Was sind personenbezogene Daten? (DSGVO)
Personenbezogene Daten sind nach der Datenschutz-Grundverordnung (DSGVO) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt erkannt werden kann – zum Beispiel anhand eines Namens, einer Kennnummer oder besonderer Merkmale.
Die DSGVO schützt personenbezogene Daten, um die Privatsphäre und die Rechte von Menschen zu wahren.
Definition personenbezogener Daten nach Art. 4 DSGVO
Laut Artikel 4 Nr. 1 DSGVO sind personenbezogene Daten:
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“
Das bedeutet:
Sobald ein Bezug zu einer konkreten Person hergestellt werden kann, handelt es sich um personenbezogene Daten – unabhängig davon, ob die Identifizierung direkt oder erst durch zusätzliche Informationen möglich ist.
Beispiele für personenbezogene Daten
Typische personenbezogene Daten sind unter anderem:
- Vor- und Nachname
- Anschrift (Wohnadresse)
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
Beispiele für Personenbezogene Daten, die eine Person IDENTIFIZIERBAR machen.
- Kundennummer oder Personalnummer
Diese Nummer ist in der Regel das Pseudonym einer Person. Je nach Organisationsstruktur ist kann die Rückschlüsselung der Nummer auf den jeweiligen Mitarbeitenden oder Kunden von sehr vielen Personen in Ihrem Unternehmen durchgeführt werden. - IP-Adresse
Die IP-Adresse hat auf den ersten Blick keinen Personenbezug. Allerdings können im Internet Anschlussinhaber über die Staatsanwaltschaft per Provideranfrage identifiziert werden. Diese Anschlussinhaber können natürliche Personen sein und damit wird die IP-Adresse personenbezogen. - Kfz-Kennzeichen
Ähnlich wie bei der IP-Adresse kann hier über eine Halterabfrage der Halter des Fahrzeugs ermittelt werden, was einen Personenbezug herstellt.
Auch Kombinationen scheinbar harmloser Daten können personenbezogene Daten sein, wenn sie eine Person identifizierbar machen. Beispiele hierfür sind die Abteilungszugehörigkeit zusammen mit Geschlecht und Alter. Damit lässt sich z.B. auf einer Gehaltsliste in vielen Unternehmen ein direkter Personenbezug herstellen.
Besondere Kategorien personenbezogener Daten
Die DSGVO unterscheidet außerdem besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Diese sind besonders schützenswert, da sie sensible Informationen enthalten, zum Beispiel:
- Gesundheitsdaten
- Religions- oder Weltanschauung
- Politische Meinung
- Gewerkschaftszugehörigkeit
- Biometrische und genetische Daten
- Angaben zur sexuellen Orientierung
Für die Verarbeitung dieser personenbezogenen Daten gelten strengere Anforderungen. Z.B. müssen für diese Daten andere Rechtsgrundlagen herangezogen werden.
Wann liegen keine personenbezogenen Daten vor?
Keine personenbezogenen Daten liegen vor, wenn:
- Daten vollständig anonymisiert sind
- kein Personenbezug hergestellt werden kann
- sich die Informationen ausschließlich auf juristische Personen (z. B. GmbH) beziehen
Achtung: Pseudonymisierte Daten gelten weiterhin als personenbezogene Daten, solange eine Re-Identifizierung möglich ist. In welchen Fällen der Aufwand für die Re-Identifizierung so hoch ist, dass man nicht mehr von personenbezogenen Daten spricht ist Gegenstand div. Gerichtsurteile bis hin zum EuGH.
Als Datenschutzbeauftragter kann ich Ihnen dabei helfen, die Grenzen begründet zu ziehen und Ihre Mitarbeitenden entsprechend zu Schulen.
Warum sind personenbezogene Daten so wichtig?
Der Schutz natürlicher Personen vor einer übermäßigen Nutzung ihrer Daten ist das zentrale Ziel der DSGVO. Daher kommt der Definition was personenbezogenen Daten sind eine besondere Bedeutung zu, da dies definiert welche Daten von Unternehmen und Organisationen besonders zu schützen sind.
Bei der Verarbeitung ist darauf zu achten:
- personenbezogene Daten rechtmäßig zu verarbeiten
- sie vor unbefugtem Zugriff zu schützen
- Transparenz gegenüber Betroffenen zu schaffen
- Betroffenenrechte einzuhalten
Verstöße gegen den Schutz personenbezogener Daten können zu hohen Bußgeldern führen.
Fazit: Personenbezogene Daten und DSGVO
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Die DSGVO und Gerichtsurteile der letzten Jahrzehnte haben den Begriff sehr weit gefasst, sodass ein Personenbezug relativ häufig anzunehmen ist. Die DSGVO stellt Regeln auf, wie diese Daten verarbeitet, gespeichert und geschützt werden müssen. Für Unternehmen ist es daher essenziell, personenbezogene Daten zu erkennen und DSGVO-konform zu behandeln.
Meine Aufgabe als externer Datenschutzbeauftragter ist es bei der Bewertung von Geschäftsprozessen, die entsprechende Daten verarbeiten, zu helfen und meine Einschätzung zum Schutz der Daten abzugeben.
