Personenbezogene Daten im Sinne des Datenschutzes?
Im Datenschutz dreht sich alles um personenbezogene Daten. Aber was sind eigentlich personenbezogene Daten? Art. 4 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Damit ist eigentlich alles klar, oder doch nicht?
Beispiele für personenbezogene Daten
Hier einige Beispiele für personenbezogene Daten.
- Name
- Adresse
- E-Mail-Adresse (wenn diese eindeutig zugeordnet werden kann)
- Telefonnummer
- IP-Adresse
- biometrische Daten
- Nummer des Personalausweis (LG Berlin, Urteil vom 26. Juli 2005 – 27 O 301/05)
- Angaben zu Wahrscheinlichkeitsaussagen über bestimmte Affinitäten einer bestimmten Person zum Zwecke der Marketinganalyse (ÖOGH – Urteil vom 18.02.2021 – 6 Ob 127/20z).
- Die Aufzeichnung und Speicherung der Tastatureingaben an einem Dienst-PC und das Anfertigen von Bildschirmfotos (Screenshots) mittels eines Keyloggers (BAG, Urteil vom 27.07.2017 – 2 AZR 681/16).
- Informationen über erfasste Arbeitszeiten einzelner Arbeitnehmer (BAG, Beschluss vom 3. Juni 2003 – 1 ABR 19/02 –, BAGE 106, 188–203).
- Tonaufnahmen, sofern die aufgezeichneten Personen bekannt oder identifizierbar
- Vermögensverhältnisse und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen (OLG Köln, Urteil vom 26.07.2019 – 20 U 75/18)
- innere Zustände wie Meinungen, Motive, Wünsche, Überzeugungen und Werturteile (LG Münster, Urteil vom 3. Dezember 2020 – 115 O 220/18)
- sachliche Informationen wie etwa Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen (LG Münster, Urteil vom 3. Dezember 2020 – 115 O 220/18)
Den Begriff der personenbezogenen Daten müssen wir weit auslegen. Eine Reduktion des Begriffs auf „signifikante biografische Informationen“ lehnte der BGH ab (BGH, Urteil vom 15. Juni 2021 – VI ZR 576/19).
Es können auch für sich genommen nicht personenbezogene Daten durch Kombination zu personenbezogenen Daten werden.
Identifiziert
Die DSGVO spricht von identifiziert oder identifizierbar.
Eine Person ist identifiziert, wenn die gespeicherten Daten mit der Bezeichnung der Person verknüpft sind oder sich der Bezug zur Person unmittelbar erstellen lässt.
Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Maßgeblich ist dabei in erster Linie, ob der Aufwand für die Identifizierung für die speichernde Stelle oder einen Dritten verhältnismäßig ist. Ist der Aufwand unverhältnismäßig, ist das Datum anonymisiert (Bergt, ZD 2015, 365 ff. (371)).
Anonymisiert, pseudonymisiert
Ein Datum ist nicht mehr personenbezogenen, wenn es anonymisiert ist. Anonymisierung bedeutet, dass kein Personenbezug mehr möglich ist. Bei der Frage, ob Daten anonymisiert sind, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern (Erwägungsgrund 26). Dabei sollte man alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, heranziehen. Ein zentraler Punkt ist dabei natürlich auch der Stand der Technik und welche zum Zeitpunkt der Verarbeitung verfügbare Technologie zur Verfügung stehen. Eine gute Übersicht zu Anonmyisierungstechniken gibt es bei der IAPP. Ob heute aus technischer Sicht eine echte Anonymisierung möglich ist, ist umstritten. Nach einem Bericht von Heise.de kann man mit nur drei Daten 81 % der amerikanischen Bevölkerung identifizieren.
Daten, die nicht ausreichend anonymisiert sind, sind ggf. pseudonymisiert. Pseudonymisierung bedeutet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO). Im Gegensatz zur Anonmyiseirung handelt sich bei der Pseudonymisierung um personenbezogene Daten. Die DSGVO ist damit anwendbar. Allerdings kann die Pseudonmisierung helfen personenbezogene Daten besser zu schützen (vgl. Erwägungsgrund 28) und hierdurch ggf. eine sonst nicht zulässige Verarbeitung zulässig machen.
Daten besonderer Kategorien (Art. 9 DSGVO)
Besonderes Augenmerk solltest du bei den sogenannten Daten besonderer Kategorien legen. Dazu zählen folgende Informationen:
- die rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen oder
- die Gewerkschaftszugehörigkeit hervorgehen,
- die Verarbeitung von genetischen Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung
Die Verarbeitung von Daten besonderer Kategorien ist nur unter besonders strengen Voraussetzungen zulässig. In vielen Fällen ist die Verarbeitung nur mit einer ausdrücklichen Einwilligung zulässig. Das kann dich im Berufsalltag vor einige Hürden stellen, z. B., wenn du solche Daten als Coach im Rahmen eines Coachings verarbeitest.
Keine personenbezogenen Daten
Keine personenbezogenen Daten sind in der Regel Daten einer juristischen Person, wie der Name einer GMBH, die Handelsregisternummer oder die Telefonnummer des Unternehmens. Auch allgemeine wirtschaftliche Daten wie Tarifprämien (OLG München, Beschluss vom 24. November 2021 – 14 U 6205/21) sind keine personenbezogenen Daten.
Personenbezogene Daten – Fazit
Im Zweifel kann man sich streiten, wann personenbezogene Daten vorliegen. Hier kommt es immer wieder zu gerichtlichen Verfahren, in denen erst geklärt werden muss, ob ein Datum personenbezogen ist.
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.