Was sind Personenbezogenen Daten?

Sobald sich Unternehmen unmittelbar oder mittelbar mit dem Thema Datenverarbeitung befassen, müssen diese die allgemeinen Grundsätze des Datenschutzes sowie die besonderen Regelungen beachten.

Die genauen Grundsätze für die Verarbeitung von personenbezogenen Daten sind im Art. 5 Abs. 1 DSGVO festgelegt.

• Rechtmäßigkeit der Verarbeitung
  Die Verarbeitung von personenbezogenen Daten ist dann rechtmäßig, wenn eine eindeutige Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis vorliegt.
  
• Zweckbindung
  Bei der Verarbeitung personenbezogener Daten muss immer ein bestimmter Zweck der Verarbeitung vor der Erhebung der Daten festgelegt werden.
  
  Die Erhebung von personenbezogenen Daten darf nach Art. 5 Abs. 1 DSGVO ausschließlich für festgelegte, eindeutige und legitime Zwecke erfolgen.
  
• Transparenz
  Es muss für den Betroffenen, dessen Daten verarbeitet werden, immer ersichtlich sein, für welchen Zweck seine personenbezogenen Daten verarbeitet werden.
  
  Dieser Grundsatz soll gewährleisten, dass der Betroffene sein Recht auf informationelle Selbstbestimmung wahrnehmen kann.
  
• Datenminimierung
  Personenbezogene Daten müssen dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Es dürfen also nur so viele Daten erhoben werden, wie für den jeweiligen Verarbeitungszweck notwendig sind. Durch diesen Grundsatz sollen die Betroffenen vor einer übermäßigen Preisgabe personenbezogener Daten geschützt sein.
  
• Richtigkeit
  Personenbezogene Daten müssen gemäß Art. 5 Abs. 1d DSGVO sachlich richtig und aktuell sein. Unrichtige oder veraltete Daten müssen unmittelbar gelöscht oder korrigiert werden. Betroffene haben laut Art. 16 DSGVO das Recht, diese Berichtigung der Daten zu verlangen.
  
• Speicherbegrenzung (Löschung/ Sperrung)
  Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Verarbeitungszweck erforderlich sind. Werden die Daten nicht mehr benötigt, müssen diese gelöscht werden (Art. 17 Abs. 1a), sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  
• Integrität und Vertraulichkeit
  Personenbezogene Daten müssen immer sicher und vertraulich behandelt werden.
  
  Gemäß Art. 5 Abs. 1f DSGVO müssen Daten in einer Weise verarbeitet werden, welche eine angemessene Sicherheit gewährleistet. Unter diesen Artikel fällt auch, dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unabsichtlicher Schädigung oder Zerstörung geschützt werden müssen.

Personenbezogene Daten unterliegen unterschiedlicher Schutzbedürftigkeit. Heißt also, manche Informationen sind strenger geschützt als andere. Der Gesetzgeber unterscheidet zwischen verschiedenen Kategorien:

• Allgemeine Personendaten
• Bankdaten
• Kennnummern
• Physische Merkmale
• Patientendaten
• Besitzmerkmale

Daten, welche keiner besonderen Schutzwürdigkeit unterliegen, fallen unter die allgemeinen personenbezogenen Daten.

Daten wie der Name, das Geburtsdatum, der Geburtsort und der Wohnort eines Menschen sind bei den allgemeinen personenbezogenen Daten mit einbegriffen. Abgesehen vom Namen, lassen sich die eben genannten Daten nicht unmittelbar einer Person zuordnen.

Die Kategorie der besonders schutzwürdigen personenbezogenen Daten sind rechtlich gesehen wesentlich wichtiger. Die DSGVO nennt die Daten, welche ausdrücklich einem weitergehenden Schutz unterliegen im Art. 9 Abs. 1 DSGVO:

• Rassische und ethnische Herkunft eines Menschen
• Religiöse oder weltanschauliche Überzeugungen
• Angaben zur Gesundheit, genetische oder biometrische Daten, die zu einer eindeutigen Identifikation einer natürlichen Person führen.
• Gewerkschaftszugehörigkeit
• Sexualleben oder die sexuelle Orientierung eines Menschen
• Politische Meinung

Diese Daten dürfen grundsätzlich nicht verarbeitet werden.

Ausnahmen, in denen dies nicht gilt, sind in Art. 9 Abs. 2 DSGVO aufgelistet. Dabei dürfen besonders schutzwürdige personenbezogene Daten beispielsweise weitergegeben werden, wenn es dem Schutz lebenswichtiger Interessen der Person oder Dritten dient und sie aus physischen Gründen nicht dazu in der Lage ist, selbst einzuwilligen oder auch wenn die Daten von der betroffenen Person selbst offensichtlich öffentlich gemacht wurden.