Datenschutz ist Personenschutz

Wenn wir von klassischem Datenschutz sprechen, reden wir nicht über alle erdenklichen Informationen oder Daten. Datenschutz betrifft in erster Linie den  Schutz natürlicher Personen und damit Daten über diese Personen, also sogenannte personenbezogene Daten. Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Nichts anderes ergibt sich aus dem Bundesdatenschutzgesetz oder den Datenschutzgesetzen der Länder. Datenschutz meint also Schutz von personen und betrifft damit “personenbezogene Daten”. Das heißt natürlich nicht, dass andere Informationen wie Unternehmensdaten, IP, oder Geschäftsgeheimnisse gar nicht geschützt sind. Solche Daten können zum Beispiel durch das Markengesetz, Gesetz zum Schutz von Geschäftsgeheimnissen oder oder auch das Strafrecht geschützt sein. Solche Daten unterfallen aber nicht dem Datenschutz, solange es sich nciht gleichzeitig um personenbezogene Daten handelt. 

Personenbezogene Daten

Jetzt fragen wir uns natürlich, was eigentlich personenbezogene Daten sind? Eine Definition dazu finden wir in Art. 4 Ziffer 1 DSGVO. Danach sind “personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn Sie direkt oder indirekt identifiziert werden kann. Das kann durch Zuordnung zu einer bestimmten Kennung wie dem Namen, einer Kennnummer, Standortdaten oder Online-Kennung erfolgen. Die Zuordnung kann aber auch durch ein oder mehrere besonderen Merkmalen erfolgen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Das heißt einfach ausgedrückt, dass ein  Datum personenbezogen ist, wenn es mit einer bestimmten Person in Verbindung gebracht werden kann. 

Kombination von Daten

Bei der Beurteilung darf man nicht jedes Datum einzeln  betrachten, sondern alle vorliegenden  Daten. Dabei kann auch die Kombination von für sich genommen nicht  personenbezogenen Daten zu einem personenbezug führen. 
Beispiel: Die Postleitzahl ist für sich genommen kein personenbezogenes Datum. Denn unter einer einzelnen PLZ leben meist viele Menschen zusammen. Das gleiche gilt für den Straßennamen (jedenfalls in einer Stadt) und eine einzelne Hausnummer. Nimmt man etwa die 22 als Hausnummer und die 07743 als Postleitzahl, ist damit kaum ein personenbezug möglich. Nehme ich jetzt noch den Straßennamen “Markt” dazu, erhalte ich eine genaue Adresse, in diesem Fall die Anschrift unseres Unternehmens. Wenn unter dieser Anschrift nur eine Person ansässig ist, ist es ein personenbezogenes Datum. 

Die Kategorie der Daten ist völlig egal. Entscheidend ist, ob das Datum einer bestimmten Person zugeordnet werden kann. Personenbezogene Daten können zum Beispiel sein:

  • Name, Alter, Familienstand, Geburtsdatum
  • E-Mail Adresse, Anschrift, Telefonnummer
  • Konto-, Kreditkartennummer
  • Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Vorstrafen
  • Gesundheitsdaten, Röntgenbilder
  • Werturteile wie zum Beispiel Zeugnisse
  • IP-Adresse
  • Nutzername
  • Bilder und Fotos auf denen eine Person zu erkennen ist

Personenbezogene Daten beziehen sich auf Personen, nicht auf ihre Rolle im Wirtschaftsleben oder Geschäftsverkehr. Es ist also egal, ob die Person Verbraucher oder Kunde ist. Entscheidend ist, ob es sich um eine natürliche Person handelt. Personaldaten der Mitarbeiter, die persönliche E-Mail-Adresse des Geschäftspartners oder die Handynummer des Lieferanten sind auch personenbezogene Daten. Auch hier müssen Sie den Datenschutz beachten. Die Unterscheidung in Verbraucher, Kunde B2C oder B2B ist natürlich nicht unerheblich und spielt durchaus eine rehltihce Rolle, aber halt nicht beim Thema Datenschutz.

Keine personenbezogenen Daten

Ein Datum ist nicht personenbezogen, wenn sich daraus kein Rückschluss auf eine Einzelperson ergibt. Keine personenbezogenen Daten sind damit reine Unternehmensdaten wie die Geschäftsadresse einer GmbH mit mehreren Mitarbeitern, deren Webseite oder die allgemeine Telefonnummer, allgemeine Angaben zu einer juristischen Person. Etwas anderes gilt natürlich auch hier wieder, wenn die Daten auf eine Einzelperson durchschlagen, also diese identifizierbar machen.
Ebenfalls keine personenbezogene Daten sind anonymisierte Daten. Das sind Daten die so verändert wurden, dass sie nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Sie haben Fragen oder benötigen einen externen Datenschutzbeauftragten?

Melden Sie sich gerne für ein unverbindliches Angebot. Eine Übersicht über unsere Leistungen finden Sie hier: https://landgraf-datenschutz.de/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.