Was sind eigentlich personenbezogene Daten?

von Sigrid Suski, am 26 Februar 2019

Auch wenn ein Unternehmen keinen Datenschutzbeauftragten bestellen muss, so muss es sich dennoch um den Schutz der personenbezogenen Daten kümmern, da der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten [...] ein Grundrecht [ist] 1 .

Doch was genau sind personenbezogene Daten?

Im Sinne der Datenschutzgrundverordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
- DSGVO, Artikel 4 (1)2

Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen

Was bedeutet das jetzt genau? Nehmen wir uns die einzelnen Komponenten einmal vor.

natürliche Person

Also die Daten einer natürlichen Person. Wikipedia erklärt, dass eine natürliche Person der Mensch (in seiner Rolle als Rechtssubjekt)3 ist im Gegensatz zur juristischen Person welche z.B. Körperschaften, Vereine und Gesellschaften darstellen. Die DSGVO schützt also die Daten der kleinsten Einheit, des Menschen. Doch auch Vereine wiederum bestehen aus Menschen für die die DSGVO dann wieder Anwendung findet; nur nicht für den Verein als solcher.

Da es sich bei der DSGVO um eine europäische Verordnung handelt, gelten ihre Bestimmungen für die Verarbeitung der Daten von EU-Bürgern. Daran halten müssen sich alle die Daten von EU-Bürgern verarbeiten, also z.B. auch Unternehmen aus den Vereinigten Staaten sofern sie Daten von EU-Bürgern verarbeiten.

identifiziert oder identifizierbar

Diese natürliche Person muss identifiziert oder identifizierbar sein. Eine Person ist identifiziert, wenn die Information über die Person direkt zu ihrer Identifizierung führt. Eine Person gilt als identifizierbar, wenn die Information zusammen mit einer oder mehreren weiteren Kenntnissen über die Person zu ihrer Identifizierung führt. Hierbei handelt es sich dann um eine indirekte Information.

Informationen

Um welche Informationen handelt es sich typischerweise?

Ganz klassisch sind dies z.B. folgende Informationen:

  • Name
  • Adresse
  • Telefonnummer
  • Emailadresse
  • Kreditkartennummer
  • Kontodaten
  • Aussehen einer Person
  • Beziehungen
  • Standortdaten
  • und viele mehr

Besondere Kategorien personenbezogener Daten gelten als besonders sensibel und müssen speziell geschützt werden. Das Sammeln solcher Daten ist nur in ganz speziellen Fällen erlaubt. Unternehmen die solche Daten sammeln benötigen immer einen Datenschutzbeauftragten. Die DSGVO definiert erstmal allgemein:

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
- DSGVO, Artikel 9 (1)2

Im Nachfolgenden erläutert die DSGVO die Ausnahmen. Mit diesen werden wir uns in einem weiteren Blogartikel befassen.

1 Gründe für die Erlassung der DSGVO Verordnung (1)
2 DSGVO (EU) 2016/679
3 Definition 'Natürliche Person' bei Wikipedia

personenbezogen, Daten, DSGVO, identifizierbar, identifiziert