namentlich genannt ist.
  • „Bestimmbar“ wird sie u.a. dadurch, dass man sie mithilfe der vorhandenen Angaben bestimmen kann, wenn man öffentlich zugängliche Quellen (Telefonbuch, aber z.B. auch Handelsregister) hinzuzieht. Dieses weite Verständnis des Begriffs „Bestimmbar“ führt dazu, dass eine Bestimmbarkeit in der Praxis sehr häufig gegeben ist.

Die weiteren im BDSG genannten Voraussetzungen für den Personenbezug, nämlich

  • das Merkmal „Einzelangaben“ und
  • das Merkmal „persönliche oder sachliche Verhältnisse“,

sind in der Regel erfüllt und müssen nur selten näher geprüft werden. „Einzelangaben“ sind alle Angaben, die etwas über eine Person aussagen, also im Ergebnis nahezu alles. Und „persönliche oder sachliche Verhältnisse“ decken alles ab, was sich auf eine Person bezieht, von der Wirtschaftslage über den Familienstand bis hin zu verwandtschaftlichen Verflechtungen.

Gegenbegriffe zu personenbezogenen Daten

Gegenbegriffe zu den personenbezogenen Daten sind zum einen die anonymen Daten (§ 3 Abs. 6 BDSG) und zum anderen die pseudonymen Daten (§ 3 Abs. 6a BDSG). Beide Maßnahmen, die Anonymisierung wie auch die Pseudonymisierung im Datenschutz, sorgen dafür, dass eine Person nicht mehr bestimmt oder bestimmbar ist. Sie unterscheiden sich durch den Grad der Wahrscheinlichkeit, mit dem es doch noch zu einer Bestimmung kommen kann.

Andreas Grimme