Personenbezogene Daten

Weitere rechtliche Definitionen findet man in Gesetzen, Vorschriften und Rechtsprechungen wie

• § 67 SGB-X (Definition von Sozialdaten als Unterfall der personenbezogenen Daten)
• Urteil des Europäischen Gerichtshofs (EuGH) vom 19.10.2016 (Rs. C–582/14) über den Personenbezug von IP-Adressen (Breyer-Urteil)
• Urteil des Bundesgerichtshofs (BGH) vom 16.05.2017 (Az. VI ZR 135/13) über den Personenbezug von dynamischen IP-Adressen

Angaben über eine Person

Vom Datenschutz umfasst sind „alle Informationen“, die sich direkt oder indirekt auf einen Menschen beziehen.

Das ist weit auszulegen. Einzelangaben mit Personenbezug sind beispielsweise:

• Name und Identifikationsmerkmale (z.B. Geburtsdatum, Namenszusätze, Ausweisnummer)
• Kontaktdaten (z.B. Postanschrift, E-Mail-Adresse, Telefonnummer)
• körperliche Merkmale (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck)
• geistige Zustände (z.B. Einstellungen, Überzeugungen, Geschäftsfähigkeit)
• Verbindungen und Beziehungen (z.B. Verwandtschafts- und Freundschaftsbeziehungen, Arbeitgeber)
• weitere Daten (z.B. Standortdaten, Nutzungsdaten, Handlungen, Äußerungen, Werturteile, beruflicher Werdegang, Bankverbindungen etc.)

Es geht nur um natürliche Personen

Personenbezogen sind Daten nur dann, wenn sie sich auf eine „natürliche Person“ im Rechtssinn beziehen. Gemeint ist damit ein lebender Mensch.

Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist.

Die Erwägungsgründe zur DSGVO besagen hierzu: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.“

Angaben über „juristische Personen“ (GmbH, AG, Vereine, Stiftungen etc.) sind nicht personenbezogen und deshalb nicht durch das Datenschutzrecht geschützt.

Informationen, die sich zwar auf eine juristische Person beziehen, jedoch automatisch auch Aussagen über die dahinterstehende Person treffen, sind ebenfalls als personenbezogene bzw. -beziehbare Daten zu behandeln. Das betrifft zum Beispiel Einpersonengesellschaften oder Einzelkaufleute.

Identifizierte oder identifizierbare Personen

Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt.

Beispiel für eine bestimmte Person: „Herr Schmidt arbeitet bei der Firma XY.“

Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen. Aber mithilfe von Zusatzwissen lässt sich die Person ausfindig machen.

Beispiel für eine identifizierbare Personen: „Der Mitarbeiter mit der Personalnummer 1234 hat im letzten Monat zehn Überstunden angesammelt.“

Zumindest für Mitarbeiter der Personalabteilung ist es möglich, die Personalnummer und damit die gesamte Aussage einem konkreten Menschen zuordnen.

Die Bedeutung von Zusatzwissen

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49).

Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Beispiel: IP-Adressen können personenbezogene Daten sein!

Die Frage nach dem Zusatzwissen war anhand von IP-Adressen durch EuGH und BGH entschieden worden.

Für den Telekommunikationsanbieter stellt die IP-Adresse, die er einem Internetnutzer (Kunden) zuweist, ein personenbezogenes Datum dar.

Er besitzt die tatsächliche Möglichkeit, eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.

Für einen Webseiten-Betreiber besitzt die IP-Adresse einen Personenbezug, weil er entweder eigenes Zusatzwissen nutzen kann (z.B. wenn ein Seitennutzer das Kontaktformular nutzt und dort personenbezogene Daten einträgt) oder weil er rechtliche Möglichkeiten besitzt, die Angabe beim Telekommunikations-Anbieter nachzufragen.

Das ist grundsätzlich immer der Fall, so der BGH. Denn er kann sich etwa bei Cyberattacken an die zuständige Behörde wenden. Er besitzt deshalb stets die rechtliche Möglichkeit, den Nutzer identifizieren zu lassen.

Aus diesem Grund stellt die IP-Adresse für einen Webseiten-Betreiber ein personenbezogenes Datum dar.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung.

Lesen Sie dazu auch den Beitrag Anonymisierung und Pseudonymisierung von Kundendaten

Besondere Kategorien von personenbezogenen Daten

Hierbei handelt es sich um einen Teilbereich der personenbezogenen Daten.

Die „besonderen Kategorien personenbezogener Daten“ unterliegen einem strengeren Schutz.

Zu ihnen gehören besonders sensible Daten wie Gesundheitsdaten, biometrische und genetische Daten, Religionszugehörigkeit etc (siehe Art. 9 DSGVO).

Weitere Beispiele für personenbezogene Daten

Fotos von Personen: Jede Fotografie, auf der ein Mensch abgebildet ist, stellt ein personenbezogenes Datum dar.

Jedoch fallen solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ gemacht werden, nicht in den Anwendungsbereich der DSGVO.

Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Anderes gilt, wenn Fotos einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann.

So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DSGVO in diesen Fällen Anwendung findet.

Fahrzeugdaten: Jedes Fahrzeug ist mit einer eindeutigen Fahrgestellnummer gekennzeichnet. Diese Fahrzeug-Identifizierungsnummer ist in Deutschland über eine Auskunft beim Kraftfahrtbundesamt auf den gegenwärtigen und ehemaligen Halter des Fahrzeugs rückführbar.

Es gibt auch weitere Möglichkeiten, aus einem Fahrzeug erhobene Daten auf den Halter oder Fahrer zurückzuführen, z.B. über das Kfz-Kennzeichen.

Die bei vernetzten Fahrzeugen von Steuergeräten generierten oder verarbeiteten Daten können daher personenbezogen sein oder unter bestimmten Voraussetzungen personenbezogen werden.

Je nachdem, welche Fahrzeugdaten vorliegen, sind gegebenenfalls Rückschlüsse z.B. auf Fahrverhalten, Standort oder Fahrtroute bzw. auf das Nutzungsverhalten möglich.