Was sind personenbezogene Daten?

Was sind personenbezogene Daten?

Ob soziale Netzwerke, staatliche Institutionen oder auch private Unternehmen – alle sammeln und speichern tagtäglich eine enorme Menge an Daten. Dies führt...
by Usercentrics
11. Mrz 2019
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Ob soziale Netzwerke, staatliche Institutionen oder auch private Unternehmen – alle sammeln und speichern tagtäglich eine enorme Menge an Daten. Dies führt zu einer immer größeren Anhäufung von Datensätzen einzelner User. Die Datenschutzgrundverordnung (nachfolgend DSGVO genannt), die seit Ende Mai 2018 europaweit gilt, soll für eine rechtskonforme Verarbeitung der sog. “personenbezogenen Daten” sorgen und den Umgang mit diesen Daten in der EU regeln. Damit wird der Datenschutz einer natürlichen Person gewährleistet.

Definition personenbezogener Daten

Gleich zwei Gesetzesverordnungen regeln in Deutschland den Umgang mit personenbezogenen Daten. Das ist zum einen das Bundesdatenschutzgesetz (nachfolgend BDSG genannt) und zum anderen die europaweit geltende DSGVO. Beide Verordnungen definieren den Begriff der personenbezogenen Daten gleichermaßen: Personenbezogene Daten sind “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen” (Art. 4 Abs.1 DSGVO oder Art. 46 Abs. 1 BDSG). Im Umkehrschluss bedeutet das, dass eine Person anhand deiner eigenen Daten direkt oder indirekt identifiziert werden kann.

Beispiele für personenbezogene Daten

Welche Daten identifizieren eine Person und gelten somit als personenbezogene Daten? Auch hier gibt uns die DSGVO eine genaue Definition, auch wenn eine abschließende Zusammenfassung aufgrund der Vielzahl an unterschiedlichen Daten nur schwer möglich ist. Nachfolgend eine Liste samt Beispielen, die einen ersten Eindruck geben soll was unter personenbezogene Daten fällt.

 

Besondere Kategorien personenbezogener Daten:

 

Allgemeine Personendaten

 

Name

Geburtsdatum

Alter

Geburtsort

Anschrift

E-Mail-Adresse

Telefonnummer

Bild

Ausbildung

Beruf

Familienstand

Staatsangehörigkeit

religiöse und politische Einstellungen

Sexualität

Gesundheitsdaten

Vorstrafen usw.

 

Physische Merkmale

 

Geschlecht

Haut-, Haar- und Augenfarbe

Statur

Kleidergröße

Schuhgröße

Fingerabdruck usw.

 

Besitzmerkmale

 

Fahrzeug- und Immobilieneigentum

Grundbucheintragungen

Kfz-Kennzeichen

Zulassungsdaten usw.

 

Kennnummern

 

Sozialversicherungsnummer

Steueridentifikationsnummer

Krankenversicherungsnummer

Personalausweisnummer

Matrikelnummer usw.

 

Bankdaten

 

Kontonummern

Kreditinformationen

Kontostände usw.

 

Online-Daten

 

IP-Adresse

Standortdaten

Unique Identifier (z.B. Cookies) usw.

 

Kundendaten

 

Bestellungen

Adressdaten

Kontodaten usw.

 

Werturteile

 

Schulzeugnisse

Arbeitszeugnisse

usw.

 

Sachliche Verhältnisse

 

Einkommen

Kapitalvermögen

Schulden

Eigentum usw.

 

 

Zusätzlich nennt der Gesetzgeber eine weitere Kategorie personenbezogener Daten, die sogenannte besondere Kategorie personenbezogener Daten oder auch “sensible Daten” genannt. Diese Daten unterliegen einem noch höheren Schutz, da deren Verarbeitung rechtlich verboten ist (Art. 9 Abs. 1 DSGVO). Zu den sensiblen Daten gehören Angaben über die ethnische Herkunft, politische Meinungen, philosophische, religiöse und weltanschauliche Überzeugungen, Zugehörigkeit zu Gewerkschaften, genetische und biometrische Daten, gesundheitsbezogene Daten und Daten zur Sexualität und sexueller Orientierung. Des weiteren gehören Daten zur wirtschaftlichen, kulturellen oder sozialen Identität ebenfalls dazu.

 

Für Webseitenbetreiber bedeutet der Schutz personenbezogener Daten nach DSGVO: Sie benötigen gemäß Erwägungsgrund 30 DSGVO für die Verwendung bestimmter Webtechnologien wie Cookies, Pixel etc. eine Rechtsgrundlage (Art. 6 DSGVO oder ggf. Art. 9 DSGVO) und müssen demnach auf der Seite ggf. eine Einwilligung ihrer Nutzer einholen.

Infografik:

Personenbezogene Daten

Eine Übersicht, was die DSGVO unter personenbezogenen Daten versteht, haben wir Ihnen nachfolgend auch übersichtlich in einer Infografik festgehalten.

Personenbezogene Daten

Grundsätze der Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO

Wie und in welcher Form personenbezogene Daten generell verarbeitet werden dürfen, regelt im Allgemeinen Art. 5 DSGVO (Datenschutz-Grundverordnung).

 

 

Rechtmäßigkeit

 

Diese Grundlage der DSGVO besagt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn eine Rechtsgrundlage, insbesondere in Form einer Einwilligung, vorliegt.

 

 

Transparenz

 

Art. 5 Abs. 1a DSGVO soll gewährleisten, dass Personen ihre Betroffenenrechte und generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. Der Grundsatz der Transparenz wird in Art. 12 ff. DSGVO durch Informationspflichten bei der Erhebung von personenbezogenen Daten als auch durch das Auskunftsrecht der betroffenen Person präzisiert.

 

Weitergehend soll der Datenschutz durch Technik (data protection by design; Art. 25 Abs. 1 DSGVO) als auch durch datenschutzfreundliche Voreinstellungen (data protection by default; Art. 25 Abs. 2 DSGVO) die Transparenz gewährleisten und erhöhen.

 

Auf die Transparenz- und Informationspflicht wird im Erwägungsgrund 39 DSGVO besonders eingegangen:

 

(…) Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können (…)

 

 

Zweckbindung

 

Der Zweck einer Datenerhebung von personenbezogenen Daten muss drei Voraussetzungen erfüllen:

 

  1. Der Zweck der Verarbeitung muss festgelegt
  2. legitim
  3. und eindeutig sein

 

Zusätzlich ist eine Weiterverarbeitung von personenbezogenen Daten möglich, sofern die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken der Erhebung vereinbar sind (Art. 5 Abs. 1b DSGVO).

 

 

Datenminimierung

 

Diese Vorschrift ist an die bisher bestehenden Gesetze der Datensparsamkeit, sowie der Datenvermeidung (Art. 3a BDSG) angelehnt. Demnach dürfen nur für den verwendeten Zweck notwendige und angemessene personenbezogene Daten verarbeitet werden (Prinzip der Datenminimierung; Art. 5 Abs. 1b DSGVO).

 

 

Richtigkeit

 

Personenbezogene Daten, die im “Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden” (Art. 5 Abs. 1d DSGVO).

 

 

Speicherbegrenzung

 

Die Speicherbegrenzung verlangt, dass personenbezogene Daten nur solange gespeichert werden dürfen, wie es für den Zweck notwendig ist, Personen identifizieren zu müssen (Art. 5 Abs. 1e DSGVO). Zum Datenschutz müssen die personenbezogenen Daten also gelöscht werden, sobald die Speicherung der Daten für den Verarbeitungszweck nicht mehr erforderlich ist, oder die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1b DSGVO).

 

Integrität und Vertraulichkeit

 

Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit dieser Daten gewährleistet ist. Mit inbegriffen ist hier auch der Schutz vor unbefugter und unrechtmäßiger Verarbeitung (z.B. durch ein Account- / Rechtemanagement), unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten (Art. 5 Abs. 1f DSGVO).

Um diese Datensicherheit und einen lückenlosen Datenschutz zu gewährleisten, sind geeignete technische und organisatorische Maßnahmen zu treffen. Darunter fallen beispielsweise die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten als auch die Verfügbarkeit und den Zugang zu diesen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 DSGVO).

 

 

Rechenschaftspflicht

 

Die Rechenschaftspflicht verlangt die Einhaltung aller Grundsätze aus Art. 5 Absatz 1 DSGVO (Rechtmäßigkeit sowie Transparenz, Zweckbindung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit).

Rechtmäßige Verwendung von personenbezogenen Daten

Rechtsgrundlagen nach Art. 6 DSGVO

 

Nach Art. 6 DSGVO ist die Verarbeitung von personenbezogenen Daten ausnahmsweise erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

 

  • Mit Einwilligung der betroffenen Personen (lesen Sie mehr zu den 7 Einwilligungskriterien nach DSGVO)
  • Bei Bestehen einer vertraglichen Verpflichtung
  • Zur Erfüllung einer rechtlichen Verpflichtung (nach EU- oder nationalem Recht)
  • Wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht) erforderlich ist
  • Zum Schutz lebenswichtiger Interessen einer bestimmten Person und
  • Aus einem überwiegenden berechtigten Interesse des Verantwortlichen, wobei eine Interessenabwägung erforderlich ist

 

 

Rechtsgrundlagen nach Art. 9 DSGVO

 

Für die Verarbeitung besonderer personenbezogener Daten ist eine gesonderte Rechtsgrundlage nach Art. 9 DSGVO notwendig, da diese Daten einer höheren Schutzwürdigkeit bedürfen.

Die Verarbeitung solcher Daten ist ausnahmsweise nur erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

 

  • Der Betroffene hat in die Verarbeitung ausdrücklich eingewilligt
  • Die Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig
  • Aufgrund eines erheblichen öffentlichen Interesses
  • Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin erforderlich

 

 

Weitergabe von Daten an Dritte

 

Die Weiterleitung von personenbezogenen Daten an Dritte wird nicht zwangsläufig durch das Existieren einer Rechtsgrundlage erlaubt. Besonders innerhalb eines Konzerns würde das Existieren einer Rechtsgrundlage, die die Weitergabe von personenbezogenen Daten erlaubt (“Konzernprivileg”), relevant sein. Diese Regelung welche die gemeinsame Verarbeitung der Daten durch die Teilung der Ressourcen verschiedener Unternehmen beinhalten würde, wäre zwar praktisch, wurde aber im DSGVO nicht aufgenommen. Deshalb ist die Weitergabe der Daten innerhalb eines Konzerns nach der DSGVO nicht ohne Weiteres erlaubt.

Ein überwiegend berechtigtes Interesse bzgl. der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken kann nach Erwägungsgrund 48 DSGVO angenommen werden. Sofern die Übermittlung allerdings nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist, bedarf es einer anderen Rechtsgrundlage, um selbst die konzerninterne Übermittlung von Daten zu legitimieren.

Was sind die Rechte der Betroffenen?

Natürlich haben auch die betroffenen Personen, deren personenbezogene Daten erhoben wurden, gewisse Rechte: Die sogenannten Betroffenenrechte. Denn im weiteren Sinne können personenbezogene Daten als Eigentum einer Person aufgefasst werden. Die DSGVO regelt in Art. 13-23 alle Rechte betroffener Personen. Die wichtigsten Rechte stellen wir im Folgenden vor:

 

 

Informationsrecht

 

Das Informationsrecht ist vielleicht die wichtigste Rechtsgrundlage für Betroffene. Sollten personenbezogene Daten einer Person erhoben werden, muss diese Person vor allem über den Namen und die Kontaktdaten des für die Daten einer Person Verantwortlichen (und ggfs. seines Vertreters) informiert werden (Art. 13 Abs. 1 DSGVO). Ebenfalls müssen der betroffenen Person “der Zweck und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung” mitgeteilt werden.

Das Informationsrecht regelt weiterhin die allgemeine Information aller Betroffenen über die Rechte der Auskunft, Berichtigung, Löschung, Einschränkung, des Widerspruchs und der Datenübertragbarkeit. Der betroffenen Person müssen alle Informationen zum Zeitpunkt der Datenerhebung übermittelt werden, d.h. in dem Moment, indem beispielsweise eine Webseite aufgerufen wird, müssen alle zuvor genannten Informationen unverzüglich mitgeteilt werden (Art. 13 DSGVO).

 

 

Auskunftsrecht

 

Sollten personenbezogene Daten verarbeitet werden, kann die betroffene Person zu jeder Zeit Auskunft über den Empfänger, den Zweck, als auch welche Daten verarbeitet wurden und wie lange diese gespeichert werden, verlangen (Art. 15 DSGVO).

 

 

Berichtigungsrecht

 

Ändern sich personenbezogene Daten (zum Beispiel die E-Mail-Adresse) hat jede Person das Recht auf die Korrektur der personellen Daten (Art. 16 DSGVO).

 

 

Recht auf Datenlöschung / Recht auf Vergessenwerden

 

Betroffene haben das Recht, alle personenbezogenen Daten unter den folgenden Voraussetzungen unverzüglich löschen zu lassen:

 

  • Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig
  • Die Daten wurden unrechtmäßig verarbeitet
  • Der Betroffene widerruft seine Einwilligung in die Datenverarbeitung
  • Der Betroffene legt Widerspruch gegen die Verarbeitung seiner Daten ein
  • Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet (Art. 17 DSGVOErwägungsgrund 65 DSGVOErwägungsgrund 66 DSGVO)

 

 

Zu beachten ist, dass der Verantwortliche die Daten nach einem Antrag der betroffenen Person unverzüglich löschen muss, d.h. ohne “schuldhaftes Zögern”. Deshalb hat der Verantwortliche regelmäßig zu prüfen, ob neue Löschungsanträge vorliegen und muss diese auch unverzüglich prüfen.

Spätestens innerhalb eines Monats nach Eingang des Löschungsantrags muss der Verantwortliche die betroffene Person über die ergriffenen Maßnahmen bzw. über die Gründe der Ablehnung informieren.

 

 

Recht auf Einschränkung der Verarbeitung

 

Dieses Recht gibt Betroffenen die Möglichkeit, die Verarbeitung der eigenen personenbezogenen Daten einzuschränken, sofern:

 

  • der Betroffene die Richtigkeit der Daten in Frage stellt,
  • die Verarbeitung unrechtmäßig ist,
  • die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
  • der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat (Art. 18 DSGVO)

 

 

Recht auf Datenübertragbarkeit

 

Das Recht auf Datenübertragbarkeit erlaubt Betroffenen gespeicherte Daten von einem Verantwortlichen auf einen weiteren Verantwortlichen übertragen zu lassen, sofern eine Einwilligung des Betroffenen vorliegt und die Verarbeitung der Daten mithilfe automatisierter Verfahren erfolgt (Art. 20 DSGVO).

 

 

Widerspruchsrecht

 

Die DSGVO ermöglicht es weiterhin Betroffenen gegen die Verarbeitung ihrer Daten Widerspruch einzulegen. Damit ist es dem Verantwortlichen untersagt, personenbezogene Daten zu verarbeiten, es sei denn “er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen” (Art. 21 DSGVO).

Für Webseiten und Online Marketing ist besonders der Text aus Art. 21 Abs. 2 DSGVO interessant. Dieser behandelt das Thema Direktwerbung und besagt, dass ein Betroffener jederzeit das Recht besitzt, Widerspruch gegen die Verwendung seiner personenbezogenen Daten zum Zweck der Direktwerbung einzulegen (Erwägungsgrund 70 DSGVO). Dies gilt sowohl für postalische und telefonische, als auch Werbung per E-Mail und folglich auch Newsletter.

Was droht bei Missachtung der DSGVO?

Seit dem Inkrafttreten der DSGVO ist die Höhe der Bußgeldzahlungen im Gegensatz zum BDSG enorm angestiegen. Die DSGVO erhöht die Bußgeldzahlungen und Strafen bei Verstößen gegen den Datenschutz und verschärft somit das Bundesdatenschutzgesetz. Die DSVGO sieht Strafen in Höhe von “bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatz” vor (Art. 83 Abs. 5 DSGVO). Dadurch soll auf die Dringlichkeit des Datenschutzes hingewiesen und Unternehmen vor der Missachtung abgeschreckt werden.

 

Nachdem die französische Datenschutzbehörde CNIL Mitte Januar 2019 die mit 50 Millionen Euro bisher höchste DSGVO-bedingte Strafe gegen den Internetriesen Google verhängte, lassen nun auch die deutschen Datenschutzbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Taten sprechen. Wie die Datenschutzbehörde bei einem Trackingcheck von 40 Top-Websites anlässlich des Safer Internet Days 2019 festgestellt hat, holen diese die Besucher-Einwilligungen nicht DSGVO-konform ein – mit Konsequenzen für die betroffenen Unternehmen. Das BayLDA prüft aktuell die Einleitung von Bußgeldverfahren (mehr erfahren).

Fazit

Die DSGVO (Datenschutzgrundverordnung) möchte die Rechte der Betroffenen in den Vordergrund stellen und ihnen die Hoheit über ihre eigenen Daten geben. Um als Unternehmen personenbezogene Daten verarbeiten zu dürfen, muss in den meisten Fällen eine Einwilligung der betroffenen Person vorliegen, möchte man keine Risiken bezüglich Bußgeldern eingehen. Mit einer Einwilligung der bestimmten oder bestimmbaren natürlichen Person kann ein Unternehmen in jedem Fall sicher sein, dass die Verarbeitung dieser personenbezogenen Daten zu den angegebenen Zwecken im Einklang mit der DSGVO und somit dem Datenschutz steht.

Die DSGVO gibt für eine konforme Einwilligungen einige Kriterien vor. Wie eine DSGVO-konforme Einwilligung aussieht und welche Kriterien diese genau erfüllen muss, haben wir Ihnen in unserem Artikel “Die 7 Kriterien einer DSGVO-konformen Einwilligung” für Sie festgehalten.

Frequently Asked Questions (FAQ)

Die Datenschutz-Grundverordnung, kurz DSGVO, schreibt vor, dass personenbezogene Daten generell nur für einen bestimmten Verarbeitungszweck und nur so lange gespeichert werden dürfen, wie es für diesen Zweck erforderlich ist (Art. 5 Abs. 1 lit. e) DSGVO).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Abs.1 DSGVO). Zuordnung: Natürliche Personen sind also Menschen in Ihrer Rolle als Rechtssubjekt, d.h. als Träger von Rechten und Pflichten. Menschen sind als natürliche Personen auch juristische Personen.

Zu den üblichen Arten der Erfassung personenbezogener Daten gehören unter anderem das Erfassen, Aufzeichnen, Organisieren, Speichern, Ändern, Anzeigen, Verwenden, Offenlegen, Verknüpfen und Löschen solcher Daten.

Der Personenbezug wird folgendermaßen hergestellt: Es gibt genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit der betroffenen Person hervorgehen. Außerdem gibt es Daten zur kulturellen oder sozialen Identität.

Home Ressourcen Blog Was sind personenbezogene Daten?

Ähnliche Artikel