Personenbezogene Daten – Bedeutung und Erläuterung des Begriffs

Die personenbezogenen Daten werden sowohl in dem Bundesdatenschutzgesetz (BDSG) als auch in der unmittelbar in allen Mitgliedstaaten der Europäischen Union geltenden Datenschutz-Grundverordnung (DSGVO) definiert. Dabei handelt es sich um diejenigen Informationen und Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und damit Rückschlüsse auf deren Persönlichkeit zulassen. Als natürliche Person gilt dabei jeder Mensch als Träger von bestimmten Rechten und Pflichten. Demnach schließt diese Definition juristische Personen (z.B. Kapitalgesellschaften) aus.

Eine gesetzliche Definition hält die DSGVO bereit. Konkret besagt Artikel 4 Ziffer 1 DSGVO, dass auch Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer natürlichen Person sind, zu den personenbezogenen Daten zählen, wenn sie eine Identifizierung der natürlichen Person ermöglichen.

Allgemeine Kategorien personenbezogener Daten & Beispiele

Aufgrund der zahlreichen verschiedenen Arten personenbezogener Daten, werden diese hier nicht vollständig aufgelistet werden können. Dennoch erhalten Sie mit der nachfolgenden Übersicht einen Überblick über die wichtigsten Kategorien mit konkreten Beispielen für personenbezogene Daten.

  • Allgemeine Personendaten (Vor- und Nachname, Geburtsdatum, Alter, Geburtsort, Anschrift, Telefonnummer, E-Mail-Adresse, usw.)
  • Kennnummern (Personalausweisnummer, Steueridentifikationsnummer, Matrikelnummer, Sozialversicherungsnummer, usw.)
  • Bankdaten (Kreditinstitut, Kontonummer, Kreditwürdigkeit, Kreditinformationen, Kontostand, Kontoauszüge)
  • Online-Daten (GPS-Daten, IP-Adresse, Cookies)
  • Physische Merkmale (Geschlecht, Kleidergröße, Haarfarbe, Augenfarbe, Statur)
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintrag, Kfz-Kennzeichen, Zulassungsdaten)
  • Kundendaten (Adressdaten, Kontodaten, Bestellungen, Bankverbindung, Benutzerprofil)
  • Werturteile (Schul- oder Studienabschlüsse, Arbeitszeugnis, Diplome, Zertifikate)

Besondere Kategorien personenbezogener Daten

Neben den allgemeinen Kategorien gibt es auch besondere Kategorien von personenbezogenen Daten, die einem besonders hohen Schutzniveau bedürfen. Bei diesen gelten wesentlich strengere Vorschriften für die Sammlung und Verarbeitung der Daten. Laut Artikel 9 der DSGVO ist die Verarbeitung der Daten aus diesen Kategorien grundsätzlich untersagt. Zu diesen besonderen Kategorien zählen

  • “Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
  • genetische Daten und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder zur sexuellen Orientierung”.

Allerdings gelten für die Verarbeitung besonderer personenbezogener Daten einige Ausnahmen, die in Artikel 9 Ziffer 2 DSGVO geregelt sind. Diese können Sie konkret in der DSGVO nachlesen. Damit Sie an dieser Stelle schon einen kleinen Überblick zu möglichen Voraussetzungen für die Verarbeitung personenbezogener Daten erhalten, finden Sie an dieser Stelle einige der im Artikel 9 festgelegten Gründe.

Eine Verarbeitung der Daten ist zulässig, wenn die betroffene Person dieser für einen festgelegten Zweck zugestimmt hat. Weiterhin ist die Datenverarbeitung auch erlaubt, wenn diese für den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, oder die betroffene Person die Daten offensichtlich öffentlich gemacht hat.

Anonymisierte vs. pseudonymisierte Daten

Wenn personenbezogene Daten vollständig anonymisiert wurden, dann ist keine Beachtung datenschutzrechtlicher Regeln notwendig. Voraussetzung dafür ist, dass die Anonymisierung nicht mehr umgekehrt werden kann und die betroffene Person demnach nicht mehr identifizierbar ist.

Vorsicht ist jedoch geboten, wenn es sich um pseudonymisierte Daten handelt. Diese lassen die eindeutige Identifizierung einer Person dann zu, wenn das notwendige zusätzliche Wissen vorhanden ist. Deshalb ist im Zweifelsfall davon auszugehen, dass es sich um personenbezogene Daten handelt, die laut DSGVO geschützt werden müssen.

Gründe für den Schutz persönlicher Daten

Viele multinationale Konzerne, wie z. B. Google oder auch Facebook, sammeln Daten von den Nutzern ihrer Plattformen. Diese Daten, zu denen zum Beispiel Angaben zum Konsumverhalten, Kontaktdaten sowie Standortdaten zählen, werden darauffolgend für die Erstellung individualisierter Werbung des jeweiligen Nutzers verwendet. Über die auf User abgestimmte Werbung erzielen die Unternehmen hohe Gewinne, weshalb die Daten eine hohe ökonomische Bedeutung besitzen.

Auch aus krimineller Motivation heraus kann die Sammlung sensibler Informationen erfolgen. So verschaffen sich Straftäter zum Beispiel Zugriff auf Bankdaten und können so unbefugt auf Konten zugreifen und Geld abheben. Um missbräuchliche Datensammlung zu vermeiden, ist der sorgfältige Umgang mit personenbezogenen Daten unverzichtbar. Daher sind sowohl Unternehmen als auch öffentliche Arbeitgeber in der Pflicht, die gesammelten personenbezogenen Daten vor unbefugten Zugriffen zu schützen.

Aus unternehmerischer Perspektive ist es wichtig zu wissen ist, dass sowohl Unternehmen als auch Behörden eine Rechenschafts-, Dokumentations- und Nachweispflicht erfüllen müssen. Daher sind Unternehmen dazu verpflichtet, den Betroffenen Auskunft über den Bearbeitungsvorgang der personenbezogenen Daten zu erteilen. Weiterhin ist zu beachten, dass die Sammlung von personenbezogenen Daten einer Zweckbindung unterliegt und in diesem Zusammenhang auch nur die dafür notwendigen Informationen zu speichern sind. Wenn die gespeicherten Daten nicht mehr für den Zweck des Unternehmens gebraucht werden, unrechtmäßig erhoben oder gespeichert worden sind oder eine Verjährungsfrist abgelaufen ist, so sind sie dazu angehalten, eine Löschung der Daten vorzunehmen.

Wenn Sie selbst als Unternehmer auf der Suche nach einem Experten sind, um einen korrekten Datenschutz zu gewährleisten und damit auch die Verpflichtungen zum Umgang mit personenbezogenen Daten zu erfüllen, steht Ihnen datenzeit kompetent zur Seite. Kontaktieren Sie uns gerne und bestellen Sie einen externen Datenschutzbeauftragten für Ihr Unternehmen. Als persönlicher Ansprechpartner unterstützen wir Sie bei der Erfüllung der Informations- und Dokumentationspflichten. Außerdem bieten wir Ihnen unter anderem Mitarbeiterschulungen an, um die Expertise rund um das Thema Datenschutz in Ihrem Unternehmen zu fördern.

Rechte von Betroffenen

In der DSGVO sind insbesondere drei spezifische Rechte festgelegt, auf die sich die betroffenen Personen berufen können, wenn es um die Sammlung, Speicherung und Verarbeitung ihrer personenbezogenen Daten geht.

Sämtliche Rechte sind Ausfluß des Rechts auf informationelle Selbstbestimmung, bei dem es sich um eine Ausprägung des allgemeinen Persönlichkeitsrechts (APR), also Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG, handelt und welches vom Bundesverfassungsgericht im sogenannten Volkszählungsurteil im Jahr 1983 als Grundrecht anerkannt wurde. Die Auslegung dieses Rechts bzw. der Ausprägung dieses in einfachgesetzlichen Normen besagt, dass die betroffene Person der Sammlung, Speicherung, Verarbeitung und Weitergabe von personenbezogenen Daten in der Regel aktiv zustimmen muss. Demnach kann ein in einem bloßen Wegklicken kein stillschweigendes Einverständnis mehr gesehen werden. Ebenso unzulässig ist die Kopplung, bei der ein bestimmter Dienst nur bei Einwilligung des Nutzers zur Verarbeitung seiner personenbezogenen Datenfreigegeben wird, sodass dieser keine freie Wahl hat.

Das Auskunftsrecht besagt, dass Betroffene das Recht haben, die personenbezogenen Daten, die über sie gespeichert wurden, bei Unternehmen und öffentlichen Arbeitgebern einzusehen und hiervon Kopien zur Verfügung zu stellen. Demnach unterliegen diese wiederum der Pflicht, die Auskunft auch zu erteilen.

Zuletzt können sich Betroffene auch noch auf das Recht auf Berichtigung, Löschung oder Übertragung der Daten berufen. Unternehmen sind demnach verpflichtet, fehlerhafte, veraltete oder rechtswidrig gespeicherte personenbezogene Daten entsprechend zu korrigieren oder vollständig zu löschen sowie sie auf Wunsch des Betroffenen an Dritte zu übermitteln.