- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Was sind personenbezogene Daten?

Personenbezogene Daten sind ein Kernbegriff des Datenschutzes. Nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen, kommt das Datenschutzrecht zur Anwendung. Lassen sich Daten dagegen keinem Menschen zuordnen, müssen keine datenschutzrechtlichen Regeln beachtet werden.

Der Begriff der „personenbezogenen Daten“ ist gesetzlich definiert in Art. 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO) [1] als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

Der Umgang mit personenbezogenen Daten ist in erster Linie in der DSGVO geregelt. Wenn andere Gesetze Aussagen über personenbezogenen Daten enthalten, verweisen sie entweder direkt auf die Datenschutzgesetze. Oder sie enthalten eigene, aber inhaltlich konforme Formulierungen, beispielsweise § 67 SGB X (Definition der Sozialdaten).

Gesetze, Vorschriften und Rechtsprechung

Angaben über eine Person

Vom Datenschutz umfasst sind „alle Informationen“, die sich direkt oder indirekt auf einen Menschen beziehen. Dies ist weit auszulegen.

Einzelangaben mit Personenbezug sind beispielsweise:

Natürliche Person

Personenbezogen sind Daten nur dann, wenn sie sich auf eine „natürliche Person“ im Rechtssinn beziehen. Gemeint ist damit ein lebender Mensch, egal welchen Alters und welcher Nationalität. Die Datenschutzvorschriften gelten somit gleichermaßen für Nicht-EU-Bürger.

Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist. Angaben über „juristische Personen“ (GmbH, AG, Vereine, Stiftungen etc.) sind nicht personenbezogen und deshalb nicht durch das Datenschutzrecht geschützt.

Identifizierte oder identifizierbare Personen

Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Zusatzwissen

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49). Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Beispiel: IP-Adressen

Die Frage nach dem Zusatzwissen war anhand von IP-Adressen durch EuGH und BGH entschieden worden.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung.

Besondere Kategorien von personenbezogenen Daten

Hierbei handelt es sich um einen Teilbereich der personenbezogenen Daten. Die „Besonderen Kategorien personenbezogener Daten“ unterliegen einem strengeren Schutz.

___________________

Definition nach BDSG-alt:

Die maßgebliche Definition des Begriffs „personenbezogene Daten“ ist in § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) enthalten. Auf ihn nehmen andere Datenschutzgesetze entweder Bezug, oder er wird dort mehr oder weniger wörtlich wiederholt. Demnach sind personenbezogene Daten

Wichtig für die Praxis

Für die Praxis ist zunächst wichtig, dass ein Personenbezug nur bei Daten natürlicher Personen gegeben sein kann. Natürliche Personen lassen sich – etwas unjuristisch – als „Menschen aus Fleisch und Blut“ definieren.

Die Daten juristischer Personen (GmbH, Aktiengesellschaft usw.) sind also nicht erfasst. Einzige Ausnahme: Daten einer so genannten „Ein-Mann-GmbH“, bei der also Gesellschafter und Geschäftsführer identisch sind und aus einer einzigen Person bestehen, gelten auch als Daten dieses Gesellschafters/Geschäftsführers.

Auf den ersten Blick könnte man meinen, dass dies in der Praxis eine Erleichterung bringt. Das Gegenteil ist jedoch der Fall. Da man einer GmbH ohne nähere Recherchen in der Regel nicht ansehen kann, ob es sich um eine Ein-Mann-GmbH handelt, muss man zunächst einmal davon ausgehen, dass sich hinter jeder GmbH eine Ein-Mann-GmbH verbergen kann. Das führt dazu, dass z.B. auch eine Kundendatei, in der nur Daten von GmbHs enthalten sind, zunächst einmal als personenbezogen zu betrachten ist.

Dies gilt natürlich nur unter der Voraussetzung, dass die Person, um die es geht, bestimmt oder bestimmbar ist:

Die weiteren im BDSG genannten Voraussetzungen für den Personenbezug, nämlich

sind in der Regel erfüllt und müssen nur selten näher geprüft werden. „Einzelangaben“ sind alle Angaben, die etwas über eine Person aussagen, also im Ergebnis nahezu alles. Und „persönliche oder sachliche Verhältnisse“ decken alles ab, was sich auf eine Person bezieht, von der Wirtschaftslage über den Familienstand bis hin zu verwandtschaftlichen Verflechtungen.

Gegenbegriffe zu personenbezogenen Daten

Gegenbegriffe zu den personenbezogenen Daten sind zum einen die anonymen Daten (§ 3 Abs. 6 BDSG) und zum anderen die pseudonymen Daten (§ 3 Abs. 6a BDSG). Beide Maßnahmen, die Anonymisierung wie auch die Pseudonymisierung im Datenschutz [3], sorgen dafür, dass eine Person nicht mehr bestimmt oder bestimmbar ist. Sie unterscheiden sich durch den Grad der Wahrscheinlichkeit, mit dem es doch noch zu einer Bestimmung kommen kann.

Andreas Grimme