Was sind personenbezogene Daten: Definition nach BDSG und DSGVO?

Was sind personenbezogene Daten: Definition nach BDSG und DSGVO?

Als Teil des allgemeineren Bereichs der Datensicherheit soll der Datenschutz bestimmte Datensätze vor Missbrauch und unbefugtem Zugriff schützen: personenbezogene Daten. Die entsprechenden Datenschutzbestimmungen finden sich einerseits im Bundesdatenschutzgesetz und andererseits relevanter in der Europäischen allgemeinen. Sowohl die BDSG als auch die DSGVO und die zahlreichen staatlichen Datenschutzgesetze enthalten Definitionen einzelner Begriffe, auf die sich die Texte beziehen.

Die Definition des Begriffs „personenbezogene Daten“ aber welche Daten sind persönlich? Grundsätzlich alle Daten, die einer bestimmten oder identifizierbaren natürlichen Person zugeordnet werden können. Die DSGVO erweitert diese allgemeine Definition ein wenig: Personenbezogene Daten sind Informationen, die, wenn sie einer natürlichen Person zugewiesen werden, Einblick in ihre physische, physiologische, genetische, psychologische, wirtschaftliche, kulturelle oder soziale Identität geben (Artikel 4 Absatz 1 DSGVO). 

Welche personenbezogenen Daten gibt es im Detail?

Beispiele für personenbezogene Daten die Arten von persönlichen Daten sind zahlreich. Nachfolgend finden Sie eine Liste der entsprechenden Werte, die einen ersten Eindruck davon vermitteln sollen, was unter personenbezogene Daten fällt:

• allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
• Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
• Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
• Online-Daten (IP-Adresse, Standortdaten usf.)
• physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
• Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
• Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
• Werturteile (Schul- und Arbeitszeugnisse usf.)
• u. v. m.

Darüber hinaus gibt es spezielle personenbezogene Daten, die einen erhöhten Schutz erfordern. Die Regeln für die Erhebung und Verarbeitung solcher Daten sind viel strenger. Solche besonderen Kategorien personenbezogener Daten sind gemäß § 46 Abs. 14 a-e BDSG (siehe auch Artikel 4, 9 DSGVO):

• „Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
• Gesundheitsdaten und
• Daten zum Sexualleben oder zur sexuellen Orientierung;“

Warum müssen personenbezogene Daten geschützt werden?

In Zeiten weltweiter Verbindung über das Internet ist die Angst vor der „transparenten Person“ allgegenwärtig. Welche Daten können Behörden aus meiner Mitteilung sammeln? Wie kann ich meine persönlichen Daten kontrollieren? Noch heute gehen viele Menschen zu leichtfertig mit ihren persönlichen Daten um – oft aus Unkenntnis darüber, wie wertvoll sie für einzelne Unternehmen und Behörden sein können. Globale Datenkraken wie Google und Facebook sammeln Daten über die Aktivitäten von Nutzern aus dem World Wide Web.

Diese Stammdaten (von den Standortdaten über Informationen zum Kaufverhalten bis hin zu Kontakten) werden meist zur Platzierung individueller Werbung für den jeweiligen Nutzer verwendet. Und letztendlich erwirtschaften sie jedes Jahr Gewinne in Millionenhöhe. Personenbezogene Daten sind daher bares Geld wert. Darüber hinaus kann der Missbrauch dieser sensiblen Informationen auch strafrechtliche Relevanz haben: Kriminelle können ohne Genehmigung auf Bankdaten und damit auf Konten zugreifen, falsche Dokumente können erstellt und mit ID-Nummern verkauft werden.

Der Missbrauch personenbezogener Daten hat daher häufig einen wirtschaftlichen Hintergrund. Aus diesem Grund ist beim Umgang mit personenbezogenen Daten – ob im Unternehmen oder bei einer Behörde – besondere Sorgfalt erforderlich. Unternehmen und öffentliche Stellen, die solche Datenschätze sammeln, speichern und verarbeiten, müssen diese entsprechend vor unbefugtem Zugriff schützen. Darüber hinaus dürfen nicht alle Daten für irgendeinen Zweck verarbeitet oder gespeichert werden – und schon gar nicht weitergegeben werden.

Wie geht man mit personenbezogenen Daten um?

Das bedeutet: Die Mitarbeiter, die in der Datenverarbeitung tätig sind, müssen über das Datengeheimnis belehrt werden und brauchen eine datenschutzrechtliche Schulung im Umgang mit den Datensätzen. Die Weitergabe personenbezogener Daten an Dritte ist ohne Zustimmung des Betroffenen – nicht zulässig. Ist es in Ausnahmefällen gestattet, muss die Übermittlung verschlüsselt sein und die Daten müssen abgetrennt voneinander übermittelt werden. So soll am Ende zunächst das unrechtmäßige Abgreifen verhindert, zum anderen aber auch unterbunden werden, dass Datensammlungen zu einer Person zu viele Informationen über den Betroffenen preisgeben.

Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen. Das meint nicht nur passwortgeschützte Arbeitsplätze und Datenbänke, sondern vor allem auch angemessene Verschlüsselungsprogramme und höchst Wirksame Maßnahmen zur Unterbindung einer Infiltrierung durch Schadsoftware (Antivirenprogramme, Firewall usf.). Die Verarbeitung personenbezogener Daten muss immer zweckgebunden erfolgen. Ist der Zweck erfüllt, müssen die Angaben gelöscht oder vor einem weiteren Zugriff geschützt werden. Diesem Zweck muss der Betroffene zudem eindeutig zugestimmt haben. Die Pflicht zur Löschung personenbezogener Daten besteht regelmäßig. Zudem verjährt die ein oder andere Eintragung von Daten in regelmäßigen Abständen (etwa bei der Schufa-Auskunft). Auch unrechtmäßig gespeicherte Daten müssen umgehend sicher gelöscht werden.

Was sind die wichtigen Rechte der Betroffenen?

Bundesdatenschutzgesetz: Personenbezogene Daten dürfen nur unter strengen Bedingungen gespeichert werden. Personenbezogene Daten dürfen nach dem Bundesdatenschutzgesetz nur unter strengen Bedingungen gespeichert werden. Betroffene Personen, deren Daten gesammelt, gespeichert und verarbeitet werden, haben zahlreiche Rechte. Personenbezogene Daten sind zum Teil auch Eigentum der jeweiligen Person. Die drei wichtigsten Rechte betreffen die Selbstbestimmung, das Recht auf Information und die Löschung von Daten.

Recht auf informationelle Selbstbestimmung

In der sogenannten Volkszahlungsentscheidung vom 15. Dezember 1983 kam das Bundesverfassungsgericht zu dem Schluss, dass das Recht auf informationelle Selbstbestimmung grundsätzlich unter die allgemeinen Persönlichkeitsrechte fällt. Diese wiederum sind eindeutig durch Artikel 1 des Grundgesetzes geschützt.

Nach diesem Urteil wurde es auch in der BDSG und der DSGVO festgelegt – sollte das Recht auf informationelle Selbstbestimmung nur innerhalb eines streng definierten rechtlichen Rahmens eingeschränkt werden. Diese Beschränkungen enthalten staatliche und europäische Rechtsgrundlagen. Die wichtigste Regelung in Bezug auf personenbezogene Daten: Jede betroffene Person muss der Speicherung und Verarbeitung ihrer Daten für einen bestimmten Zweck zustimmen. Mit Inkrafttreten der DSGVO 2018 reicht eine stillschweigende Zustimmung durch Annahme der Datenschutzerklärung nicht mehr aus. Personenbezogene Daten dürfen nur erhoben werden, wenn die betroffene Person dem Verfahren aktiv zustimmt.

Das bedeutet aber auch, dass die Menschen hier selbst eine Pflicht haben. Sie sollten die Freigabe solcher personenbezogener Daten im Allgemeinen sorgfältiger behandeln und selbst Vorkehrungen treffen, um den Missbrauch personenbezogener Daten zu verhindern.

Auskunftsrecht

Spezielle Arten von persönlichen Daten sind z.B. Informationen über religiöse oder politische Ansichten. Nach § 19 und 34 sind betroffene Personen berechtigt, die bei Unternehmen und Behörden über sich gespeicherten Daten einzusehen. Im Gegenzug sind die öffentlichen und nicht öffentlichen Stellen zur Information verpflichtet. Dies gilt insbesondere für Informationen über Daten, die bei Kreditagenturen wie Schufa gespeichert sind und sich auf die Kreditwürdigkeit einer Person beziehen. Die Betroffenen haben das Recht, einmal im Jahr kostenlose Informationen zu erhalten.

Recht auf Berichtigung, Löschung und Sperrung der Daten

Falsche, veraltete, illegal gespeicherte oder weitergeleitete personenbezogene Daten müssen von den Datensammlern rechtzeitig gesperrt, korrigiert oder vollständig gelöscht werden. Die betroffenen Personen haben das Recht, diese Vorgänge zu beantragen, wenn diesbezüglich ein Datenschutzverstoß vorliegt.