In diesem Beitrag möchten wir über die oftmals gestellte Frage informieren, welche Daten überhaupt personenbezogene Daten sind und somit unter die DSGVO fallen. Denn die Frage, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht, kommt häufiger auf als man anfangs vermutet.

Was sind personenbezogene Daten?

Personenbezogene Daten sind gemäß Art. 4 Abs 1 DSGVO wie folgt definiert:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“

Wichtig hierbei ist zuerst einmal, dass die DSGVO den Betroffenen, dessen personenbezogene Daten verarbeitet werden, als natürliche Person definiert. Juristische Personen sind somit nicht Teil des Schutzbereiches der DSGVO. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei einer GmbH, einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Praktische Beispiele von personenbezogenen Daten

Wie oben bereits erwähnt führt die praktische Einordnung von Informationen häufig zu Schwierigkeiten. Aus diesem Grund folgen nun einige praktische Beispiele zur Veranschaulichung. Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail-Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Kundennummer

Darüber hinaus ist auch die IP-Adresse ein personenbezogenes Datum, wenn die rechtliche Möglichkeit besteht, den Provider zur Herausgabe weiterer Informationen zu verpflichten, mit der die Person hinter der IP-Adresse identifiziert werden kann. Und auch Cookies können zum Teil personenbezogene Daten beinhalten.

Zusätzlich können aber auch Informationen, die vielleicht weniger eindeutig sind, unter den Oberbegriff „personenbezogene Daten“. So sind zum Beispiel die Arbeits- und Pausenzeiten von Mitarbeitern genauso personenbezogene Daten, wie auch Beurteilungen oder Einschätzung, wenn diese Informationen zum Beispiel die Kreditwürdigkeit von Kunden oder die Arbeitsleistung von Mitarbeitern betreffen.

Allerdings kann auch ein Bezug zwischen einer Person und einer Sache, einem Ereignis oder einem Sachverhalt ausreichen, damit die Information ein personenbezogenes Datum wird. So wäre „Einfamilienhaus“ beispielsweise ein personenbezogenes Datum, wenn es sich um das Einfamilienhaus von Max Mustermann handelt.

Auch die technische Form dieser Angaben ist bei der Beurteilung, ob es sich bei Informationen um personenbezogene Daten handelt, nicht von Bedeutung. So können auch Fotos, Video- oder Tonbandaufnahmen personenbezogene Daten enthalten.

Besondere Kategorien von personenbezogenen Daten

Außerdem muss bei einer Verarbeitung auch immer berücksichtigt werden, ob es sich bei den Daten ggf. um besondere Kategorien von personenbezogenen Daten i. S. v. Art 9 DSGVO handelt, da diese besonders geschützt sind und nur in Ausnahmefällen und unter Berücksichtigung der Voraussetzungen in Art 9 DSGVO verarbeitet werden dürfen. Art 9 DSGVO sagt hierzu:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Pseudonymisierung und Anonymisierung

Abschließend soll an dieser Stelle noch einmal daran erinnert werden, dass es sich bei pseudonymen Daten weiterhin um personenbezogene Daten handelt und diese nach wie vor vollends den Regelungen der DSGVO unterstehen. Bei anonymen Daten hingegen findet die DSGVO keine Anwendung mehr, allerdings sind die Anforderungen an eine Anonymisierung auch sehr hoch.

So sollte stets im Einzelfall geprüft werden, ob zu verarbeitende Daten einen Personenbezug aufweisen oder nicht. Gerne unterstützen wir Sie hierbei. Wenn Sie Fragen zu diesem oder anderen Themen rund um den Datenschutz haben, kontaktieren Sie uns jederzeit sehr gerne. Wir freuen uns auf Ihre Nachricht!

+49 (0) 25 06 / 93 20 600 • info@katlex.de • https://katlex.de

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden