personenbezogene Daten

Kurz erklärt: Personenbezogene Daten – Verantwortlicher – Verarbeitung

Veröffentlicht amAutorBianka

zuletzt aktualisiert am: 25. Mai 2023

Sobald ein Verantwortlicher personenbezogene Daten verarbeitet, gilt die DSGVO. Klar. Doch dieser Satz enthält gleich drei Kernbegriffe, auf die Datenschützer ganz besonders viel Wert legen: „Verantwortlicher“, „personenbezogene Daten“ und „Verarbeitung“. Aber gehen wir Schritt für Schritt vor.

Was sind „personenbezogene Daten“?

Nach DSGVO sind

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
(Art. 4, Nr. 1 DSGVO)

Anders gesagt: Alle Informationen, mit denen ich irgendwie eine Person erkennen oder sie einer konkreten Person zuordnen kann, sind personenbezogen. Im Umkehrschluss bedeutet dies, dass solche Daten, mit denen eine „Identifizierung einer natürlichen Person“ nicht mehr möglich ist, auch keine personenbezogenen Daten mehr sind. Diese Daten sind „anonym“ und fallen nicht unter den Anwendungsbereich der DSGVO. Sie können also ohne Rechtsgrundlage (Erlaubnistatbestand) verarbeitet werden. Doch Vorsicht: Häufig sind vermeintlich anonyme Daten tatsächlich nur pseudonyme Daten. Doch dazu später mehr.

Zunächst einmal schauen wir uns klassische personenbezogene Daten an:

Beispiele für personenbezogene Daten

Die Daten, die eine Person direkt eindeutig identifizieren, sind:

  • Name
  • Foto
  • E-Mail-Adresse mit Namen

Diese Daten als „personenbezogen“ zu erkennen, bereitet Verantwortlichen selten Schwierigkeiten.

Komplizierter wird es, wenn die Daten nicht mehr direkt eine Person identifizieren, eine Person jedoch trotzdem – indirektidentifizierbar ist,

insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen
(Art. 4, Nr. 1 DSGVO)

Bei den „Kennungen“ handelt es sich zum Beispiel um:

  • Namen = Nicknames, z.B. für Online-Spiele oder Foren
  • Kennnummer = Personalnummer/ Mitgliedsnummer etc. oder auch das Kfz-Kennzeichen
  • Standortdaten = GPS-Punkt
  • Online-Kennung = IP-Adresse

Nehmen wir das Beispiel Kfz-Kennzeichen. Die Identifikation einer Person allein anhand des Kfz-Kennzeichens ist nicht für jedermann möglich. Jedoch kann man grundsätzlich das Kennzeichnen ganz klar einer Person zuordnen. Über das Kfz-Kennzeichen ist eine Person also identifizierbar. Es handelt sich demnach um ein personenbezogenes Datum. Gleiches gilt für die

  • Steuernummer
  • Kreditkartennummer
  • Ausweisnummer

Nur, weil nicht jeder sofort auf die konkrete Person hinter der Nummer zugreifen kann, ist es dennoch grundsätzlich möglich. Hinzu kommt, dass man solche Daten selten für sich alleine erfasst, sondern diese meist im Zusammenhang mit einer konkreten Person verarbeitet (sprich: Name + Mitgliedsnummer)

Pseudonymisierte Daten

Pseudonymisierung ist eine Maßnahme, um personenbezogene Daten zu schützen, also ein Sicherungsmechanismus nach Art. 25 DSGVO („Privacy by Design/ Privacy by Default“).

„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; (Art. 4, Nr. 5)

Nutzt man also Pseudonyme, um das Risiko eines direkten Personenbezuges zu verringern, muss man die Zuordnungstabelle sicher aufbewahren und darf diese nur für einen sehr eng begrenzten Personenkreis verfügbar machen.

Da es sich bei diesen Daten weiterhin um personenbezogene Daten handelt, benötigt der Verantwortliche für deren Verarbeitung weiterhin eine Befugnisnorm. (vgl. Art. 6 DSGVO)

Anonyme Daten

Anonym sind Daten erst dann, wenn auch der Verantwortliche diese nicht mehr (oder nur mit erheblichem Aufwand) einer konkreten Person zuordnen kann. Ab wann das der Fall ist, ist es schwierig zu sagen, denn: Allein das Weglassen des Namens bzw. das Nicht-Erstellen einer Zuordnungstabelle, reicht im Zweifel nicht aus, wenn durch die Verbindung von Eigenschaften, eine Person identifiziert werden kann. (vergleichen Punkt „Pseudonymisierte Daten“)

Wie im Art. 4 steht, sind Daten auch dann personenbezogen, wenn eine Person identifizierbar ist

insbesondere mittels Zuordnung zu einem oder mehreren besonderen Merkmalen
(Art. 4, Nr. 1 DSGVO)

Das kann gerade bei kleinen Vereinen und Unternehmen schwierig sein. Nehmen wir als vereinfachtes Beispiel einmal die Sortierung nach Geschlecht. Wir führen eine Strichliste der Mitglieder beim Betreten des Vereinshauses, in der wir nur markieren, ob die eintretende Person männlich oder weiblich ist, um daraus eine statistische Erhebung durchzuführen. (Die Probleme, bei der Kategorisierung von nicht-binären Personen lassen wir der Einfachheit halber bewusst außen vor.)

Wenn wir nun eine statistische Auswertung der Anwesenden nach Geschlecht vornehmen wollen, könnte man in der Regel von anonymen Daten ausgehen. Wenn wir in einem Eishockeyverein jedoch 30 Männer haben, aber nur eine Frau, wäre allein die Information „weiblich“ ausreichend, um die Dame zweifelsfrei im Vereinskontext zu identifizieren. Wir hätten also nach DSGVO eine

Zuordnung (…) zu einem oder mehreren besonderen Merkmalen
(Art. 4, Nr. 1 DSGVO)

Die Information wäre also maximal pseudonym (innerhalb des Vereins wohl nicht einmal das…) und somit personenbezogen. Es kommt bei der Definition von personenbezogenen Daten also immer auf die tatsächlichen Umstände an.

Im Beitrag habe ich jetzt ganz häufig von der „Verarbeitung“ durch den „Verantwortlichen“ gesprochen. Daher noch einmal zur Klärung:

Wer ist ein „Verantwortlicher“?

Nach DSGVO ist ein

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; (…)
Art. 4, Nr. 7 DSGVO

Im Vereinskontext wäre das der Vorstand, im Betrieb die Geschäftsführung – selbst, wenn die Bereichsleitungen/ Beiräte selbst entscheiden können, wie sie arbeiten…

Verantwortliche sind übrigens nicht

natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
(Art. 2, Abs. 2, lit. c DSGVO)

Das heißt, Familienmitglieder, die eine Hochzeit organisieren oder ein Fotobuch drucken, werden von der DSGVO nicht berührt… Das sogenannte „Haushaltsprivileg“ verlässt man im Übrigen jedoch schon dann, wenn man beispielsweise Bilder auf facebook veröffentlicht! (Das musste eine Grußmutter erfahren, die ohne Einwilligung der Mutter ein Bild ihrer Enkelin auf Facebook veröffentlichte)

Das heißt: Wenn Sie Bilder Ihrer Vereinsmitglieder auf der Website, bei Facebook oder über den Whatsapp-Kanal teilen, benötigen Sie dafür eine Rechtsgrundlage!

Bleibt noch zum Schluss die Frage:

Was ist eine „Verarbeitung“?

Den Begriff der Verarbeitung fasst die DSGVO bewusst sehr weit und meint damit

„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Art. 4, Nr. 2 DSGVO

Eine Reinigungskraft, die beim Putzen zufällig Kenntnis von personenbezogenen Daten erhält, „verarbeitet“ keine personenbezogenen Daten. Die auftragsgemäße Vernichtung von Dokumenten mit personenbezogenen Daten über einen Entsorgungsdienstleister ist jedoch eindeutig Verarbeitungstätigkeiten, in diesem Fall wohl eine Auftragsverarbeitung.

Für jede Verarbeitungstätigkeit benötigt ein Verantwortlicher eine Befugnisnorm. Das kann ein Vertrag sein, ein berechtigtes Interesse oder eine Einwilligung.

 

Hinweis: Auch bei diesem Betrag handelt es sich, wie immer, nicht um eine Rechtsberatung.

Bildquellen

  • personenbezogene-daten: Pixabay - Clker-Free-Vector-Images