Was sind personenbezogene Daten?

Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.

Definition nach BDSG und DSGVO

Wenn es um Datenschutz geht, kommt oft die Frage auf, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht. Denn die Vorschriften der DSGVO gelten nur, wenn es sich um personenbeziehbare Daten handelt.

Daher ist es wichtig zu wissen, was personenbezogene Daten sind. Eine Definition wird in Art. 4 Nr. 1 DSGVO gegeben:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Personenbezogene Daten Icon

Grundsätzlich fallen unter personenbezogene Daten also alle Daten, die einer bestimmten oder identifizierbaren Person zugeordnet werden können.

Da die DSGVO den Betroffenen als natürliche Person definiert, sind juristische Personen, Personenmehrheiten und -gruppen kein Teil des Schutzbereiches der DSGVO.

Personenbezogene Daten im Unternehmen

Sobald sich Unternehmen unmittelbar oder mittelbar mit dem Thema Datenverarbeitung befassen, müssen diese die allgemeinen Grundsätze des Datenschutzes sowie die besonderen Regelungen beachten.

Die genauen Grundsätze für die Verarbeitung von personenbezogenen Daten sind im Art. 5 Abs. 1 DSGVO festgelegt.

Rechtmäßigkeit der Verarbeitung

Die Verarbeitung von personenbezogenen Daten ist dann rechtmäßig, wenn eine eindeutige Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis vorliegt.

Zweckbindung

Bei der Verarbeitung personenbezogener Daten muss immer ein bestimmter Zweck der Verarbeitung vor der Erhebung der Daten festgelegt werden.

Die Erhebung von personenbezogenen Daten darf nach Art. 5 Abs. 1 DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.

Transparenz

Es muss für den Betroffenen, dessen Daten verarbeitet werden, immer ersichtlich sein, für welchen Zweck seine personenbezogenen Daten verarbeitet werden.

Dieser Grundsatz soll gewährleisten, dass der Betroffene sein Recht auf informationelle Selbstbestimmung wahrnehmen kann.

Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es dürfen also nur so viele Daten erhoben werden, wie für den jeweiligen Verarbeitungszweck notwendig sind. Durch diesen Grundsatz sollen die Betroffenen vor einer übermäßigen Preisgabe personenbezogener Daten geschützt sein.

Richtigkeit

Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und aktuell sein. Unrichtige oder veraltete Daten müssen unmittelbar gelöscht oder korrigiert werden. Betroffene haben laut Art. 16 DSGVO das Recht, diese Berichtigung der Daten zu verlangen.

Speicherbegrenzung (Löschung/ Sperrung)

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind. Werden die Daten nicht mehr benötigt, müssen diese gelöscht werden (Art. 17 Abs. 1a), sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen immer sicher und vertraulich behandelt werden.

Gemäß Art. 5 Abs. 1f DSGVO müssen Daten in einer Weise verarbeitet werden, welche eine angemessene Sicherheit gewährleistet. Unter diesen Artikel fällt auch, dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unabsichtlicher Schädigung oder Zerstörung geschützt werden müssen.

Verschiedene Kategorien von personenbezogenen Daten

Personenbezogene Daten unterliegen unterschiedlicher Schutzbedürftigkeit. Heißt also, manche Informationen sind strenger geschützt als andere. Der Gesetzgeber unterscheidet zwischen verschiedenen Kategorien:

Allgemeine Personendaten

Bankdaten

Kennnummern

Physische Merkmale

Patientendaten

Besitzmerkmale

Allgemeine personenbezogene Daten

Daten, welche keiner besonderen Schutzwürdigkeit unterliegen, fallen unter die allgemeinen personenbezogenen Daten.

Daten wie der Name, das Geburtsdatum, der Geburtsort und der Wohnort eines Menschen sind bei den allgemeinen personenbezogenen Daten mit einbegriffen. Abgesehen vom Namen, lassen sich die eben genannten Daten nicht unmittelbar einer Person zuordnen.

Besonders schutzwürdige personenbezogene Daten

Die Kategorie der besonders schutzwürdigen personenbezogenen Daten sind rechtlich gesehen wesentlich wichtiger. Die DSGVO nennt die Daten, welche ausdrücklich einem weitergehenden Schutz unterliegen im Art. 9 Abs. 1 DSGVO:

Rassische und ethnische Herkunft eines Menschen

Religiöse oder weltanschauliche Überzeugungen

Angaben zur Gesundheit, genetische oder biometrische Daten, die zu einer eindeutigen Identifikation einer natürlichen Person führen.

Gewerkschaftszugehörigkeit

Sexualleben oder die sexuelle Orientierung eines Menschen

Politische Meinung

Besonders schützwürdige Daten Icon

Diese Daten dürfen grundsätzlich nicht verarbeitet werden.

Ausnahmen, in denen dies nicht gilt, sind in Art. 9 Abs. 2 DSGVO aufgelistet. Dabei dürfen besonders schutzwürdige personenbezogene Daten beispielsweise weitergegeben werden, wenn es dem Schutz lebenswichtiger Interessen der Person oder Dritten dient und sie aus physischen Gründen nicht dazu in der Lage ist, selbst einzuwilligen oder auch wenn die Daten von der betroffenen Person selbst offensichtlich öffentlich gemacht wurden.

Weitergabe von personenbezogenen Daten

Unternehmen sowie Privatpersonen, die personenbezogene Daten weitergeben, greifen mit dieser Handlung nachhaltig in die Rechte der betroffenen Personen ein.

Daher sollte man vor der Weitergabe von personenbezogenen Daten prüfen, ob das Verhalten den Regelungen gemäß Art. 6 DSGVO entspricht. Sollte dies nicht der Fall sein, und man geht unachtsam und fahrlässig mit den Daten um, kann das Sanktionen wie Bußgelder für die verantwortliche Person bedeuten.

Weitergabe Personenbezogene Daten Icon
Vorheriger Beitrag
Datenschutz-Folgenabschätzung – was genau ist das?
Nächster Beitrag
Welche Rechte haben betroffene Personen unter der DSGVO?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr