Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der Datenschutz-Grundverordnung und wird in Art. 4 Nr. 1 definiert. Danach sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind. In der Praxis fallen darunter also sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispielsweise zählen die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer oder die Anschrift zu den personenbezogenen Daten.
Da sich in der Definition der Ausdruck „alle Informationen“ findet, ist davon auszugehen, dass der Begriff „personenbezogene Daten“ möglichst weit auszulegen ist. Dies geht auch aus der ständigen Rechtsprechung des Europäischen Gerichtshofs hervor. So fallen auch weniger eindeutige Informationen wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, in die Kategorie personenbezogene Daten. Auch die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten sind „personenbezogene Daten“, wenn der Prüfling theoretisch identifiziert werden kann. Selbiges gilt auch für IP-Adressen. Hat der Verarbeitende die rechtliche Möglichkeit den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten, welche den hinter der IP-Adresse stehenden Nutzer identifizieren können, so ist diese ein personenbezogenes Datum. Zudem ist darauf zu achten, dass nicht nur objektive Informationen personenbezogen sein können. Auch subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen können personenbezogene Daten sein. So etwa die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Arbeitnehmers.
Zu guter Letzt besagt das Gesetz, dass die Informationen für einen Personenbezug sich auf eine natürliche Person beziehen müssen. Das heißt im Umkehrschluss, dass der Datenschutz für Angaben über juristische Personen wie Körperschaften, Stiftungen und Anstalten nicht greift. Für natürliche Person hingegen beginnt und erlischt der Schutz mit ihrer Rechtsfähigkeit. Grundsätzlich erlangt ein Mensch diese Fähigkeit mit seiner Geburt und verliert sie mit seinem Tod. Für einen Personenbezug müssen Daten daher bestimmten oder bestimmbaren lebenden Personen zuzuordnen sein.
Neben den allgemeinen personenbezogenen Daten sind vor allem die besonderen Kategorien personenbezogener Daten von hoher Relevanz, da sie ein höheres Schutzniveau genießen. Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.
Passende Artikel der DSGVO
Art. 4 DSGVO Begriffsbestimmungen Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener DatenPassende Erwägungsgründe
(26) Keine Anwendung auf anonymisierte Daten (30) Online-Kennungen zur Profilerstellung und Identifizierung (34) Genetische Daten (35) Gesundheitsdaten (51) Besonderer Schutz sensibler DatenExterne Links
Behörden
- Datenschutzbehörde Bayern ► Besondere Kategorien personenbezogener Daten – Art. 9 DS-GVO (Link)
- Datenschutzbehörde Nordrhein-Westfalen ► Was sind personenbezogene Daten? (Link)
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 17 – Besondere Kategorien personenbezogener Daten (Link)
- EU-Kommission ► Was sind personenbezogene Daten? (Link)
- EU-Kommission ► Welche personenbezogenen Daten gelten als sensibel? (Link)
- European Data Protection Supervisor ► Security Measures for Personal Data Processing (Link)
- Data Protection Authority Isle of Man ► Know your data – Mapping the 5 W’s (Link)
- Data Protection Authority UK ► Key definitions (Link)
Fachbeiträge