Was sind personenbezogene Daten?
Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Definition nach BDSG und DSGVO
Wenn es um Datenschutz geht, kommt oft die Frage auf, ob es sich bei den verarbeiteten Daten um personenbezogene Daten handelt oder nicht. Denn die Vorschriften der DSGVO gelten nur, wenn es sich um personenbeziehbare Daten handelt.
Daher ist es wichtig zu wissen, was personenbezogene Daten sind. Eine Definition wird in Art. 4 Nr. 1 DSGVO gegeben:
Grundsätzlich fallen unter personenbezogene Daten also alle Daten, die einer bestimmten oder identifizierbaren Person zugeordnet werden können.
Da die DSGVO den Betroffenen als natürliche Person definiert, sind juristische Personen, Personenmehrheiten und -gruppen kein Teil des Schutzbereiches der DSGVO.
Personenbezogene Daten im Unternehmen
Sobald sich Unternehmen unmittelbar oder mittelbar mit dem Thema Datenverarbeitung befassen, müssen diese die allgemeinen Grundsätze des Datenschutzes sowie die besonderen Regelungen beachten.
Die genauen Grundsätze für die Verarbeitung von personenbezogenen Daten sind im Art. 5 Abs. 1 DSGVO festgelegt.
Die Verarbeitung von personenbezogenen Daten ist dann rechtmäßig, wenn eine eindeutige Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis vorliegt.
Bei der Verarbeitung personenbezogener Daten muss immer ein bestimmter Zweck der Verarbeitung vor der Erhebung der Daten festgelegt werden.
Die Erhebung von personenbezogenen Daten darf nach Art. 5 Abs. 1 DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.
Es muss für den Betroffenen, dessen Daten verarbeitet werden immer ersichtlich sein, für welchen Zweck seine personenbezogenen Daten verarbeitet werden.
Dieser Grundsatz soll gewährleisten, dass der Betroffene sein Recht auf informationelle Selbstbestimmung wahrnehmen kann.
Personenbezogene Daten müssen dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es dürfen also nur so viele Daten erhoben werden, wie für den jeweiligen Verarbeitungszweck notwendig sind. Durch diesen Grundsatz sollen die Betroffenen vor einer übermäßigen Preisgabe personenbezogener Daten geschützt sein.
Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und aktuell sein. Unrichtige oder veraltete Daten müssen unmittelbar gelöscht oder korrigiert werden. Betroffene haben laut Art. 16 DSGVO das Recht, diese Berichtigung der Daten zu verlangen.
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind. Werden die Daten nicht mehr benötigt, müssen diese gelöscht werden (Art. 17 Abs. 1a), sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Personenbezogene Daten müssen immer sicher und vertraulich behandelt werden.
Gemäß Art. 5 Abs. 1f DSGVO müssen Daten in einer Weise verarbeitet werden, welche eine angemessene Sicherheit gewährleistet. Unter diesen Artikel fällt auch, dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unabsichtlicher Schädigung oder Zerstörung geschützt werden müssen.
Verschiedene Kategorien von personenbezogenen Daten
Personenbezogene Daten unterliegen unterschiedlicher Schutzbedürftigkeiten. Heißt also, manche Informationen sind strenger geschützt als andere. Der Gesetzgeber unterscheidet zwischen verschiedenen Kategorien:
Allgemeine personenbezogene Daten
Daten, welche keiner besonderen Schutzwürdigkeit unterliegen, fallen unter die allgemeinen personenbezogenen Daten.
Daten wie der Name, das Geburtsdatum, der Geburtsort und der Wohnort eines Menschen sind bei den allgemeinen personenbezogenen Daten miteinbegriffen. Abgesehen vom Namen, lassen sich die die eben genannten Daten nicht unmittelbar einer Person zuordnen.
Besonders schutzwürdige personenbezogene Daten
Die Kategorie der besonders schutzwürdigen personenbezogenen Daten sind rechtlich gesehen wesentlich wichtiger. Die DSGVO nennt die Daten, welche ausdrücklich einem weitergehenden Schutz unterliegen im Art. 9 Abs. 1 DSGVO:
Diese Daten dürfen grundsätzlich nicht verarbeitet werden.
Eine Ausnahme gilt, wenn die personenbezogenen Daten von der Behörde sowie der Polizei verarbeitet werden, oder die Betroffenen der Verarbeitung ausdrücklich zustimmen. Dabei genügt es nicht, wenn die Zustimmung zur Verarbeitung allgemeiner personenbezogener Daten vorliegt. Die Betroffenen müssen ausdrücklich der Verarbeitung von exakt dieser Kategorie von Daten zustimmen.
Weitergabe von personenbezogenen Daten
Unternehmen sowie Privatpersonen, die personenbezogene Daten weitergeben, greifen mit dieser Handlung nachhaltig in die Rechte der betroffenen Personen ein.
Daher sollte man vor der Weitergabe von personenbezogenen Daten prüfen, ob das Verhalten den Regelungen gemäß Art. 6 DSGVO entspricht. Sollte dies nicht der Fall sein, und man geht unachtsam und fahrlässig mit den Daten um, kann das Sanktionen wie Bußgelder für die verantwortliche Person bedeuten.