Die Gretchen-Frage des Datenschutzes ist regelmäßig, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht. Denn nur wenn es sich um personenbezogene Daten handelt, findet die DSGVO Anwendung.
Der Inhalt im Überblick
Was sind personenbezogene Daten?
Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO legaldefiniert, als:
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“
Der Begriff der personenbezogenen Daten ist möglichst weit auszulegen, weil der Gesetzgeber durch die Formulierung „alle Informationen“ keinerlei Einschränkungen vorgenommen hat. Darüber hinaus wird dies auch durch die ständige Rechtsprechung des EuGH getragen.
Die DSGVO definiert den Betroffenen als natürliche Person. Juristische Personen, Personenmehrheiten und -gruppen sind somit nicht Teil des Schutzbereiches der DSGVO. Handelt es sich aber um Informationen über einer Personengruppe, die auf ein identifiziertes oder identifizierbares Mitglied „durchschlagen“, ist die Information ein personenbezogenes Datum. Die Daten einer verstorbenen Person sind jedoch keine personenbezogenen Daten (Erwägungsgrund 27), außer bestimmte Daten der verstorbenen Personen weisen einen Bezug zu einer noch lebenden Person auf, die dann einen Personenbezug haben können. Da Erwägungsgrund 27 eine Öffnungsklausel für die Mitgliedstaaten vorsieht, von der Deutschland keinen Gebrauch gemacht hat, können an dieser Stelle in anderen europäisches Ländern abweichende Regelungen herrschen. Ob die Daten von Ungeborenen einen Personenbezug aufweisen, ist umstritten, da die DSGVO keine eindeutige Aussage macht. Zum Teil wird wie bei Verstorbenen vertreten, dass die nationalen Rechtssysteme in der Verantwortung stehen entsprechende Regelungen vorzunehmen (Art. 29 Datenschutzgruppe, Stellungnahme 4/2007). Die Auseinandersetzung ist jedoch primär akademisch und kann dahinstehen, wenn man der Argumentation folgt und die Daten des Ungeborenen sich jedenfalls auch auf die Mutter des Ungeborenen beziehen und insoweit ein Personenbezug vorliegen kann.
Praktische Beispiele von personenbezogenen Daten
Die praktische Einordnung von Informationen führt jedoch immer wieder zu Schwierigkeiten. Daher nachfolgend einige Beispiele zur Veranschaulichung. Zu den typischen personenbezogenen Daten zählen neben dem Namen:
- die Telefonnummer,
- die Kreditkarten- oder Personalnummern einer Person,
- die Kontodaten,
- ein Kfz-Kennzeichen,
- das Aussehen,
- die Kundennummer
- oder die Anschrift.
Darüber hinaus ist die IP-Adresse ein personenbezogenes Datum, wenn der Verarbeitende die rechtliche Möglichkeit hat den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten, welche den hinter der IP-Adresse stehenden Nutzer identifizieren kann.
Es fallen zudem Informationen, die weniger eindeutig sind, zu den personenbezogenen Daten, wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten oder auch die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten, wenn der Prüfling theoretisch identifiziert werden kann. Außerdem können auch subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen personenbezogene Daten sein, wenn beispielsweise die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Arbeitnehmers in Frage stehen.
Besondere Kategorien personenbezogener Daten
Zudem ist zu berücksichtigen, ob es sich bei den personenbezogenen Daten um besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO handeln, denn diese sind besonders geschützt und können nur ausnahmsweise unter Berücksichtigung der Vorsetzungen in Art. 9 DSGVO verarbeitet werden.
„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“
Anonym oder pseudonym?
Und zu guter Letzt soll an dieser Stelle daran erinnert werden, dass es sich bei pseudonymen Daten um personenbezogene Daten handelt, die vollumfänglich den Regelungen der DSGVO unterliegen (Vgl. Art. 4 Nr. 5 DSGVO). Werden jedoch anonyme Daten verarbeitet, findet die DSGVO keine Anwendung (EG 26). Die „Flucht“ in die Anonymisierung ist jedoch herausfordernd, weil die Anforderungen an die Anonymisierung hoch sind.
Datenschutz = Schutz personenbezogener Daten
Datenschutz ist kein reiner Selbstzweck, der den Schutz der Daten bezweckt. Sondern als Ausprägung der informationellen Selbstbestimmung grundrechtliche personenbezogene Daten schützt. Es somit im Einzelfall zu prüfen, ob zu verarbeitenden Daten einen Personenbezug aufweisen oder nicht.
Vielen Dank für die Zusammenfassung. Handelt es sich dann bei einer Unique ID, welche üblicherweise von Analyse-Cookies genutzt wird, auch um ein pseudonymes personenbezogenes Datum, auch wenn die natürliche Person nicht namentlich identifiziert werden kann?
Bei UIDs kommt es darauf an, welches Objekt durch den Code dargestellt wird. Grundsätzlich handelt es sich bei UIDs um einen eindeutigen Bezeichner, durch den das codierte Objekt klar identifizierbar bleibt. Das heißt auch, wenn sich hinter einem UID ein personenbezogenes Datum verbirgt, dieses „nur“ pseudonymisiert ist.
Durch die Aufzählung von Beispielen für „typische“ personenbezogene Daten, wie z. B. Name, Anschrift, Telefonnummer, wird m. E. regelmäßig der falsche Eindruck erweckt, dass es vom jeweiligen Datum abhängt, ob es personenbezogen ist oder nicht. Dies führt in der Datenschutzpraxis leicht zu Missverständnissen.
Es kommt aber allein darauf an, ob das Datum einer konkreten Person zugeordnet werden kann oder nicht, so dass prinzipiell jedes Datum personenbezogen sein kann.
So wäre „Einfamilienhaus“ beispielsweise ein personenbezogenes Datum, wenn es sich um das Einfamilienhaus von Max Müller handelt. Umgekehrt ist eine Telefonnummer beispielsweise nicht personenbezogen, wenn es sich um die einer Behörde oder eines Unternehmens handelt.
Vielen Dank für den wichtigen Hinweis. Personenbezogene Daten sind tatsächlich ALLE Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wie in Art. 4 Nr. 1 DSGVO normiert. Die Aufzählung im Beitrag sollte selbstverständlich nur exemplarisch sein und kann auf Grund der unterschiedlichen Kombinationen nicht abschließend dargestellt werden.
Wie beurteilt sich das denn bei sog. Negativauskünften?
§ 24 LDSG RP stellt etwa den unbefugten Abruf von pbD unter Geldbuße. Der Abgleich mit der Datenbank ergibt jedoch, dass keine Information zu Max Mustermann vorliegen. Mit der Nichtinformation wurde mE kein pbD abgerufen. Allerdings wird dieses Negativauskunft nun mit Max Mustermann verknüpft. Spätestens mit der Übermittlung dieser Information dürfte dann wiederum ein pbD vorliegen?
Der Begriff der Datenverarbeitung ist sehr weit gefasst (vgl. Art. 4 Nr. 2 DSGVO), sodass auch ein Abgleich darunter fällt. Bei der von Ihnen zitierten Norm wäre vielmehr das Merkmal unbefugt nicht einschlägig. Richtig ist aber, dass bei einer Negativauskunft zwangsweise personenbezogene Daten anfallen und verarbeitet werden. Dem Umstand und seinen Folgen hatten wir uns im Beitrag Negativauskunft: Informationspflicht bei Bearbeitung des Auskunftsersuchens? gewidmet.