Gelegentlich wird der Begriff Datenschutz missverstanden und fälschlicherweise mit jeder Art von Daten in Verbindung gebracht. Es ist wichtig zu verstehen, dass sich der Datenschutz ausschließlich auf eine bestimmte Art von Daten bezieht, nämlich auf personenbezogene Daten. Doch was genau sind personenbezogene Daten und warum sind sie für Unternehmen so relevant? In diesem Artikel erläutern wir, worum es sich bei dieser Art von Daten handelt.

Definition personenbezogener Daten

Die entscheidende Definition des Begriffs liefert die Datenschutz-Grundverordnung. Nach Art. 4 Abs. 1 DSGVO sind „personenbezogene Daten“:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“

Die wesentlichen Elemente dieser Definition werden im Folgenden näher betrachtet.

Alle Informationen

Der Begriff „alle Informationen“ führt manchmal zu Verwirrung. Gemeint ist jede Art von Information über eine Person, d.h. jede noch so unbedeutend erscheinende Information ist relevant, wenn ein Personenbezug besteht. Im Übrigen ist es für den Datenschutz unerheblich, ob die Informationen allgemein zugänglich sind oder unter Verschluss gehalten werden.

Beispiele für Informationen mit Personenbezug:

  • Name
  • Merkmale zur Identifikation (z.B. Geburtsort)
  • Kontaktdaten (z.B. Anschrift)
  • Körperliche Merkmale (z.B. Haarfarbe)
  • Verbindungen und Beziehungen (z.B. Hinweis auf den Arbeitgeber)
  • Gesundheitsdaten (z.B. Hinweis auf körperliche Behinderung)
  • Weitere Daten (z.B. gekaufte Produkte)

Identifiziert oder identifizierbar

Nur wenn sich Daten auf eine identifizierte oder identifizierbare natürliche Person beziehen, gelten sie als personenbezogen. Beide Rechtsbegriffe werden im Folgenden erläutert:

  • Identifiziert
    Diese Daten ermöglichen einen direkten Bezug zur betroffenen Person, da sie z.B. den Namen enthalten.
  • Identifizierbar
    Unter Umständen ist nicht sofort ersichtlich, auf welche konkrete Person sich die Daten beziehen. Mit Hilfe von Zusatzwissen ist es jedoch möglich, den Personenbezug herzustellen. Ein gutes Beispiel ist das Kfz-Kennzeichen – mit Unterstützung einer Behörde könnte der Personenbezug hergestellt werden.

Relativer Personenbezug

Nach diesem Konzept spielt es eine Rolle, ob die betroffene Stelle (z.B. ein Mitarbeiter oder eine Abteilung) mit den ihr zur Verfügung stehenden Mitteln in der Lage ist, den Personenbezug herzustellen. Stehen diese Mittel nicht unmittelbar zur Verfügung und müssten sie mit verhältnismäßigem Aufwand beschafft werden, liegt ein relevanter Personenbezug vor.

Absoluter Personenbezug

Eine Identifizierbarkeit ist ausgeschlossen, wenn sich weder die Stelle noch andere Personen in der Lage befinden, überhaupt einen Personenbezug herzustellen. Es muss in der Theorie unmöglich sein, einen Personenbezug herzustellen.

Diese beiden unterschiedlichen Sichtweisen haben bereits zu zahlreichen Streitfällen geführt, die von den Gerichten entschieden werden mussten. Ein gutes Beispiel ist der Umgang mit IP-Adressen. Die meisten Unternehmen sind nicht in der Lage, diese Adressen konkreten Personen zuzuordnen (relativer Personenbezug). Mit entsprechendem Zusatzwissen (z. B. von einem Internet-Provider) wäre eine Zuordnung jedoch in vielen Fällen möglich (absoluter Personenbezug).

Abgrenzung zwischen natürlicher und juristischer Person

Eine weitere Ableitung aus der DSGVO ist die folgende: Es muss ein Bezug zu natürlichen Personen bestehen. Beziehen sich Daten hingegen auf juristische Personen, gelten sie nicht als personenbezogen. Das Datenschutzrecht kann also nur dann Anwendung finden, wenn eindeutig personenbezogene Daten vorliegen. Es ist also zu prüfen, ob solche Daten verarbeitet werden – und wenn ja, um welche Daten es sich im Einzelnen handelt.

Im rechtlichen Sinne spricht man von einer natürlichen Person, wenn es sich um einen lebenden Menschen handelt. Dabei spielt das Alter, das Geschlecht oder die Staatsangehörigkeit der Person keine Rolle. Der Umgang mit Daten verstorbener Personen ist hingegen nicht Gegenstand des Datenschutzrechts, weshalb der Datenschutz für diese Daten nicht unmittelbar gilt.

Im Gegensatz zu den natürlichen Personen gibt es juristische Personen nicht im wirklichen Leben, sondern nur im rechtlichen Sinne. Beispiele für juristische Personen sind Kapitalgesellschaften, Vereine oder Stiftungen. Informationen über juristische Personen gelten nicht als personenbezogene Daten.

Bei der Verarbeitung von Daten über juristische Personen ist jedoch Vorsicht geboten. Es gibt Fälle, in denen ein Bezug zu natürlichen Personen besteht. Wenn z. B. aus den Daten hervorgeht, welche Personen für ein Unternehmen arbeiten, liegt aufgrund der Verknüpfung wiederum ein Personenbezug vor.

Pseudonyme und anonyme Daten

Einige Unternehmen verarbeiten Daten, die zuvor pseudonymisiert oder anonymisiert wurden. Entsprechende Anpassungen der Daten können die Bestimmbarkeit der betroffenen Personen erschweren oder sogar ausschließen. Aus datenschutzrechtlicher Sicht ist eine genaue Unterscheidung relevant. Es muss geklärt werden, ob die Daten noch als personenbezogen gelten oder nicht.

Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Anonymisierte Daten sind also Daten, bei denen die Bezugsperson weder bestimmt noch bestimmbar ist. Es handelt sich also nicht mehr um personenbezogene Daten. Anders verhält es sich bei pseudonymisierten Daten. In Verbindung mit Zusatzwissen ist eine Identifizierung möglich. Ob die Daten letztlich als personenbezogene Daten zu betrachten sind, hängt von der anzuwendenden Theorie ab (relativer Personenbezug oder absoluter Personenbezug).

Besondere Kategorien personenbezogener Daten

Es gibt personenbezogene Daten, die einem erhöhten und damit strengeren Schutz unterliegen. Dies sind die „besonderen Kategorien personenbezogener Daten“. Sie sind in Art. 9 Abs. 1 DSGVO definiert:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Nachfolgend eine Aufzählung der Kategorien mit Beispielen:

  • Rassische und ethnische Herkunft (z.B. Hautfarbe)
  • Politische Meinungen (z.B. Parteimitgliedschaft)
  • Religiöse oder philosophische Überzeugungen (z.B. Glaubensrichtung)
  • Gewerkschaftszugehörigkeit (z.B. Mitglied bei Gewerkschaft XY)
  • Genetische Daten (z.B. Gensequenz aus Gentest)
  • Biometrische Daten (z.B. Fingerabdruck)
  • Gesundheit (z.B. Erkrankungen)
  • Sexualleben oder sexuelle Orientierung (z.B. Homosexualität)

Zur Einhaltung der datenschutzrechtlichen Vorgaben ist es für Unternehmen entscheidend, besondere Kategorien personenbezogener Daten eindeutig als solche zu erkennen, um einen sicheren Umgang mit ihnen zu gewährleisten.

Fazit: Verantwortung im Umgang mit personenbezogenen Daten

Für Unternehmen ist es unerlässlich, genau zu wissen, was personenbezogene Daten sind und wo sie verarbeitet werden. Nur wer Art und Umfang der verarbeiteten Daten kennt, kann die Anforderungen der DSGVO wirksam umsetzen und rechtskonform bleiben. Verantwortliche sollten daher ihre Datenverarbeitungsprozesse regelmäßig überprüfen und sicherstellen, dass angemessene Schutzmaßnahmen getroffen werden.

Datenschutz ist kein Selbstläufer – es bedarf einer kontinuierlichen Auseinandersetzung und Sensibilisierung im Unternehmen, um Risiken zu minimieren und die gesetzlichen Anforderungen zu erfüllen.