Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

Personenbezogene Daten

Der Begriff „personenbezogene Daten“ ist gesetzlich definiert in Art. 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO) als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

„Personenbezogene Daten“ in der DSGVO

Als identifizierbar bezeichnet die DSGVO eine natürliche Person, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

➜ Was heißt das konkret für den Umgang mit personenbezogenen Daten?

Datenweitergabe: Bundesverfassungsgericht schränkt Verfassungsschutz ein

Bundesverfassungsgericht schränkt die Datenweitergabe ein und fordert eine Überarbeitung des Bundesverfassungsschutzgesetzes.
Bild: Makhbubakhon Ismatova / iStock / Getty Images Plus
BVG-Urteil
Datenweitergabe: Bundesverfassungsgericht schränkt Verfassungsschutz ein

Darf der Verfassungsschutz nachrichtendienstlich gesammelte personenbezogene Daten an die Sicherheits- und Strafverfolgungsbehörden weitergeben? „Nur zur Verfolgung besonders schwerer Straftaten“ – sagt das Bundesverfassungsgericht in einem aktuellen Urteil. Es schränkt die Datenweitergabe ein und fordert eine Überarbeitung des Bundesverfassungsschutzgesetzes.

News
8. November 2022

Meldepflichten bei Cyberattacken | Podcast Folge 33

Podcast datenschutz-praxis
Im Gespräch mit Prof. Dr. Dieter Kugelmann
Meldepflichten bei Cyberattacken | Podcast Folge 33

Personenbezogene Daten geraten immer mehr ins Fadenkreuz von Cyberangriffen. Deshalb darf im Ernstfall trotz aller Hektik die eventuell nötige, korrekte Meldung an die Aufsichtsbehörde nicht übersehen werden. Im Interview erklärt Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter von Rheinland-Pfalz, worauf es bei der Erfüllung der Meldepflicht in diesen Fällen ankommt.

Podcast
27. Juli 2022

Informationelles Selbstbestimmungsrecht: Was ist das?

Informationelles Selbstbestimmungsrecht: Was ist das?
Bild: iStock.com / scanrail
Wichtige Datenschutz-Begriffe
Informationelles Selbstbestimmungsrecht: Was ist das?

Gemeinsam schützen Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG) und Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Deutschland das Grundrecht auf informationelle Selbstbestimmung. Doch was genau versteht man unter diesem Grundrecht?

Hintergrund
23. Juni 2022

Verarbeitung personenbezogener Daten für die Direktwerbung

Was ist Direktwerbung und was ist aus Sicht des Datenschutzes zu beachten? Antworten gibt die Datenschutzkonferenz in ihrer neuen Orientierungshilfe.
Bild: invincible_bulldog / iStock / Getty Images Plus
Neue Orientierungshilfe
Verarbeitung personenbezogener Daten für die Direktwerbung

Was ist Werbung? Wo beginnt unlauterer Wettbewerb? Was ist aus Sicht des Datenschutzes zu beachten? Antworten gibt die Datenschutzkonferenz (DSK) in ihrer aktuellen Orientierungshilfe.

News
15. März 2022

Was dürfen Vermieter bei der Wohnungsbesichtigung fragen?

Immer mehr Vermieter verlangen eine ausführliche Selbstauskunft von Mietinteressenten. Was sagen Datenschützer dazu?
Bild: iStock / Getty Images Plus / kzenon
Mietrecht
Was dürfen Vermieter bei der Wohnungsbesichtigung fragen?

Wie viele Personen wollen einziehen? Wo arbeiten Sie? Was verdienen Sie? Immer mehr Vermieter stellen solche Fragen schon vor der Wohnungsbesichtigung. Und immer mehr Mietinteressenten fühlen sich damit nicht wohl. Deshalb führt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) aktuell eine fokussierte Prüfung im Bereich Wohnungswirtschaft zum Thema „Selbstauskünfte von Mietinteressenten“ durch.

News
24. Januar 2022

Daten als Gegenleistung: jetzt anerkanntes Geschäftsmodell

DP+
Wer seine Daten z.B. gegen einen Rabatt eintauscht, hat zukünftig durch die Umsetzung der Digitale-Inhalte-Richtlinie die gleichen Verbraucherrechte, als wenn er etwas gegen Geld erstanden hätte
Bild: iStock.com / mangpor_2004
Seit 1.1.2022: Die Digitale-Inhalte-Richtlinie
Daten als Gegenleistung: jetzt anerkanntes Geschäftsmodell

Was sind personenbezogene Daten wert? Darf eine betroffene Person mit ihren Daten statt mit Geld „bezahlen“? Sind Paywalls bei Websites zulässig? Über diese und weitere Fragen diskutiert die Digitalwirtschaft seit Jahren. Der EU-Gesetzgeber schafft mit der Digitale-Inhalte-Richtlinie nun Regeln, um Daten zu monetarisieren.

Praxisbericht
3. Januar 2022

Dürfen Onlineshops das Geburtsdatum ihrer Kunden abfragen?

Im aktuellen Fall geht es um die Klage von Barbara Thiel (LfD Niedersachsen) gegen eine Versandapotheke. Das Verwaltungsgericht Hannover fällt ein Urteil.
Bild: apichon_tee / iStock / Getty Images Plus
Onlineshops
Dürfen Onlineshops das Geburtsdatum ihrer Kunden abfragen?

Nur im Ausnahmefall dürfen Onlineshops nach dem Geburtsdatum ihrer Kunden fragen. Das hat das Verwaltungsgericht Hannover in einem aktuellen Urteil entschieden und gibt damit der niedersächsischen Landesbeauftragen für den Datenschutz recht. Diese hatte gegen eine Versandapotheke geklagt.

News
15. Dezember 2021

Medien und Datenschutz | Podcast Folge 27

Podcast datenschutz-praxis
Im Gespräch mit Thomas Fuchs
Medien und Datenschutz | Podcast Folge 27

Das Medienprivileg ermöglicht z.B. Print-, TV- und Onlinemedien personenbezogene Informationen unter bestimmten Voraussetzungen für journalistische Zwecke zu verarbeiten. Medien können aber auch in ihren Aussagen selbst eine kritische Rolle für den Datenschutz spielen. Über beides sprechen wir mit Thomas Fuchs, dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.

Podcast
1. Dezember 2021

Alarmierender Bericht: Was Internetanbieter alles über ihre Kunden wissen

Amerikanische Internetanbieter sammeln und kombinieren sensible Kundendaten. Die FTC veröffentlichte einen Bericht über sechs große Anbieter.
Bild: VectorHot / iStock / Getty Images Plus
Datenschutz in den USA
Alarmierender Bericht: Was Internetanbieter alles über ihre Kunden wissen

Einen alarmierenden Bericht hat die US-amerikanische Federal Trade Commission (FTC) gerade veröffentlicht. Darin geht es um sechs große Internetanbieter in den USA, die weit mehr personenbezogene Daten sammeln und kombinieren als es ihre Kunden erwarten.

News
27. Oktober 2021

OZG und der Datenschutz | Podcast Folge 26

Podcast datenschutz-praxis
Im Gespräch mit Prof. Dr. Thomas Petri
OZG und der Datenschutz | Podcast Folge 26

Bis 2022 wollen Behörden und öffentliche Stellen ihre Verwaltungsleistungen über entsprechende Portale auch digital anbieten. Damit die Bürger diese Verwaltungsleistungen auch in Anspruch nehmen, ist Vertrauen nötig. Der Datenschutz ist deshalb in besonderer Weise gefragt. In unserer neuen Podcast-Folge sprechen wir mit Prof. Dr. Thomas Petri, dem bayerischen Landesbeauftragten für den Datenschutz.

Podcast
27. Oktober 2021
2 von 3

Weitere rechtliche Definitionen findet man in Gesetzen, Vorschriften und Rechtsprechungen wie

  • § 67 SGB-X (Definition von Sozialdaten als Unterfall der personenbezogenen Daten)
  • Urteil des Europäischen Gerichtshofs (EuGH) vom 19.10.2016 (Rs. C–582/14) über den Personenbezug von IP-Adressen (Breyer-Urteil)
  • Urteil des Bundesgerichtshofs (BGH) vom 16.05.2017 (Az. VI ZR 135/13) über den Personenbezug von dynamischen IP-Adressen

Angaben über eine Person

Vom Datenschutz umfasst sind „alle Informationen“, die sich direkt oder indirekt auf einen Menschen beziehen.

Das ist weit auszulegen. Einzelangaben mit Personenbezug sind beispielsweise:

  • Name und Identifikationsmerkmale (z.B. Geburtsdatum, Namenszusätze, Ausweisnummer)
  • Kontaktdaten (z.B. Postanschrift, E-Mail-Adresse, Telefonnummer)
  • körperliche Merkmale (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck)
  • geistige Zustände (z.B. Einstellungen, Überzeugungen, Geschäftsfähigkeit)
  • Verbindungen und Beziehungen (z.B. Verwandtschafts- und Freundschaftsbeziehungen, Arbeitgeber)
  • weitere Daten (z.B. Standortdaten, Nutzungsdaten, Handlungen, Äußerungen, Werturteile, beruflicher Werdegang, Bankverbindungen etc.)

Es geht nur um natürliche Personen

Personenbezogen sind Daten nur dann, wenn sie sich auf eine „natürliche Person“ im Rechtssinn beziehen. Gemeint ist damit ein lebender Mensch.

Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist.

Die Erwägungsgründe zur DSGVO besagen hierzu: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.“

Angaben über „juristische Personen“ (GmbH, AG, Vereine, Stiftungen etc.) sind nicht personenbezogen und deshalb nicht durch das Datenschutzrecht geschützt.

Informationen, die sich zwar auf eine juristische Person beziehen, jedoch automatisch auch Aussagen über die dahinterstehende Person treffen, sind ebenfalls als personenbezogene bzw. -beziehbare Daten zu behandeln. Das betrifft zum Beispiel Einpersonengesellschaften oder Einzelkaufleute.

Identifizierte oder identifizierbare Personen

Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt.

Beispiel für eine bestimmte Person: „Herr Schmidt arbeitet bei der Firma XY.“

Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen. Aber mithilfe von Zusatzwissen lässt sich die Person ausfindig machen.

Beispiel für eine identifizierbare Personen: „Der Mitarbeiter mit der Personalnummer 1234 hat im letzten Monat zehn Überstunden angesammelt.“

Zumindest für Mitarbeiter der Personalabteilung ist es möglich, die Personalnummer und damit die gesamte Aussage einem konkreten Menschen zuordnen.

Die Bedeutung von Zusatzwissen

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49).

Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Beispiel: IP-Adressen können personenbezogene Daten sein!

Die Frage nach dem Zusatzwissen war anhand von IP-Adressen durch EuGH und BGH entschieden worden.

Für den Telekommunikationsanbieter stellt die IP-Adresse, die er einem Internetnutzer (Kunden) zuweist, ein personenbezogenes Datum dar.

Er besitzt die tatsächliche Möglichkeit, eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.

Für einen Webseiten-Betreiber besitzt die IP-Adresse einen Personenbezug, weil er entweder eigenes Zusatzwissen nutzen kann (z.B. wenn ein Seitennutzer das Kontaktformular nutzt und dort personenbezogene Daten einträgt) oder weil er rechtliche Möglichkeiten besitzt, die Angabe beim Telekommunikations-Anbieter nachzufragen.

Das ist grundsätzlich immer der Fall, so der BGH. Denn er kann sich etwa bei Cyberattacken an die zuständige Behörde wenden. Er besitzt deshalb stets die rechtliche Möglichkeit, den Nutzer identifizieren zu lassen.

Aus diesem Grund stellt die IP-Adresse für einen Webseiten-Betreiber ein personenbezogenes Datum dar.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung.

Lesen Sie dazu auch den Beitrag Anonymisierung und Pseudonymisierung von Kundendaten

Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Wie definiert die DSGVO besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als solche besonderer Kategorien, wenn sie besonders sensibel und schutzbedürftig sind, weil ihre Verarbeitung erhebliche Risiken für die betroffenen Personen mit sich bringen kann. Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) nennt als entsprechende personenbezogene Daten solche,

  • aus denen die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen, sowie
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Welche weiteren Beispiele gibt es?

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln.

Die Aufsichtsbehörden für den Datenschutz nennen als Beispiele

  • die Einnahme von Medikamenten,
  • die körperliche oder geistige Verfassung oder
  • den regelmäßigen Besuch einer bestimmten Kirche.

Was müssen Verantwortliche beachten, wenn sie solche Daten verarbeiten?

Verantwortliche dürfen personenbezogene Daten besonderer Kategorien nicht verarbeiten. Es sei denn, die Verarbeitung ist in den besonderen Fällen, die Art. 9 DSGVO nennt, zulässig.

Ausnahmen vom allgemeinen Verbot, diese besonderen Kategorien personenbezogener Daten zu verarbeiten, bestehen unter anderem,

  • wenn die betroffene Person für einen oder mehrere festgelegte Zwecke eindeutig eingewilligt hat, oder
  • bei bestimmten Notwendigkeiten, die Art. 9 DSGVO nennt. Dazu gehört unter anderem der Schutz lebenswichtiger Interessen.

Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat. Oder die Verarbeitung erfolgt auf einer speziellen Rechtsgrundlage und ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen.

Ist die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich, müssen Verantwortliche eine Datenschutz-Folgenabschätzung durchführen.

Zudem müssen sie einen Datenschutzbeauftragten benennen, wenn in dieser umfangreichen Datenverarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt.

Was gehört nicht zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO?

Die Erwägungsgründe zur DSGVO nennen auch Fälle, in denen man fälschlich davon ausgehen könnte, dass personenbezogene Daten besonderer Kategorie vorliegen. So soll die Verarbeitung von Lichtbildern nicht grundsätzlich eine Verarbeitung besonderer Kategorien von personenbezogenen Daten sein.

Denn Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten“ erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren oder zu authentifizieren.

Die Datenschutz-Aufsichtsbehörden nennen zudem Beispiele, wann Angaben zu personenbezogenen Daten besonderer Kategorie nicht automatisch die strengeren Vorgaben für die Verarbeitung mit sich bringen:

  • Demnach ist bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit kein Gesundheitsdatum.
  • Der rein geographische Geburtsort ist keine Angabe über die rassische oder ethnische Herkunft.
  • Und der einmalige Besuch eines Sakralbaus ist keine Aussage über eine religiöse Überzeugung.

Weitere Beispiele für personenbezogene Daten

Fotos von Personen: Jede Fotografie, auf der ein Mensch abgebildet ist, stellt ein personenbezogenes Datum dar.

Jedoch fallen solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ gemacht werden, nicht in den Anwendungsbereich der DSGVO.

Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Anderes gilt, wenn Fotos einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann.

So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DSGVO in diesen Fällen Anwendung findet.

Fahrzeugdaten: Jedes Fahrzeug ist mit einer eindeutigen Fahrgestellnummer gekennzeichnet. Diese Fahrzeug-Identifizierungsnummer ist in Deutschland über eine Auskunft beim Kraftfahrtbundesamt auf den gegenwärtigen und ehemaligen Halter des Fahrzeugs rückführbar.

Es gibt auch weitere Möglichkeiten, aus einem Fahrzeug erhobene Daten auf den Halter oder Fahrer zurückzuführen, z.B. über das Kfz-Kennzeichen.

Die bei vernetzten Fahrzeugen von Steuergeräten generierten oder verarbeiteten Daten können daher personenbezogen sein oder unter bestimmten Voraussetzungen personenbezogen werden.

Je nachdem, welche Fahrzeugdaten vorliegen, sind gegebenenfalls Rückschlüsse z.B. auf Fahrverhalten, Standort oder Fahrtroute bzw. auf das Nutzungsverhalten möglich.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.