Was sind personenbezogene Daten?

Gleich zwei Gesetzesverordnungen regeln in Deutschland den Umgang mit personenbezogenen Daten. Das ist zum einen das Bundesdatenschutzgesetz (BDSG) und zum anderen die europaweit geltende DSGVO. Beide Verordnungen definieren den Begriff der personenbezogenen Daten gleichermaßen: Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Abs.1 DSGVO oder Art. 46 Abs. 1 BDSG). Dazu gehören zum Beispiel Name, Adresse, Telefonnummer oder E-Mail-Adresse. Die Daten müssen also einen Personenbezug haben. Genauer schreibt der Gesetzgeber, dass eine Person identifizierbar ist, wenn diese „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.”

Aber auch weniger offensichtliche Informationen wie IP-Adressen, Kundennummern oder Cookies können personenbezogene Daten sein. Unternehmen müssen daher darauf achten, dass sie alle von ihren Kunden und Nutzern erhobenen personenbezogenen Daten im Einklang mit der DSGVO schützen. Jegliche Daten mit Personenbezug sind daher mit besonderer Vorsicht zu verarbeiten.

Auch andere Länder haben eigene Gesetze zum Datenschutz, etwa die Schweiz mit dem Bundesgesetz über den Datenschutz (DSG) oder Brasilien mit dem LGPD.

Fast alle Informationen, die eine Person direkt betreffen, können personenbezogene Daten sein. Wenn sie dazu genutzt werden, eine Person zu identifizieren, werden sie durch diesen Personenbezug automatisch zu personenbezogenen Daten. Auch hier gibt uns die DSGVO eine genaue Definition, wobei eine abschließende Zusammenfassung aufgrund der Vielzahl an unterschiedlichen Daten nur schwer möglich ist. Nachfolgend eine Liste samt Beispielen, die einen ersten Eindruck geben soll, was unter personenbezogene Daten fällt.

Allgemeine Personendaten: Name, Geburtsdatum, Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, Bilder, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, religiöse und politische Einstellungen, Sexualität, Gesundheitsdaten, Vorstrafen usw.

Physische Merkmale: Geschlecht, Hautfarbe, Haarfarbe, Statur, Kleidergröße, Schuhgröße, Fingerabdruck usw.

Besitzmerkmale: Fahrzeugnummer, KFZ-Kennzeichen, Zulassungsdaten, Grundbucheinträge usw.

Kennnummern: Sozialversicherungsnummer, Steuer-Id, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer usw.

Bankdaten: Kontonummer, Kreditinformationen, IBAN usw.

Online Daten: IP-Adresse, Standortdaten, Unique Identifier (z.B. Cookies) usw.

Kundendaten: Bestellungen, Kontodaten, Adressen usw.

Werturteile: Schulzeugnisse, Arbeitszeugnisse usw.

Sachliche Verhältnisse: Einkommen, Kapitalvermögen, Schulden, Eigentum usw.

Der Datenwert kann sich für verschiedene Webseiten oder Apps stark unterscheiden. Für einen Werbetreibenden kann der Datenwert darin liegen, dass durch bestimmte personenbezogene Daten personalisierte Werbung geschaltet werden kann. Das kann die richtige Werbesprache sein, weil die Person dadurch die Werbung versteht, es kann aber auch Werbung für ein bestimmtes Hobby sein, was aus den Daten hervorgeht. Zudem kann der Datenwert auch davon abhängen, wie viel Werbung an einen App-Nutzer ausgespielt werden kann. Daher bieten viele Apps eine Version ohne Werbung an. Dieser Wert entspricht meist sehr genau dem Datenwert, der sonst durch Werbung erzielt werden würde.

Zusätzlich nennt der Gesetzgeber eine weitere Kategorie personenbezogener Daten, die besondere Kategorie personenbezogener Daten oder auch „sensiblen Daten“.

Diese Daten unterliegen einem noch höheren Schutz, da deren Verarbeitung rechtlich verboten ist. Zu den sensiblen Daten gehören Angaben über die ethnische Herkunft, politische Meinungen, philosophische, religiöse und weltanschauliche Überzeugungen, Zugehörigkeit zu Gewerkschaften, genetische und biometrische Daten, gesundheitsbezogene Daten und Daten zur Sexualität und sexueller Orientierung. Des Weiteren gehören Daten zur wirtschaftlichen, kulturellen oder sozialen Identität dazu.

Für die Verarbeitung besonderer personenbezogener Daten ist eine gesonderte Rechtsgrundlage nach Art. 9 DSGVO notwendig, da diese Daten einer höheren Schutzwürdigkeit bedürfen. Falls die Daten beispielsweise in einem Datenleck an Kriminelle geraten, ist hier die Gefahr für Identitätsdiebstahl sehr groß.

Die Verarbeitung solcher Daten ist ausnahmsweise nur erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

• Der Betroffene hat in die Verarbeitung ausdrücklich eingewilligt.
• Die Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig.
• Es liegt ein erhebliches öffentliches Interesse vor.
• Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin erforderlich.

Für Website-Betreiber bedeutet der Schutz personenbezogener Daten laut der DSGVO: Sie benötigen gemäß Erwägungsgrund 30 DSGVO für die Verwendung bestimmter Web-Technologien wie Cookies, Pixel usw. eine Rechtsgrundlage.

Mit dem Digital Markets Act (DMA) und weiteren Neuerungen im europäischen Recht ist es umso wichtiger, besonders auf personenbezogene Daten zu achten. Jegliche Daten dürfen erst nach expliziter und informierter Einwilligung von Nutzern gesammelt und verarbeitet werden. Daher finden sich auf fast allen Webseiten inzwischen sogenannte Cookie Banner, um eben diese Einwilligung für die Datenverarbeitung einzuholen. Eine Einwilligungserklärung ist Pflicht für jede Webseite oder App, die personenbezogene Daten verarbeiten möchte.

Wie und in welcher Form personenbezogene Daten generell verarbeitet werden dürfen, regelt im Allgemeinen Art. 5 DSGVO. Dieser beinhaltet folgende Grundsätze:

1. Rechtmäßigkeit

Diese Grundlage der DSGVO besagt, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn eine Rechtsgrundlage, insbesondere in Form einer Einwilligung, vorliegt.

2. Transparenz

Art. 5 Abs. 1a DSGVO soll gewährleisten, dass Personen ihre Betroffenenrechte und generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können. Der Grundsatz der Transparenz wird in Art. 12 ff. DSGVO sowohl die Informationspflichten bei der Erhebung von personenbezogenen Daten als auch durch das Auskunftsrecht der betroffenen Person präzisiert.

Grundsätzlich bedeutet das für Unternehmen, dass sie bei der Sammlung und Verarbeitung von Daten möglichst deutlich kommunizieren müssen, DASS sie Daten sammeln und WARUM sie dies tun wollen. Zusätzlich müssen die Nutzer diesem Vorschlag einer Seite auch zustimmen.

3. Zweckbindung

Der Zweck einer Datenerhebung von personenbezogenen Daten muss drei Voraussetzungen erfüllen. Der Zweck der Verarbeitung muss:

• festgelegt,
• legitim,
• und eindeutig sein.

Zusätzlich ist eine Weiterverarbeitung von personenbezogenen Daten möglich, sofern die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken der Erhebung vereinbar sind (Art. 5 Abs. 1b DSGVO). Das bedeutet einfach nur, dass die Daten eigentlich nur für den ursprünglichen Zweck eingesetzt werden, der den Nutzern erklärt wurde. Eine Seite kann also nicht eine E-Mail Adresse für einen Newsletter sammeln und dann diese für das Ausspielen gezielter Werbung nutzen.

4. Datenminimierung

Diese Vorschrift ist an die bisher bestehenden Gesetze der Datensparsamkeit und Datenvermeidung (Art. 3a BDSG) angelehnt. Demnach dürfen nur für den verwendeten Zweck notwendige und angemessene personenbezogene Daten verarbeitet werden.

Es sollten nur so viele Daten gesammelt werden, wie für den angedachten Zweck unbedingt nötig. „Auf Verdacht” Daten zu sammeln darf also keine Seite!

5. Richtigkeit

Personenbezogene Daten, die im „Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden” (Art. 5 Abs. 1d DSGVO).

Alle personenbezogenen Daten müssen also richtig sein. Sind sie das nicht, müssen sie gelöscht werden.

6. Speicherbegrenzung

Die Speicherbegrenzung verlangt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck notwendig ist, Personen identifizieren zu müssen (Art. 5 Abs. 1e DSGVO). Zum Datenschutz müssen die personenbezogenen Daten also gelöscht werden, sobald die Speicherung der Daten für den Verarbeitungszweck nicht mehr erforderlich ist, oder die betroffene Person ihre Einwilligung widerruft (Art. 17 Abs. 1b DSGVO).

7. Integrität und Vertraulichkeit

Personenbezogene Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit dieser Daten gewährleistet ist. Mit inbegriffen ist hier auch der Schutz vor unbefugter und unrechtmäßiger Verarbeitung (z.B. durch ein Account- / Rechtemanagement) sowie unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten (Art. 5 Abs. 1f DSGVO).

Um diese Datensicherheit und einen lückenlosen Datenschutz zu gewährleisten, sind geeignete technische und organisatorische Maßnahmen zu treffen. Darunter fallen beispielsweise die Pseudonymisierung und Verschlüsselung der personenbezogenen Daten, die Verfügbarkeit und die rasche Wiederherstellung des Zugangs zu diesen Daten bei einem physischen oder technischen Zwischenfall. Eine Möglichkeit hierfür ist die Verwendung einer geeigneten CMP.

Nach Art. 6 DSGVO ist die Verarbeitung von personenbezogenen Daten ausnahmsweise erlaubt, wenn eine der folgenden Bedingungen erfüllt ist:

• Eine Person willigt explizit in die Verwendung der Daten ein
• Es besteht eine vertragliche Verpflichtung
• Es muss einer rechtlichen Pflicht nachgekommen werden (nach EU- oder nationalem Recht)
• Erforderliche Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (nach EU- oder nationalem Recht)
• Schutz lebenswichtiger Interessen einer bestimmten Person
• Überwiegendes berechtigtes Interesse des Verantwortlichen unter Interessenabwägung
• Für die meisten Unternehmen ist vor allem der erste Punkt relevant. Damit personenbezogene Daten verarbeitet oder gespeichert werden dürfen, müssen
• Nutzer explizit einwilligen. Aber nicht nur das, im Folgenden finden Sie Antworten zu den wichtigsten Fakten zur Verarbeitung von personenbezogenen Daten.

Die Weitergabe von personenbezogenen Daten an Dritte wird nicht zwangsläufig durch das Existieren einer Rechtsgrundlage erlaubt. Insbesondere innerhalb eines Konzerns würde das Existieren einer Rechtsgrundlage, die die Weitergabe von personenbezogenen Daten erlaubt („Konzernprivileg“), relevant sein.

Diese Regelung, welche die gemeinsame Verarbeitung der Daten durch die Teilung der Ressourcen verschiedener Unternehmen beinhalten würde, wäre zwar praktisch, wurde aber in die DSGVO nicht aufgenommen. Deshalb ist die Weitergabe der Daten innerhalb eines Konzerns nach der DSGVO nicht ohne Weiteres erlaubt.

Ein überwiegend berechtigtes Interesse bzgl. der Übermittlung von Kunden- und Beschäftigtendaten zu internen Verwaltungszwecken kann nach Erwägungsgrund 48 DSGVO angenommen werden. Sofern die Übermittlung allerdings nicht aufgrund eines überwiegenden berechtigten Interesses erforderlich ist, bedarf es einer anderen Rechtsgrundlage, um selbst die konzerninterne Übermittlung von Daten zu legitimieren.

Natürlich haben auch die betroffenen Personen, deren personenbezogene Daten erhoben wurden, gewisse Rechte, die sogenannten Betroffenenrechte. Denn im weiteren Sinne können personenbezogene Daten als Eigentum einer Person aufgefasst werden. Die wichtigsten Rechte sind:

Das Informationsrecht ist vielleicht die wichtigste Rechtsgrundlage für Betroffene. Sollten personenbezogene Daten einer Person erhoben werden, muss diese Person vor allem über den Namen und die Kontaktdaten des für die personenbezogenen Daten Verantwortlichen (und ggfs. seines Vertreters) informiert werden.

Ebenfalls müssen der betroffenen Person „der Zweck und die Dauer der Datenverarbeitung von personenbezogenen Daten sowie die Widerspruchsmöglichkeit, die Rechtsgrundlage der Datenverarbeitung und, falls erforderlich, das Ergebnis einer nachvollziehbaren Interessenabwägung“ mitgeteilt werden.

Das Informationsrecht regelt weiterhin die allgemeine Information aller Betroffenen über die Rechte der Auskunft, Berichtigung, Löschung, Einschränkung, des Widerspruchs und der Datenübertragbarkeit. Der betroffenen Person müssen alle Informationen vor oder zum Zeitpunkt der Datenerhebung bereitgestellt werden, d. h. in dem Moment, indem beispielsweise eine Website aufgerufen wird, müssen alle zuvor genannten Informationen unverzüglich mitgeteilt werden (Art. 13 DSGVO).

Sollten personenbezogene Daten verarbeitet werden, kann die betroffene Person zu jeder Zeit Auskunft über den Empfänger, den Zweck und darüber, welche Daten verarbeitet wurden und wie lange diese gespeichert werden, verlangen.

Ändern sich personenbezogene Daten (zum Beispiel die E-Mail-Adresse), hat jede Person das Recht auf die Korrektur dieser Daten.

Betroffene haben das Recht, alle personenbezogenen Daten unter den folgenden Voraussetzungen unverzüglich löschen zu lassen:

• Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig.
• Die Daten wurden unrechtmäßig verarbeitet.
• Der Betroffene widerruft die Einwilligung in die Datenverarbeitung.
• Der Betroffene legt Widerspruch gegen die Verarbeitung der Daten ein.
• Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet (Art. 17 DSGVO, Erwägungsgrund 65 DSGVO, Erwägungsgrund 66 DSGVO).
• Wenn ein Nutzer die Löschung seiner Daten beantragt, muss das sofort geschehen. Als Webseitenbetreiber müssen Sie Ihren Nutzern die Möglichkeit geben, solche Löschantrage zu stellen und diese auch schnellstmöglich bearbeiten. Spätestens einen Monat nach dem Antrag muss es eine Rückmeldung auf den Antrag geben.

Dieses Recht gibt Betroffenen die Möglichkeit, die Verarbeitung der eigenen personenbezogenen Daten einzuschränken, sofern:

• die Betroffenen die Richtigkeit der Daten in Frage stellen,
• die Verarbeitung unrechtmäßig ist,
• die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat, oder
• die Betroffenen Widerspruch nach Art. 21 DSGVO eingelegt haben.

Das Recht auf Datenübertragbarkeit erlaubt Betroffenen gespeicherte Daten von einem Verantwortlichen auf einen weiteren Verantwortlichen übertragen zu lassen, sofern eine Einwilligung des Betroffenen vorliegt und die Verarbeitung der Daten mithilfe automatisierter Verfahren erfolgt.

Die DSGVO ermöglicht es Betroffenen weiterhin, gegen die Verarbeitung ihrer Daten Widerspruch einzulegen. Damit ist es dem Verantwortlichen untersagt, personenbezogene Daten zu verarbeiten, es sei denn „er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen“ (Art. 21 DSGVO).

Für Websites und Online-Marketing ist besonders der Text aus Art. 21 Abs. 2 DSGVO interessant. Dieser behandelt das Thema Direktwerbung und besagt, dass Betroffene jederzeit das Recht besitzen, Widerspruch gegen die Verwendung ihrer personenbezogenen Daten zum Zweck der Direktwerbung einzulegen. Dies gilt sowohl für postalische und telefonische, als auch Werbung per E-Mail und folglich auch Newsletter.

Wichtig ist: Nutzer haben umfassende Rechte gegenüber Ihren personenbezogenen Daten. Seitenbetreiber müssen sich umfassend mit diesen Regeln beschäftigen, um verantwortungsvoll zu handeln und um Strafen aus dem Weg zu gehen.

Seit dem Inkrafttreten der DSGVO ist die Höhe der Bußgeldzahlungen im Gegensatz zum BDSG enorm angestiegen. Die DSGVO erhöht die Bußgeldzahlungen und Strafen bei Verstößen gegen den Datenschutz und verschärft somit das Bundesdatenschutzgesetz. Die DSGVO sieht Strafen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes vor. Es handelt sich also um eine Straftat. Dadurch soll auf die Dringlichkeit des Datenschutzes hingewiesen und Unternehmen von der Missachtung abgeschreckt werden.

Seit dem Digital Markets Act (DMA) können nun nicht nur Seitenbetreiber für die unrechtmäßige Datensammlung belangt werden. Auch Riesen wie Google können direkt dafür belangt werden, wenn Ihre Produkte unrechtmäßig gesammelte Daten verarbeiten. Das hat dazu geführt, dass Google Ihre Produkte nur noch Seiten zur Verfügung stellen wird, die sich an alle Regeln der DSGVO und aller dazugehörigen Direktive halten.

Wer sich also nicht an die Regeln hält, riskiert nicht nur Bußgelder, sondern auch die Einschränkung beliebter Dienste wie Google Ads, Google Adsense, Google Analytics 4 und viele weitere.

Der Schutz von personenbezogenen Daten sollte für Unternehmen nicht nur eine lästige Zusatzbelastung sein, sondern in die Werbestrategie mit einbezogen werden. Es ist wichtig, sich darüber bewusst zu sein, welche Daten gesammelt werden und für was diese verwendet werden. Gerade bei Shopsystemen wie Shopify o.ä. werden schnell Analytics-Tools und Apps hinterlegt, die zwar gute Daten liefern, aber eventuell den Schutz der Nutzer vernachlässigen.

Häufig findet man auf Webseiten ein sogenanntes Cookie Banner (auch als Consent Banner bekannt). Diese öffnen sich beim ersten Laden einer Webseite. Hier können Nutzer sich über die verschiedenen Technologien informieren, die ihre Daten verarbeiten wollen und diesen dann auch zustimmen. Es ist allerdings wichtig, ein hochwertiges Consent Banner zu nutzen. Zum einen sollen nach der Einwilligung die ausgewählten Technologien einwandfrei funktionieren und zum Anderen müssen die Nutzer auch jederzeit ihre Einwilligung widerrufen können. Es lohnt sich also, in ein hochwertiges Programm zu investieren.

Eine CMP ist eine Consent Management Platform. Diese hat meistens ein Consent Banner integriert, die Leistungen gehen aber darüber hinaus. Bei Usercentrics werden die Daten beispielsweise auch so gespeichert, dass es die gesetzlichen Vorgaben übertrifft. Die CMP ist zudem von Google zertifiziert und garantiert damit auch die Funktionalität aller Google Produkte und Dienstleistungen.

Nutzer sind sich bewusst, dass viele Seiten ihre Daten erheben. Wenn Sie eine CMP wie die von Usercentrics verwenden, können Sie sicher sein, dass sie eine vertrauensvolle Beziehung zu Ihren Nutzern aufbauen. So sichern Sie sich langfristig Ihre Monetarisierungsstrategien und respektieren die Rechte und Wünsche Ihrer Nutzer.