„Personenbezogene Daten: Was ist das?
Der Begriff personenbezogener Daten wird in Artikel 4 der Datenschutz Grundverordnung (DSGVO) definiert. Danach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
Doch was bedeutet identifizierte oder identifizierbare natürliche Person? Es geht immer um die Daten von Personen und nicht um Daten von Unternehmen oder Behörden. Und zwischen der Information und der (bestimmten oder bestimmbaren) natürlichen Person muss man eine Verbindung herstellen können.
Dabei gilt:
Ob die Person der Information tatsächlich zugeordnet wird – also identifiziert wird – , ist unerheblich.
Es sind nur lebende Personen gemeint, die Daten von Verstorbenen sind nicht geschützt.
Bei der Information kann es sich auch im Teilinformationen handeln, die gemeinsam zur Identifizierung der Person führen.
Die Zuordnung kann unmittelbar oder auch mittelbar – also nur zusammen mit weiteren Informationen – möglich sein.
Personenbezogene Daten sind etwa der Name, die Wohnadresse oder auch die IP Adresse.
2. Was sind Beispiele für personenbezogene Daten nach der DSGVO?
Unter die Definition für personenbezogene Daten fallen zahlreiche Informationen und Arten von Informationen, die wir hier nicht alle aufzählen können. Hier nennen wir nur einige Beispiele:
Allgemeine Personendaten:
Name und Vorname
eine Privatanschrift
Telefonnummer
eine E-Mail-Adresse wie vorname.nachname@unternehmen.com
Geburtsdatum
Alter
Kennnummern:
Sozialversicherungsnummer
Steueridentifikationsnummer
Krankenversicherungsnummer
Personalausweisnummer
Matrikelnummer
Kontodaten:
Kontonummern
Online Kennungen und Online PIN
Kreditinformationen
Kontostände
Online-Daten:
IP Adresse
Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen)
Physische Merkmale:
Geschlecht
Haut-, Haar- und Augenfarbe
Statur
Kleidergröße
Besitzmerkmale:
Fahrzeug- und Immobilieneigentum
Grundbucheintragungen
Kfz-Kennzeichen
Zulassungsdaten
Kundendaten:
Bestellungen
Adressdaten
Kontodaten
Werturteile:
Schul- und Arbeitszeugnisse
3. Was sind keine personenbezogenen Daten nach der DSGVO?
Liegen die Voraussetzungen der Definition nicht vor, liegen keine personenbezogenen Daten vor. Das klingt einfach. Doch es gibt zahlreiche Fälle, in denen auf den ersten Blick nicht so ganz klar ist, ob es sich nun um personenbezogene Daten handelt oder nicht. Was ist zum Beispiel, wenn die Daten unkenntlich gemacht werden? Oder wenn die Mail-Adresse Tausenden von Personen zugeordnet werden kann?
Anonymisierte Daten
Im ersten Fall handelt es sich um sogenannte anonymisierte Daten. Das bedeutet: Sie heben den Bezug zu einer identifizierten oder identifizierbaren Person auf. In der Folge ist eine Re-Identifizierung praktisch nicht durchführbar. Ausreichend ist, dass der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann. Im Fall der Anonymisierung liegen keine personenbezogenen Daten vor. Die Anonymisierung muss dazu unumkehrbar sein.
Beispiele:
Löschen einer Kundennummer
Politische Wahle
Pseudonymisierte Daten
Von den anonymisierten Daten müssen Sie die pseudonymisierten Daten abgrenzen. In diesem Fall geben Sie einer betroffenen Person ein Kennzeichen oder sie benutzt dieses selbst. Das kann zum Beispiel ein Code in Form einer Kombination aus Zahlen und Buchstaben sein. Hierdurch ist die Wahrscheinlichkeit, dass Daten dieser Person zugeordnet werden können, so gering, dass sie ohne Kenntnis der jeweiligen Zuordnungsregel zwischen Kennzeichen und Person nach der Lebenserfahrung oder dem Stand der Wissenschaft praktisch ausscheidet.
Beispiel: Nickname in E-Mail
Sachdaten
Dann gibt es noch die Sachdaten. Diese sind schon nach der Definition keine personenbezogenen Daten, weil sich ihr Informationsgehalt, also die in der Information verkörperte Aussage, nicht auf eine Person, sondern einen Gegenstand bezieht. Anders ist es, wenn mit der Sachinformation gleichzeitig eine Aussage zur Person getroffen wird.
Beispiel: Standortdaten.
Diese beschreiben eigentlich nur einen Ort, an dem sich ein Smartphone o.ä. befindet. Der Nutzer des Smartphones trägt es aber in der Regel ständig mit sich herum, nutzt es sehr stark. Ein Personenbezug ist dann doch gegeben.
Informationen über juristische Personen wie Gesellschaften, Vereine und Stiftungen
Auch Informationen über juristische Personen wie Gesellschaften, Vereine und Stiftungen fallen nicht unter personenbezogenen Daten, weil sie sich nicht auf eine natürliche Person beziehen. Ausnahme: Die Angaben beziehen sich auch auf die hinter der juristischen Person stehenden Personen, sie auf sie „durchschlagen“.
Beispiel: GmbH einer Einzelperson oder Einzelfirma, wenn die natürliche Person mit der juristischen Person eng finanziell, persönlich oder wirtschaftliche verflochten ist.
Weitere Beispiele für nicht personenbezogene Daten:
Handelsregisternummer
E-Mail-Adresse wie info@unternehmen.com
4. Was sind besondere Kategorien personenbezogener Daten?
Einige Arten personenbezogener Daten sind in höherem Maße schützenswert, weil sie besonders sensibel sind. Dazu sagt Artikel 9 Absatz 1 DSGVO:
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Zu diesen Daten besonderer Kategorien gehören demnach:
Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
Gesundheitsdaten oder
zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
Artikel 4 Nr. 14 definiert „biometrische Daten“: Diese sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
5. Wie sind personenbezogene Daten besonderer Kategorien geschützt?
Diese vertraulichen Daten benötigen und genießen einen besonderen Schutz. Die DSGVO spricht auch von besonderen Kategorien personenbezogener Daten (Artikel 9 DSGVO). Sie dürfen personenbezogene Daten besonderer Kategorien grundsätzlich nicht verarbeiten. Ausnahme: Die Person hat ausdrücklich ihre Einwilligung erteilt.
Praxistipp: Beachten Sie folgende Punkte, wenn Sie die Einwilligung einholen:
Die Einwilligung muss sich explizit auf die Verarbeitung besonderer Kategorien beziehen.
Weisen Sie den Betroffenen darauf hin, dass die Daten besonders sensibel sind. Der Betroffene muss zudem freiwillig einwilligen.
Informieren Sie den Betroffenen, dass er die Einwilligung widerrufen kann.
Es gibt weitere Ausnahmen, in denen Sie die die Daten auch ohne Einwilligung der betreffenden Person verarbeiten dürfen:
Die Verarbeitung personenbezogener Daten ist (sinngemäß) erforderlich bzw. erfolgt,
damit Sie oder die betroffene Person Ihre Rechte und Pflichten aus dem Arbeits- oder Sozialrecht wahrnehmen können,
zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person und die betroffene Person kann aus körperlichen oder rechtlichen Gründen nicht einwilligen,
weil eine bestimmte Organisation (z.B. politische oder religiöse) die Daten ohne Gewinnerzielungsabsicht zu internen Zwecken verarbeitet und der Betroffene einen Bezug zu der Organisation hat,
weil die Person die Daten offensichtlich öffentlich gemacht hat,
damit Rechtsansprüche geltend gemacht werden können,
weil ein erhebliches öffentliches Interesse an der Verarbeitung personenbezogenere Daten besteht,
für Zwecke der Gesundheitsvorsorge o.ä.,
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren,
für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.
6. Was muss ich beachten wenn ich personenbezogene Daten nach DSGVO verarbeite?
Sobald Sie personenbezogene Daten verarbeiten, müssen Sie im Wesentlichen folgende Punkte beachten:
Sie brauchen eine Einwilligung der betreffenden Person oder eine gesetzliche Grundlage für die Verarbeitung personenbezogener Daten (z.B. Vertragserfüllung). Beachten Sie dabei auch die Form der Einwilligung.
Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.
Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.
Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.
Sie müssen personenbezogene Daten angemessen schützen. Welche Maßnahmen „angemessen“ sind, orientiert sich am Stand der Technik, den notwendigen Kosten, den Umständen und Risiken.
Nutzer haben einen Anspruch darauf, dass Sie personenbezogene Daten löschen oder sperren, wenn Sie nicht mehr berechtigt sind die Daten zu verwenden, z.B. weil der Zweck entfallen ist.
Der Betroffene kann von Ihnen verlangen, seine personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.
Fordert die Aufsichtsbehörde Sie auf, müssen Sie ihr nachweisen können, dass Sie alle Datenschutzprinzipien einhalten.
Sofern Sie die personenbezogenen Daten nicht beim Betroffenen einholen, müssen Sie den Betroffenen darüber umfassend informieren (Art. 14 DSGVO).
Sie müssen die Verarbeitung personenbezogener Daten in Ihre Datenschutzerklärung aufnehmen.
7. Sind auch personenbezogene Daten geschützt, wenn ich sie nur auf ein Paper schreibe?
Ja. Die DSGVO schützt personenbezogene Daten nicht nur, wenn Sie sie elektronisch speichern. Auch wenn Sie die Daten beispielsweise mittels Videoüberwachung speichern oder mit einem Stift auf einem Zettel notieren, müssen Sie die DSGVO beachten. Die DSGVO ist also technologieneutral und gilt für die automatisierte wie die manuelle Verarbeitung, sofern die Daten nach vorherbestimmten Kriterien (z. B. alphabetische Reihenfolge) geordnet sind.
8. Welche Rechte haben Betroffene, wenn ich ihre personenbezogenen Daten verarbeite?
Wenn Sie personenbezogene Daten verarbeiten, haben die Betroffenen (also Ihre Kunden oder Webseitenbesucher) bestimmte Rechte. Das sind im Wesentlichen:
Sie können Auskunft über die Informationen verlangen, welche Daten wie zu welchem Zweck gespeichert oder verarbeitet werden.
Sie können verlangen, dass ihre unrichtigen Daten berichtigt werden.
In bestimmten Fällen können sie die Löschung verlangen, z.B. wenn eine Einwilligung widerrufen werden soll.
Sie können die Korrektur oder Einschränkung der Daten verlangen, z.B. wenn diese Daten nicht korrekt sind.
Sie können in bestimmten Fällen verlangen, dass ihre Daten in einem gängigen Format an einen Dritten herausgeben werden.“
https://www.e-recht24.de/artikel/datenschutz/12808-was-sind-personenbezogene-daten.html
*
„Was bedeutet Datenschutz nach DSGVO und BDSG?
Lexikon, zuletzt bearbeitet am: 22.03.2022
Was bedeutet Datenschutz nach DSGVO und BDSG?
Lexikon, zuletzt bearbeitet am: 22.03.2022 | 1 Kommentar
Inhaltsverzeichnis
Deutsches Datenschutzrecht
Recht auf informationelle Selbstbestimmung
Bundesdatenschutzgesetz (BDSG)
Datenschutzrecht der EU
Allgemeines
DSGVO – Datenschutz-Grundverordnung
Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden. Dazu zählen auch der Schutz des Persönlichkeitsrechts und der Privatsphäre sowie das Recht auf informationelle Selbstbestimmung.
Deutsches Datenschutzrecht
Recht auf informationelle Selbstbestimmung
Das Recht auf informationelle Selbstbestimmung beinhaltet, dass jeder grundsätzlich selbst entscheiden kann, wem wann welche seiner personenbezogenen Daten zugänglich gemacht werden und wie diese verwendet werden. Es ist in Deutschland seit dem Volkszählungsurteil durch das Bundesverfassungsgericht [BVerfG] als Ausprägung des allgemeinen Persönlichkeitsrechts und der Menschenwürde und damit als Grundrecht anerkannt (vgl. BVerfG, Urteil vom 15. Dezember 1983, Az. 1 BvR 209, 269, 362, 420, 440 484/83).
Die rechtliche Herleitung erfolgt demnach aus Artikel 2 Absatz 1 Grundgesetz [GG] in Verbindung mit Artikel 1 Absatz 1 GG. Der Schutzbereich dieses Grundrechts ist denkbar weit gefasst und umfasst sämtliche Daten des Einzelnen. In seiner negativen Ausformung umfasst der Schutzbereich auch das Recht auf Nichtwissen.
Einschränkungen des Rechts auf informationelle Selbstbestimmung stehen unter dem Vorbehalt des Gesetzes und bedürfen daher einer gesetzlichen Rechtsgrundlage.Diese bilden die Datenschutzgesetze:
Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz [BDSG] regelt auf Bundes – Ebene den Umgang mit personenbezogenen Daten und wird durch die Datenschutzgesetze der Länder (Landesdatenschutzgesetze) sowie spezialgesetzlichen Regelungen für bestimmte Bereiche, zum Beispiel das Telekommunikationsgesetz [TKG], ergänzt. Daher gibt es auch einen Bundesdatenschutzbeauftragen, an den sich die Bürger bei Daten – Verstößen wenden können.
Am 30. Juni 2017 wurde vor dem Hintergrund der neuen Datenschutz-Grundverordnung der Europäischen Union [EU] eine Neufassung des Bundesdatenschutzgesetzes beschlossen, die am 25. Mai 2018 gemeinsam mit der Verordnung in Kraft treten wird.
§ 6 BDSG regelt, dass dem Betroffenen gegenüber der datenverarbeitenden öffentlichen oder nicht-öffentlichen Stelle gewisse Rechte zustehen:
Recht auf Auskunft, ob und welche personenbezogenen Daten bei der Stelle gespeichert sind sowie woher diese Daten stammen und warum sie gespeichert werden;
Recht auf Berichtigung bei Vorliegen falscher personenbezogener Daten;
Recht auf Erhebung einer Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde;
Recht auf Löschung oder Sperrung der personenbezogenen Daten;
Recht auf Untersagung der Weiterleitung personenbezogener Daten an Dritte.
Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten unterliegt nach dem BDSG zudem einem grundsätzlichen Verbot mit Erlaubnisvorbehalt, das heißt der Umgang mit den Daten darf nur erfolgen, wenn es eine gesetzliche Grundlage gibt oder der Betroffene zugestimmt hat (§§ 4 Absatz 1, 4a BDSG). Ein weiterer wichtiger Grundsatz ist das Prinzip der Datensparsamkeit und Datenvermeidung (§ 3a BSDG).
Nach dem BDSG ist ab 20 Mitarbeiter auch ein Datenschutzbeauftragter Pflicht (§ 32 BGSG). Dieser kümmert sich vor allem um die Datenschutzorganisation und deren Einhaltung, die auch die Datensicherheit beinhaltet. “
https://www.juraforum.de/lexikon/datenschutz
Bitte dies zu beachten, EU Recht bricht LandesRecht…
Es ist wie mit den anderen dingen wenn es um International anerkannte Angelegenheiten geht; hast du unterschrieben…
Ist es vorbei.
EU Datenschutz Historie
BITTE…
Zwingt mich nicht dazu…
In diesen dingen und sowas sage ich SEHR SELTEN…
Bin ich richtig gut!
