Was sind personenbezogene Daten?

Ob soziale Netzwerke, staatliche Institutionen oder auch private Unternehmen – alle sammeln und speichern tagtäglich eine enorme Menge an Daten. Dies führt zu einer immer größeren Anhäufung von Datensätzen einzelner Nutzer. Die Datenschutz-Grundverordnung (DSGVO), die seit Ende Mai 2018 europaweit gilt, soll für eine rechtskonforme Verarbeitung der sog. “personenbezogenen Daten” sorgen und den Umgang mit diesen Daten in der EU regeln. Damit wird der Datenschutz einer natürlichen Person gewährleistet.

Gleich zwei Gesetzesverordnungen regeln in Deutschland den Umgang mit personenbezogenen Daten. Das ist zum einen das Bundesdatenschutzgesetz (BDSG) und zum anderen die europaweit geltende DSGVO. Beide Verordnungen definieren den Begriff der personenbezogenen Daten gleichermaßen: Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Abs.1 DSGVO oder Art. 46 Abs. 1 BDSG). Dazu gehören zum Beispiel Name, Adresse, Telefonnummer oder E-Mail-Adresse sein. Aber auch weniger offensichtliche Informationen wie IP-Adressen, Kundennummern oder Cookies können personenbezogene Daten sein. Unternehmen müssen daher darauf achten, dass sie alle von ihren Kunden und Nutzern erhobenen personenbezogenen Daten im Einklang mit der DSGVO schützen.

Auch andere Länder haben eigene Gesetze zum Datenschutz, etwa die Schweiz mit dem Bundesgesetz über den Datenschutz (DSG) oder Brasilien mit dem LGPD.

Bestimmte personenbezogene Daten können auch eine eindeutige Identifizierung einer Person ermöglichen. Eine eindeutige Identifizierung kann zur Erkennung und Überprüfung der Identität einer Person sowie anderer Einheiten wie Unternehmen oder Maschinen verwendet werden. Eine eindeutige Identifizierung besteht in der Regel aus einer Kombination von Zeichen, Zahlen, Symbolen und sogar biometrischen Daten, die für jede Person spezifisch sind. Diese Art von Informationen wird häufig für z. B. Authentifizierungszwecke verwendet.

Welche Daten identifizieren eine Person und gelten somit als personenbezogene Daten? Auch hier gibt uns die DSGVO eine genaue Definition, wobei eine abschließende Zusammenfassung aufgrund der Vielzahl an unterschiedlichen Daten nur schwer möglich ist. Nachfolgend eine Liste samt Beispielen, die einen ersten Eindruck geben soll, was unter personenbezogene Daten fällt.

Name

Geburtsdatum

Alter

Geburtsort

Anschrift

E-Mail-Adresse

Telefonnummer

Bild

Ausbildung

Beruf

Familienstand

Staatsangehörigkeit

Religiöse und politische Einstellungen

Sexualität

Gesundheitsdaten

Vorstrafen

Usw.

Geschlecht

Haut-, Haar- und Augenfarbe

Statur

Kleidergröße

Schuhgröße

Fingerabdruck

Usw.

Fahrzeug- und Immobilieneigentum

Grundbucheintragungen

Kfz-Kennzeichen

Zulassungsdaten

Usw.

Sozialversicherungsnummer

Steueridentifikationsnummer

Krankenversicherungsnummer

Personalausweisnummer

Matrikelnummer

Usw.

Kontonummer

Kreditinformationen

Kontostand

Usw.

IP-Adresse

Standortdaten

Unique Identifier (z.B. Cookies)

Usw.

Bestellungen

Adressdaten

Kontodaten

Usw.

Schulzeugnisse

Arbeitszeugnisse

Usw.

Einkommen

Kapitalvermögen

Schulden

Eigentum

Usw.

Zusätzlich nennt der Gesetzgeber eine weitere Kategorie personenbezogener Daten, die besondere Kategorie personenbezogener Daten oder auch „sensiblen Daten“. Diese Daten unterliegen einem noch höheren Schutz, da deren Verarbeitung rechtlich verboten ist (Art. 9 Abs. 1 DSGVO). Zu den sensiblen Daten gehören Angaben über die ethnische Herkunft, politische Meinungen, philosophische, religiöse und weltanschauliche Überzeugungen, Zugehörigkeit zu Gewerkschaften, genetische und biometrische Daten, gesundheitsbezogene Daten und Daten zur Sexualität und sexueller Orientierung. Des Weiteren gehören Daten zur wirtschaftlichen, kulturellen oder sozialen Identität dazu.

Für Website-Betreiber bedeutet der Schutz personenbezogener Daten laut der DSGVO: Sie benötigen gemäß Erwägungsgrund 30 DSGVO für die Verwendung bestimmter Web-Tchnologien wie Cookies, Pixel usw. eine Rechtsgrundlage (Art. 6 DSGVO oder ggf. Art. 9 DSGVO) und müssen demnach auf der Website ggf. eine Einwilligung ihrer Nutzer einholen.

Eine Übersicht dazu, was die DSGVO unter personenbezogenen Daten versteht, haben wir nachfolgend für Sie n einer übersichtlichen Infografik festgehalten.

Wie und in welcher Form personenbezogene Daten generell verarbeitet werden dürfen, regelt im Allgemeinen Art. 5 DSGVO.

Diese Grundlage der DSGVO besagt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn eine Rechtsgrundlage, insbesondere in Form einer Einwilligung, vorliegt.

Art. 5 Abs. 1a DSGVO soll gewährleisten, dass Personen ihre Betroffenenrechte und generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. Der Grundsatz der Transparenz wird in Art. 12 ff. DSGVO sowohl die Informationspflichten bei der Erhebung von personenbezogenen Daten als auch durch das Auskunftsrecht der betroffenen Person präzisiert.

Weitergehend soll Privacy by Design (Art. 25 Abs. 1 DSGVO) und Privacy by Default (Art. 25 Abs. 2 DSGVO) die Transparenz gewährleisten und erhöhen.

Auf die Transparenz- und Informationspflicht wird im Erwägungsgrund 39 DSGVO besonders eingegangen:

[…] Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können […]

Der Zweck einer Datenerhebung von personenbezogenen Daten muss drei Voraussetzungen erfüllen. Der Zweck der Verarbeitung muss:

• festgelegt,
• legitim,
• und eindeutig sein.

Zusätzlich ist eine Weiterverarbeitung von personenbezogenen Daten möglich, sofern die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken der Erhebung vereinbar sind (Art. 5 Abs. 1b DSGVO).

Diese Vorschrift ist an die bisher bestehenden Gesetze der Datensparsamkeit und Datenvermeidung (Art. 3a BDSG) angelehnt. Demnach dürfen nur für den verwendeten Zweck notwendige und angemessene personenbezogene Daten verarbeitet werden.

Personenbezogene Daten, die im “Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden” (Art. 5 Abs. 1d DSGVO).

Die Speicherbegrenzung verlangt, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie es für den Zweck notwendig ist, Personen identifizieren zu müssen (Art. 5 Abs. 1e DSGVO). Zum Datenschutz müssen die personenbezogenen Daten also gelöscht werden, sobald die Speicherung der Daten für den Verarbeitungszweck nicht mehr erforderlich ist, oder die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1b DSGVO).

Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit dieser Daten gewährleistet ist. Mit inbegriffen ist hier auch der Schutz vor unbefugter und unrechtmäßiger Verarbeitung (z.B. durch ein Account- / Rechtemanagement) sowie unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten (Art. 5 Abs. 1f DSGVO).

Um diese Datensicherheit und einen lückenlosen Datenschutz zu gewährleisten, sind geeignete technische und organisatorische Maßnahmen zu treffen. Darunter fallen beispielsweise die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten die Verfügbarkeit und die rasche Wiederherstellung des der Zugangs zu diesen Daten bei einem physischen oder technischen Zwischenfall (Art. 32 Abs. 1 DSGVO).

Die Rechenschaftspflicht verlangt die Einhaltung aller Grundsätze aus Art. 5 Absatz 1 DSGVO (Rechtmäßigkeit sowie Transparenz, Zweckbindung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit).

Nach Art. 6 DSGVO ist die Verarbeitung von personenbezogenen Daten ausnahmsweise erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

• Einwilligung der betroffenen Personen
• Bestehen einer vertraglichen Verpflichtung
• Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht)
• Erforderliche Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht)
• Schutz lebenswichtiger Interessen einer bestimmten Person
• Überwiegendes berechtigtes Interesse des Verantwortlichen unter Interessenabwägung

Für die Verarbeitung besonderer personenbezogener Daten ist eine gesonderte Rechtsgrundlage nach Art. 9 DSGVO notwendig, da diese Daten einer höheren Schutzwürdigkeit bedürfen.

Die Verarbeitung solcher Daten ist ausnahmsweise nur erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

• Der Betroffene hat in die Verarbeitung ausdrücklich eingewilligt.
• Die Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig.
• Es liegt ein erhebliches öffentliches Interesse vor.
• Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin erforderlich.

Die Weitergabe von personenbezogenen Daten an Dritte wird nicht zwangsläufig durch das Existieren einer Rechtsgrundlage erlaubt. Insbesondere innerhalb eines Konzerns würde das Existieren einer Rechtsgrundlage, die die Weitergabe von personenbezogenen Daten erlaubt („Konzernprivileg“), relevant sein. Diese Regelung, welche die gemeinsame Verarbeitung der Daten durch die Teilung der Ressourcen verschiedener Unternehmen beinhalten würde, wäre zwar praktisch, wurde aber in die DSGVO nicht aufgenommen. Deshalb ist die Weitergabe der Daten innerhalb eines Konzerns nach der DSGVO nicht ohne Weiteres erlaubt.

Ein überwiegend berechtigtes Interesse bzgl. der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken kann nach Erwägungsgrund 48 DSGVO angenommen werden. Sofern die Übermittlung allerdings nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist, bedarf es einer anderen Rechtsgrundlage, um selbst die konzerninterne Übermittlung von Daten zu legitimieren.

Natürlich haben auch die betroffenen Personen, deren personenbezogene Daten erhoben wurden, gewisse Rechte, die sogenannten Betroffenenrechte. Denn im weiteren Sinne können personenbezogene Daten als Eigentum einer Person aufgefasst werden. Die DSGVO regelt in Art. 13–23 alle Rechte betroffener Personen. Die wichtigsten Rechte stellen wir im Folgenden vor:

Das Informationsrecht ist vielleicht die wichtigste Rechtsgrundlage für Betroffene. Sollten personenbezogene Daten einer Person erhoben werden, muss diese Person vor allem über den Namen und die Kontaktdaten des für die personenbezogenen Daten Verantwortlichen (und ggfs. seines Vertreters) informiert werden (Art. 13 Abs. 1 DSGVO). Ebenfalls müssen der betroffenen Person „der Zweck und die Dauer der Datenverarbeitung von personenbezogenen Daten sowie die Widerspruchsmöglichkeit, die Rechtsgrundlage der Datenverarbeitung und, falls erforderlich, das Ergebnis einer nachvollziehbaren Interessenabwägung“ mitgeteilt werden.

Das Informationsrecht regelt weiterhin die allgemeine Information aller Betroffenen über die Rechte der Auskunft, Berichtigung, Löschung, Einschränkung, des Widerspruchs und der Datenübertragbarkeit. Der betroffenen Person müssen alle Informationen vor oder zum Zeitpunkt der Datenerhebung bereitgestellt werden, d. h. in dem Moment, indem beispielsweise eine Website aufgerufen wird, müssen alle zuvor genannten Informationen unverzüglich mitgeteilt werden (Art. 13 DSGVO).

Sollten personenbezogene Daten verarbeitet werden, kann die betroffene Person zu jeder Zeit Auskunft über den Empfänger, den Zweck und darüber, welche Daten verarbeitet wurden und wie lange diese gespeichert werden, verlangen (Art. 15 DSGVO).

Ändern sich personenbezogene Daten (zum Beispiel die E-Mail-Adresse), hat jede Person das Recht auf die Korrektur dieser Daten (Art. 16 DSGVO).

Betroffene haben das Recht, alle personenbezogenen Daten unter den folgenden Voraussetzungen unverzüglich löschen zu lassen:

• Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig.
• Die Daten wurden unrechtmäßig verarbeitet.
• Der Betroffene widerruft die Einwilligung in die Datenverarbeitung.
• Der Betroffene legt Widerspruch gegen die Verarbeitung der Daten ein.
• Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet (Art. 17 DSGVO, Erwägungsgrund 65 DSGVO, Erwägungsgrund 66 DSGVO).

Zu beachten ist, dass der Verantwortliche die Daten nach einem Antrag der betroffenen Person unverzüglich löschen muss, d.h. ohne “schuldhaftes Zögern”. Deshalb hat der Verantwortliche regelmäßig zu prüfen, ob neue Löschungsanträge vorliegen und muss diese auch unverzüglich prüfen.

Spätestens innerhalb eines Monats nach Eingang des Löschungsantrags muss der Verantwortliche die betroffene Person über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung informieren.

Dieses Recht gibt Betroffenen die Möglichkeit, die Verarbeitung der eigenen personenbezogenen Daten einzuschränken, sofern:

• die Betroffenen die Richtigkeit der Daten in Frage stellen,
• die Verarbeitung unrechtmäßig ist,
• die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat, oder
• die Betroffenen Widerspruch nach Art. 21 DSGVO eingelegt haben (Art. 18 DSGVO).

Das Recht auf Datenübertragbarkeit erlaubt Betroffenen gespeicherte Daten von einem Verantwortlichen auf einen weiteren Verantwortlichen übertragen zu lassen, sofern eine Einwilligung des Betroffenen vorliegt und die Verarbeitung der Daten mithilfe automatisierter Verfahren erfolgt (Art. 20 DSGVO).

Die DSGVO ermöglicht es Betroffenen weiterhin, gegen die Verarbeitung ihrer Daten Widerspruch einzulegen. Damit ist es dem Verantwortlichen untersagt, personenbezogene Daten zu verarbeiten, es sei denn „er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen“ (Art. 21 DSGVO).

Für Websites und Online-Marketing ist besonders der Text aus Art. 21 Abs. 2 DSGVO interessant. Dieser behandelt das Thema Direktwerbung und besagt, dass Betroffene jederzeit das Recht besitzen, Widerspruch gegen die Verwendung ihrer personenbezogenen Daten zum Zweck der Direktwerbung einzulegen (Erwägungsgrund 70 DSGVO). Dies gilt sowohl für postalische und telefonische, als auch Werbung per E-Mail und folglich auch Newsletter.

Seit dem Inkrafttreten der DSGVO ist die Höhe der Bußgeldzahlungen im Gegensatz zum BDSG enorm angestiegen. Die DSGVO erhöht die Bußgeldzahlungen und Strafen bei Verstößen gegen den Datenschutz und verschärft somit das Bundesdatenschutzgesetz. Die DSGVO sieht Strafen in Höhe von „“bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes“ vor (Art. 83 Abs. 5 DSGVO). Dadurch soll auf die Dringlichkeit des Datenschutzes hingewiesen und Unternehmen von der Missachtung abgeschreckt werden.

Nachdem die französische Datenschutzbehörde CNIL Mitte Januar 2019 die mit 50 Millionen Euro bisher höchste DSGVO-bedingte Strafe gegen den Internetriesen Google verhängte, lassen nun auch die deutschen Datenschutzbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Taten sprechen. Wie die Datenschutzbehörde bei einem Tracking-Check von 40 Top-Websites anlässlich des Safer Internet Day 2019 festgestellt hat, holen diese die Besuche-einwilligungen nicht DSGVO-konform ein – mit Konsequenzen für die betroffenen Unternehmen.