Dreh- und Angelpunkt der DSGVO ist die Verarbeitung von personenbezogenen Daten. Der Begriff der personenbezogenen Daten ist zentrale Voraussetzung für den sachlichen Anwendungsbereich der DSGVO.

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten dabei als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wir bezeichnen diese natürliche Person als „betroffene Person“.

Unternehmensdaten

Die DSGVO bzw. der Datenschutz im eigentlichen Sinn schütz dabei ausschließlich natürliche Personen, nicht aber Unternehmen. Unternehmen können sich nicht auf die DSGVO berufen und keine Ansprüche aus der DSGVO geltend machen (OLG Dresden, Urteil vom 14.03.2023 – 4 U 1377/22). Davon unabhängig ist die Frage, ob Unternehmen Verstöße gegen die DSGVO abmahnen können. Das ist bislang nicht abschließend geklärt.

Dass Unternehmen sich nicht auf die DSGVO berufen können, bedeutet aber nicht, dass Daten im Zusammenhang mit Unternehmen nicht gleichzeitig personenbezogene Daten sind. Wenn du mit Unternehmensdatum eine natürliche Person identifiziert kannst, ist auch dieses Datum ein personenbezogenes Datum. Typische Beispiele sind hier individuelle E-Mail-Adressen. Daten über die Ein-Mann-GmbH bei der quasi alles auf den Inhaber hinweist sind damit ebenfalls personenbezogene Daten .

Verstorbene

Der Anwendungsbereich der DSGVO erlischt mit dem Tod der betroffenen Person. Für Verstorbene ist die DSGVO damit nicht mehr anwendbar (siehe Erwägungsgrund 27). Insbesondere im deutschen Recht gilt aber für Verstorbene das sogenannte postmortale Persönlichkeitsrecht. Das postmortale Persönlichkeitsrecht schütz die Ehre und das Ansehen der verstorbenen Person, nicht aber die personenbezogenen Daten per se. Es ist eine Ausprägung aus dem allgemeinen Persönlichkeitsrecht nach Art. 1 i. V. m. Art. 2 GG und in seinem Schutzumfang nicht so weit die das Datenschutzrecht.

Mit dem Tod einer Person kann ein digitaler Nachlass entstehen, z. B. durch personenbezogene Daten in sozialen Netzwerken wie Instagram, TikTok oder Facebook. Der Nachlass gehört den Erben. Diese haben Anspruch auf Zugriff auf das Konto des Verstorbenen, auch wenn dieses gesperrt ist (BGH 27.08.2020, Az. III ZB30/20 – digitaler Nachlass)

identifiziert oder identifizierbar

Ein Datum ist personenbezogen, wenn eine natürliche Person anhand des Datums bereits identifiziert ist oder identifiziert werden kann. Entscheidend ist also nicht, ob eine Person bereits identifiziert ist, sondern nur, ob sie identifiziert werden kann.

Identifizierbar ist eine natürliche Person, wenn sie direkt oder indirekt identifiziert werden kann. Das gilt insbesondere, wenn die Identifizierung mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer oder zu Standortdaten erfolgt. Eine Online-Kennung oder eines oder mehrere besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sind, können ebenfalls relevant sein.

Auf die Mittel zur Identifizierung kommt es an

Für die Frage, wann eine Person identifizierbar ist, kommt es auch auf die Mittel an, mit denen die Identifizierung der Person möglich wird. Dabei können sowohl die Mittel des Verantwortlichen selbst, als auch Mittel, die Dritte einsetzen, berücksichtigt werden. Über die Einzelheiten diskutieren Juristen seit Jahren. Dabei gibt es relative Ansätze, die nur das Wissen des Verantwortlichen berücksichtigen und objektive Ansätze, bei denen jedes erdenkliche Wissen berücksichtigt werden muss. Die DSGVO schweigt sich hierzu leider aus. Lediglich in Erwägungsgrund 26 finden sich Hinweise. Danach müssen verfügbare Mittel nach allgemeinem Ermessen wahrscheinlich eingesetzt werden.

EuGH konkretisiert

Im Breyer Urteil (EuGH C‑582/14 – Breyer) hat der Europäische Gerichtshof die Voraussetzungen weiter konkretisiert. Der EuGH stellt dabei auf Mittel ab, die „vernünftigerweise zur Bestimmung der betroffenen Person eingesetzt werden“ können. Das ist nicht der Fall, wenn die Identifizierung der betroffenen Person praktisch nicht durchführbar wäre, z. B. weil der Aufwand an Zeit und Kosten unverhältnismäßig ist. Das Risiko kannst du in diesem Fall vernachlässigen. Kriterien sind hier Kosten, zeitlicher Aufwand, verfügbarer Technologie und technologischer Entwicklung. Daten, die für sich genommen noch keine personenbezogenen Daten sind, können zu personenbezogenen Daten werden, wenn derjenige, der Zugang zu ihnen hat, über Mittel verfügt, die er „vernünftigerweise“ zur Identifizierung der natürlichen Person einsetzen kann (EuGH C-319/22 – Fahrzeug‑Identifizierungsnummer (FIN)).

Beispiele

Bereits die Telefonnummer oder die Angabe eines KFZ-Kennzeichens können personenbezogene Daten sein, wenn hierdurch eine Person identifierzt werden kann. Andere typische Bespiele, sind Name, Geburtsdatum, E-Mail-Adresse oder IP-Adresse (EuGH C‑582/14 – Breyer). Aber auch sachliche Informationen wie Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen sowie Werturteile über eine Person können personenbezogene Daten sein. Mehrere für sich genommen keine personenbezogenen Daten können durch Kombination zu personenbezogenen Daten werden.

Fazit

Die Aufsichtsbehörden und auch die Gerichte tendieren hier eher zu einer weiten Auslegung, was alles unter den Begriff der personenbezogenen Daten fällt. Insofern solltest du ebenfalls im täglichen Umgang und bei der Frage, ob es sich im konkreten Fall um personenbezogene Daten handelt, eher großzügig sein und lieber eher einen Personenbezug annehmen.