Personenbezogene Daten

Weitere rechtliche Definitionen findet man in Gesetzen, Vorschriften und Rechtsprechungen wie

• § 67 SGB-X (Definition von Sozialdaten als Unterfall der personenbezogenen Daten)
• Urteil des Europäischen Gerichtshofs (EuGH) vom 19.10.2016 (Rs. C–582/14) über den Personenbezug von IP-Adressen (Breyer-Urteil)
• Urteil des Bundesgerichtshofs (BGH) vom 16.05.2017 (Az. VI ZR 135/13) über den Personenbezug von dynamischen IP-Adressen

Angaben über eine Person

Vom Datenschutz umfasst sind „alle Informationen“, die sich direkt oder indirekt auf einen Menschen beziehen.

Das ist weit auszulegen. Einzelangaben mit Personenbezug sind beispielsweise:

• Name und Identifikationsmerkmale (z.B. Geburtsdatum, Namenszusätze, Ausweisnummer)
• Kontaktdaten (z.B. Postanschrift, E-Mail-Adresse, Telefonnummer)
• körperliche Merkmale (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck)
• geistige Zustände (z.B. Einstellungen, Überzeugungen, Geschäftsfähigkeit)
• Verbindungen und Beziehungen (z.B. Verwandtschafts- und Freundschaftsbeziehungen, Arbeitgeber)
• weitere Daten (z.B. Standortdaten, Nutzungsdaten, Handlungen, Äußerungen, Werturteile, beruflicher Werdegang, Bankverbindungen etc.)

Es geht nur um natürliche Personen

Personenbezogen sind Daten nur dann, wenn sie sich auf eine „natürliche Person“ im Rechtssinn beziehen. Gemeint ist damit ein lebender Mensch.

Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist.

Die Erwägungsgründe zur DSGVO besagen hierzu: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.“

Angaben über „juristische Personen“ (GmbH, AG, Vereine, Stiftungen etc.) sind nicht personenbezogen und deshalb nicht durch das Datenschutzrecht geschützt.

Informationen, die sich zwar auf eine juristische Person beziehen, jedoch automatisch auch Aussagen über die dahinterstehende Person treffen, sind ebenfalls als personenbezogene bzw. -beziehbare Daten zu behandeln. Das betrifft zum Beispiel Einpersonengesellschaften oder Einzelkaufleute.

Identifizierte oder identifizierbare Personen

Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt.

Beispiel für eine bestimmte Person: „Herr Schmidt arbeitet bei der Firma XY.“

Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen. Aber mithilfe von Zusatzwissen lässt sich die Person ausfindig machen.

Beispiel für eine identifizierbare Personen: „Der Mitarbeiter mit der Personalnummer 1234 hat im letzten Monat zehn Überstunden angesammelt.“

Zumindest für Mitarbeiter der Personalabteilung ist es möglich, die Personalnummer und damit die gesamte Aussage einem konkreten Menschen zuordnen.

Die Bedeutung von Zusatzwissen

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49).

Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Beispiel: IP-Adressen können personenbezogene Daten sein!

Die Frage nach dem Zusatzwissen war anhand von IP-Adressen durch EuGH und BGH entschieden worden.

Für den Telekommunikationsanbieter stellt die IP-Adresse, die er einem Internetnutzer (Kunden) zuweist, ein personenbezogenes Datum dar.

Er besitzt die tatsächliche Möglichkeit, eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.

Für einen Webseiten-Betreiber besitzt die IP-Adresse einen Personenbezug, weil er entweder eigenes Zusatzwissen nutzen kann (z.B. wenn ein Seitennutzer das Kontaktformular nutzt und dort personenbezogene Daten einträgt) oder weil er rechtliche Möglichkeiten besitzt, die Angabe beim Telekommunikations-Anbieter nachzufragen.

Das ist grundsätzlich immer der Fall, so der BGH. Denn er kann sich etwa bei Cyberattacken an die zuständige Behörde wenden. Er besitzt deshalb stets die rechtliche Möglichkeit, den Nutzer identifizieren zu lassen.

Aus diesem Grund stellt die IP-Adresse für einen Webseiten-Betreiber ein personenbezogenes Datum dar.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung.

Lesen Sie dazu auch den Beitrag Anonymisierung und Pseudonymisierung von Kundendaten

Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Wie definiert die DSGVO besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als solche besonderer Kategorien, wenn sie besonders sensibel und schutzbedürftig sind, weil ihre Verarbeitung erhebliche Risiken für die betroffenen Personen mit sich bringen kann. Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) nennt als entsprechende personenbezogene Daten solche,

• aus denen die rassische und ethnische Herkunft,
• politische Meinungen,
• religiöse oder weltanschauliche Überzeugungen oder
• die Gewerkschaftszugehörigkeit hervorgehen, sowie
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
• Gesundheitsdaten oder
• Daten zum Sexualleben oder der sexuellen Orientierung.

Welche weiteren Beispiele gibt es?

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln.

Die Aufsichtsbehörden für den Datenschutz nennen als Beispiele

• die Einnahme von Medikamenten,
• die körperliche oder geistige Verfassung oder
• den regelmäßigen Besuch einer bestimmten Kirche.

Was müssen Verantwortliche beachten, wenn sie solche Daten verarbeiten?

Verantwortliche dürfen personenbezogene Daten besonderer Kategorien nicht verarbeiten. Es sei denn, die Verarbeitung ist in den besonderen Fällen, die Art. 9 DSGVO nennt, zulässig.

Ausnahmen vom allgemeinen Verbot, diese besonderen Kategorien personenbezogener Daten zu verarbeiten, bestehen unter anderem,

• wenn die betroffene Person für einen oder mehrere festgelegte Zwecke eindeutig eingewilligt hat, oder
• bei bestimmten Notwendigkeiten, die Art. 9 DSGVO nennt. Dazu gehört unter anderem der Schutz lebenswichtiger Interessen.

Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat. Oder die Verarbeitung erfolgt auf einer speziellen Rechtsgrundlage und ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen.

Ist die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich, müssen Verantwortliche eine Datenschutz-Folgenabschätzung durchführen.

Zudem müssen sie einen Datenschutzbeauftragten benennen, wenn in dieser umfangreichen Datenverarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt.

Was gehört nicht zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO?

Die Erwägungsgründe zur DSGVO nennen auch Fälle, in denen man fälschlich davon ausgehen könnte, dass personenbezogene Daten besonderer Kategorie vorliegen. So soll die Verarbeitung von Lichtbildern nicht grundsätzlich eine Verarbeitung besonderer Kategorien von personenbezogenen Daten sein.

Denn Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten“ erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren oder zu authentifizieren.

Die Datenschutz-Aufsichtsbehörden nennen zudem Beispiele, wann Angaben zu personenbezogenen Daten besonderer Kategorie nicht automatisch die strengeren Vorgaben für die Verarbeitung mit sich bringen:

• Demnach ist bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit kein Gesundheitsdatum.
• Der rein geographische Geburtsort ist keine Angabe über die rassische oder ethnische Herkunft.
• Und der einmalige Besuch eines Sakralbaus ist keine Aussage über eine religiöse Überzeugung.

Weitere Beispiele für personenbezogene Daten

Fotos von Personen: Jede Fotografie, auf der ein Mensch abgebildet ist, stellt ein personenbezogenes Datum dar.

Jedoch fallen solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ gemacht werden, nicht in den Anwendungsbereich der DSGVO.

Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Anderes gilt, wenn Fotos einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann.

So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DSGVO in diesen Fällen Anwendung findet.

Fahrzeugdaten: Jedes Fahrzeug ist mit einer eindeutigen Fahrgestellnummer gekennzeichnet. Diese Fahrzeug-Identifizierungsnummer ist in Deutschland über eine Auskunft beim Kraftfahrtbundesamt auf den gegenwärtigen und ehemaligen Halter des Fahrzeugs rückführbar.

Es gibt auch weitere Möglichkeiten, aus einem Fahrzeug erhobene Daten auf den Halter oder Fahrer zurückzuführen, z.B. über das Kfz-Kennzeichen.

Die bei vernetzten Fahrzeugen von Steuergeräten generierten oder verarbeiteten Daten können daher personenbezogen sein oder unter bestimmten Voraussetzungen personenbezogen werden.

Je nachdem, welche Fahrzeugdaten vorliegen, sind gegebenenfalls Rückschlüsse z.B. auf Fahrverhalten, Standort oder Fahrtroute bzw. auf das Nutzungsverhalten möglich.