Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

Personenbezogene Daten

Der Begriff „personenbezogene Daten“ ist gesetzlich definiert in Art. 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO) als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

„Personenbezogene Daten“ in der DSGVO

Als identifizierbar bezeichnet die DSGVO eine natürliche Person, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

➜ Was heißt das konkret für den Umgang mit personenbezogenen Daten?

Was sind besondere Kategorien personenbezogener Daten?

Die Bestimmungen zu den besonderen Kategorien personenbezogener Daten finden sich in Aer. 9 DSGVO
Bild: iStock.com / metamorworks
Wichtige Datenschutz-Begriffe
Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Analyse
4. Oktober 2021

IP-Adressen: So prüfen Sie die Speicherpraxis

IP-Adressen: So prüfen Sie die Speicherpraxis
Bild: popba / iStock / Thinkstock
Datenschutz für IP-Adressen
IP-Adressen: So prüfen Sie die Speicherpraxis

Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?

Ratgeber
2. Mai 2020

Praxishinweise zum Kopieren von Personalausweisen

Praxishinweise zum Kopieren von Personalausweisen
Bild: Vaselena / iStock / Getty Images Plus
Allgemeiner Datenschutz
Praxishinweise zum Kopieren von Personalausweisen

Wer einen Mobilfunkvertrag abschließt oder eine Wohnung sucht, muss häufig seinen Personalausweis vorlegen. Oft macht dann der Anbieter eine Kopie des Dokuments. Aber gibt es für die Speicherung dieser personenbezogenen Daten überhaupt eine Rechtsgrundlage?

News
18. Juni 2019

Das Volkszählungsurteil - Was steht drin?

DP
Datenschutz-Begriffe
Das Volkszählungsurteil - Was steht drin?

Am 15. Dezember 1983 hat das Bundesverfassungsgericht auf die Verfassungsbeschwerden gegen die damalige Volkszählung 1983 wesentliche Grundsätze des verfassungskonformen Datenumgangs (Umgang mit Daten) festgeschrieben. Sie haben in ihrer Weitsicht heute noch gleichermaßen Gültigkeit.

Urteil
24. Januar 2019

Antworten im Examen als personenbezogene Daten

Antworten im Examen als personenbezogene Daten
Bild: iStock.com / alvarez
Ein Scheinproblem aus Irland?
Antworten im Examen als personenbezogene Daten

Ein Examensteilnehmer schreibt eine Klausur und fällt durch. Er verlangt Einsicht in seine Bearbeitung und in die Bemerkungen der Prüfer. Das Prüfungsamt verweigert ihm dies: Weder die Bearbeitung der Klausur noch die Bemerkungen seien personenbezogene Daten, die den Prüfungskandidaten betreffen! Was sagt der EuGH dazu?

Urteil
26. März 2018

Ist das Scannen und Kopieren von Reisepass und Personalausweis erlaubt?

Ist das Scannen und Kopieren von Reisepass und Personalausweis erlaubt?
Bild: Nael005 / iStock / Thinkstock
Ausweiskopien
Ist das Scannen und Kopieren von Reisepass und Personalausweis erlaubt?

Welche Regeln gelten für Ausweiskopien? Wer darf eine Ausweiskopie anfertigen und was gilt für die Verarbeitung von personenbezogenen Daten einer Kopie des Personalausweises oder Reisepasses? Seit dem 15. Juli 2017 gelten die unten aufgeführten Regelungen.

Ratgeber
3. November 2017
3 von 3

Weitere rechtliche Definitionen findet man in Gesetzen, Vorschriften und Rechtsprechungen wie

  • § 67 SGB-X (Definition von Sozialdaten als Unterfall der personenbezogenen Daten)
  • Urteil des Europäischen Gerichtshofs (EuGH) vom 19.10.2016 (Rs. C–582/14) über den Personenbezug von IP-Adressen (Breyer-Urteil)
  • Urteil des Bundesgerichtshofs (BGH) vom 16.05.2017 (Az. VI ZR 135/13) über den Personenbezug von dynamischen IP-Adressen

Angaben über eine Person

Vom Datenschutz umfasst sind „alle Informationen“, die sich direkt oder indirekt auf einen Menschen beziehen.

Das ist weit auszulegen. Einzelangaben mit Personenbezug sind beispielsweise:

  • Name und Identifikationsmerkmale (z.B. Geburtsdatum, Namenszusätze, Ausweisnummer)
  • Kontaktdaten (z.B. Postanschrift, E-Mail-Adresse, Telefonnummer)
  • körperliche Merkmale (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck)
  • geistige Zustände (z.B. Einstellungen, Überzeugungen, Geschäftsfähigkeit)
  • Verbindungen und Beziehungen (z.B. Verwandtschafts- und Freundschaftsbeziehungen, Arbeitgeber)
  • weitere Daten (z.B. Standortdaten, Nutzungsdaten, Handlungen, Äußerungen, Werturteile, beruflicher Werdegang, Bankverbindungen etc.)

Es geht nur um natürliche Personen

Personenbezogen sind Daten nur dann, wenn sie sich auf eine „natürliche Person“ im Rechtssinn beziehen. Gemeint ist damit ein lebender Mensch.

Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist.

Die Erwägungsgründe zur DSGVO besagen hierzu: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.“

Angaben über „juristische Personen“ (GmbH, AG, Vereine, Stiftungen etc.) sind nicht personenbezogen und deshalb nicht durch das Datenschutzrecht geschützt.

Informationen, die sich zwar auf eine juristische Person beziehen, jedoch automatisch auch Aussagen über die dahinterstehende Person treffen, sind ebenfalls als personenbezogene bzw. -beziehbare Daten zu behandeln. Das betrifft zum Beispiel Einpersonengesellschaften oder Einzelkaufleute.

Identifizierte oder identifizierbare Personen

Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt.

Beispiel für eine bestimmte Person: „Herr Schmidt arbeitet bei der Firma XY.“

Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen. Aber mithilfe von Zusatzwissen lässt sich die Person ausfindig machen.

Beispiel für eine identifizierbare Personen: „Der Mitarbeiter mit der Personalnummer 1234 hat im letzten Monat zehn Überstunden angesammelt.“

Zumindest für Mitarbeiter der Personalabteilung ist es möglich, die Personalnummer und damit die gesamte Aussage einem konkreten Menschen zuordnen.

Die Bedeutung von Zusatzwissen

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49).

Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Beispiel: IP-Adressen können personenbezogene Daten sein!

Die Frage nach dem Zusatzwissen war anhand von IP-Adressen durch EuGH und BGH entschieden worden.

Für den Telekommunikationsanbieter stellt die IP-Adresse, die er einem Internetnutzer (Kunden) zuweist, ein personenbezogenes Datum dar.

Er besitzt die tatsächliche Möglichkeit, eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.

Für einen Webseiten-Betreiber besitzt die IP-Adresse einen Personenbezug, weil er entweder eigenes Zusatzwissen nutzen kann (z.B. wenn ein Seitennutzer das Kontaktformular nutzt und dort personenbezogene Daten einträgt) oder weil er rechtliche Möglichkeiten besitzt, die Angabe beim Telekommunikations-Anbieter nachzufragen.

Das ist grundsätzlich immer der Fall, so der BGH. Denn er kann sich etwa bei Cyberattacken an die zuständige Behörde wenden. Er besitzt deshalb stets die rechtliche Möglichkeit, den Nutzer identifizieren zu lassen.

Aus diesem Grund stellt die IP-Adresse für einen Webseiten-Betreiber ein personenbezogenes Datum dar.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung.

Lesen Sie dazu auch den Beitrag Anonymisierung und Pseudonymisierung von Kundendaten

Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Wie definiert die DSGVO besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als solche besonderer Kategorien, wenn sie besonders sensibel und schutzbedürftig sind, weil ihre Verarbeitung erhebliche Risiken für die betroffenen Personen mit sich bringen kann. Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) nennt als entsprechende personenbezogene Daten solche,

  • aus denen die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen, sowie
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Welche weiteren Beispiele gibt es?

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln.

Die Aufsichtsbehörden für den Datenschutz nennen als Beispiele

  • die Einnahme von Medikamenten,
  • die körperliche oder geistige Verfassung oder
  • den regelmäßigen Besuch einer bestimmten Kirche.

Was müssen Verantwortliche beachten, wenn sie solche Daten verarbeiten?

Verantwortliche dürfen personenbezogene Daten besonderer Kategorien nicht verarbeiten. Es sei denn, die Verarbeitung ist in den besonderen Fällen, die Art. 9 DSGVO nennt, zulässig.

Ausnahmen vom allgemeinen Verbot, diese besonderen Kategorien personenbezogener Daten zu verarbeiten, bestehen unter anderem,

  • wenn die betroffene Person für einen oder mehrere festgelegte Zwecke eindeutig eingewilligt hat, oder
  • bei bestimmten Notwendigkeiten, die Art. 9 DSGVO nennt. Dazu gehört unter anderem der Schutz lebenswichtiger Interessen.

Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat. Oder die Verarbeitung erfolgt auf einer speziellen Rechtsgrundlage und ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen.

Ist die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich, müssen Verantwortliche eine Datenschutz-Folgenabschätzung durchführen.

Zudem müssen sie einen Datenschutzbeauftragten benennen, wenn in dieser umfangreichen Datenverarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt.

Was gehört nicht zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO?

Die Erwägungsgründe zur DSGVO nennen auch Fälle, in denen man fälschlich davon ausgehen könnte, dass personenbezogene Daten besonderer Kategorie vorliegen. So soll die Verarbeitung von Lichtbildern nicht grundsätzlich eine Verarbeitung besonderer Kategorien von personenbezogenen Daten sein.

Denn Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten“ erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren oder zu authentifizieren.

Die Datenschutz-Aufsichtsbehörden nennen zudem Beispiele, wann Angaben zu personenbezogenen Daten besonderer Kategorie nicht automatisch die strengeren Vorgaben für die Verarbeitung mit sich bringen:

  • Demnach ist bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit kein Gesundheitsdatum.
  • Der rein geographische Geburtsort ist keine Angabe über die rassische oder ethnische Herkunft.
  • Und der einmalige Besuch eines Sakralbaus ist keine Aussage über eine religiöse Überzeugung.

Weitere Beispiele für personenbezogene Daten

Fotos von Personen: Jede Fotografie, auf der ein Mensch abgebildet ist, stellt ein personenbezogenes Datum dar.

Jedoch fallen solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ gemacht werden, nicht in den Anwendungsbereich der DSGVO.

Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Anderes gilt, wenn Fotos einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann.

So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DSGVO in diesen Fällen Anwendung findet.

Fahrzeugdaten: Jedes Fahrzeug ist mit einer eindeutigen Fahrgestellnummer gekennzeichnet. Diese Fahrzeug-Identifizierungsnummer ist in Deutschland über eine Auskunft beim Kraftfahrtbundesamt auf den gegenwärtigen und ehemaligen Halter des Fahrzeugs rückführbar.

Es gibt auch weitere Möglichkeiten, aus einem Fahrzeug erhobene Daten auf den Halter oder Fahrer zurückzuführen, z.B. über das Kfz-Kennzeichen.

Die bei vernetzten Fahrzeugen von Steuergeräten generierten oder verarbeiteten Daten können daher personenbezogen sein oder unter bestimmten Voraussetzungen personenbezogen werden.

Je nachdem, welche Fahrzeugdaten vorliegen, sind gegebenenfalls Rückschlüsse z.B. auf Fahrverhalten, Standort oder Fahrtroute bzw. auf das Nutzungsverhalten möglich.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.