DSGVO – was sind personenbezogene Daten

Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.

***

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu adaptieren.

Achtung: geballte Info! Hier geht es um die Details dazu, was personenbezogene Daten eigentlich sind, also worum es in der DSGVO genau geht. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel „DSGVO – an sich ganz easy“!

***

Um gleich mit der Tür ins Haus zu fallen: Es gibt ein Grundrecht auf den Schutz von personenbezogenen Daten. Grundrecht – und leider das, was die letzten Jahre dank Social Media, Kameras in Telefonen in jeder Jackentasche, etc. sehr in Vergessenheit geraten ist.

In Österreich steht dies im Datenschutzgesetz 2000 und wird auch ins neue Datenschutzgesetz übernommen:

Artikel 1
(Verfassungsbestimmung)

Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

Was bedeutet „schutzwürdiges Interesse“? Knapp gesagt: Wenn es sich um Daten handelt, die nicht öffentlich/allgemein verfügbar sind. Dagegen sind Daten, die z.B. im Firmenbuch, Telefonbuch, Grundbuch, etc. stehen, allgemein zugänglich und daher liegt bei diesen öffentlichen Daten kein schutzwürdiges Interesse vor. Auch bei anonymen Daten, wie z.B. einer kumulierten, quantitativen Statistik, bei der keine Einzelpersonen ausgemacht werden können, ist nicht von einem schutzwürdigen Interesse auszugehen.

Alle anderen personenbezogenen Daten fallen unter die DSGVO.

Aber was sind jetzt alles „personenbezogene Daten“ und was ist mit Daten, die Personen selbst von sich veröffentlicht haben, zum Beispiel in Social Media oder auf Visitenkarten?

Grundsätzlich sind personenbezogene Daten erst einmal genau das, was man bei dem Terminus erwartet: Daten, die in Zusammenhang mit einer (natürlichen) Person stehen oder gebracht werden können. Es geht hier um Identifizierbarkeit.

Im Gesetzestext der DSGVO, Art.4 steht folgende Begriffsbestimmung:

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Explizit genannt sind also:

  • Name
  • Kennnummer
  • Standortdaten
  • Online-Kennung
  • besonderen Merkmale
  • Es geht darum, dass durch diese Angaben eine konkrete, natürliche Person und ihre physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität herausgefunden werden kann.

    Warum das wichtig ist? Nun ja, Cambridge Analytica hätte da sicher eine gute Antwort drauf. Die Sache ist, dass solche Daten – insbesondere deren Massenauswertung – unüberschaubare Risiken mit sich bringen, wie wir an der Wahlwerbung in den USA, aber auch in Österreich im Herbst 2017 gesehen haben.

    Und warum Dich Massenauswertung von Daten interessieren sollte ist, weil Du (wenn dann hoffentlich!) unwillentlich und vermutlich sogar unwissentlich Deine Daten und auch die Daten anderer Leute (ggf. auch die Deiner Kunden oder Geschäftspartner) in genau diese Systeme einspeist. Aber dazu kommen wir gleich noch.

    Also, personenbezogene Daten sind:

  • Name und Geburtsdatum sind eindeutig personenbezogen. Ebenso wie die Adresse.
  • Telefonnummer, Personalausweisnummer, Steuer-ID, KFZ-Kennzeichen, Bankverbindung, Personalnummer, Kundennummer, Mitgliedsnummer, Kundenkaten ID, Sozialversicherungenummer, Kreditkartennummer – all das fällt unter Kennnummer und machen eine Person identifizierbar, sind also ebenfalls personenbezogen.
  • Standortdaten – das GPS, aber auch WLAN und Bluetooth am Telefon verraten viel mehr, als man denkt. Über Standortdaten und daraus resultierende Bewegungsprofile weiß man sehr genau, was eine Person so den lieben langen Tag tut und daraus kann man wiederum sehr gute Interessensprofile rauslesen. Standortdaten machen eine Person identifizierbar und sind daher personenbezogen.
  • Online-Kennung: IP Adresse (in Zusammenhang mit weiteren Daten wie z.B. einem Onlinekauf), eMail Adressen, aber auch Nicknames, Twitterhandles, Spielernamen, etc. machen eine Person identifizierbar -> personenbezogen.
  • Unter die besonderen Merkmale fallen dann Fotos, Tonaufnahmen, Gesundheitsdaten, biometrische Daten, genetische Daten, etc.. Auch diese machen eine Person identifizierbar, also: personenbezogen.
  • Die Liste hat keinen Anspruch auf Vollständigkeit, aber Du siehst, in welche Richtung das geht.

    Dann gibt es noch sensible Daten, die in der DSGVO jetzt „besondere Kategorien personenbezogener Daten“ heißen, denen wir gerade zum Teil bereits bei den besonderen Merkmalen begegnet sind:

  • Informationen über politische Meinung
  • religiöse Ausrichtung
  • Sexualität
  • Gesundheitsdaten
  • genetische Daten
  • biometrischen Daten (Gesichtsbilder, Stimme, Fingerabdrücke und alles, woran eine Person biometrisch identifizierbar ist)
  • Bei sensiblen Daten ist besonderer Schutz vonnöten und hier braucht es immer eine ausdrückliche Einwilligung der betroffenen Person, dass Du diese Daten verarbeitest.

    Als Verarbeiten gilt alles, was Du mit Daten machen kannst, also irgendwo hochladen, teilen, übertragen, aber auch einfach nur loggen und speichern.

    Übrigens: Laut DSG2000 gelten verschlüsselte personenbezogene Daten noch immer als indirekt personenbezogen, weil sie ja auch wieder entschlüsselt werden können. In der DSGVO findet man „Verschlüsselung“ als eine technische/organisatorische Maßnahme zur Risikoeindämmung (Art.32 Abs.1 & Erwägungsgrund 83). Ich für mich betrachte daher verschlüsselte Daten auch nach der DSGVO noch immer als indirekt personenbezogen und daher sollte man auch darauf gut aufpassen, nicht dass der Schlüssel zusammen mit den Daten abhanden kommt, z.B. wenn ein Notebook oder Telefon in falsche Hände gerät.

    Es gibt auch die Pseudonymisierung – also eine „Bezeichnung“ für eine natürliche Person, zu der man weitere Infos braucht, um die dahinter steckende Person zu identifizieren. Das ist die Sache mit den Kennnummern, Künstlernamen, Benutzernamen, Personalnummern und so weiter. Für pseudonymisierte Daten gilt, dass man die so verarbeiten muss, dass sie nicht mit weiteren Daten zusammengeführt werden können, die die dahinter stehende Person identifizieren. In der Praxis zielt das wohl primär auf Personalnummern, Kundennummern und klinische Studien ab. Hinweis: Das Zusammenführen mit öffentlichen Quellen oder Daten anderer Personen/Firmen kann auch leicht zur Depseudonymisierung fürhren.

    Anonymisierung ist ebenfalls eine Möglichkeit, mit personenbezogenen Daten umzugehen. Die DSGVO kennt zum Einen eine absolute Anonymisierung, bei der niemand in der Lage ist, den Personenbezug wiederherzustellen. Eine solche Anonymisierung nachträglich vorzunehmen ist kaum machbar, da die Daten, die zur Deanonymisierung notwendig wären ja bereits erfasst wurden und existieren. Eine absolute Anonymisierung wäre nur dann machbar, wenn diese notwendigen Daten gar nicht erst miterfasst werden.

    Eine absolute Anonymisierung wird in der DSGVO nicht gefordert, wohl aber eine faktische Anonymisierung, die im Weglassen von identifizierenden Merkmalen besteht. Hier geht es um die oben genannten statistischen, kumulierten Daten.

    Unter den oben genannten Kriterien und Definitionen für personenbezogene Daten ist Dein Smartphone vermutlich gerade zu einer Giftmüllhalde geworden, richtig? Fast.

    Die DSGVO ist eine Verbotsnorm. Das heißt: Die Datenverarbeitung (insbesondere im Zusammenhang mit Drittländern wie den USA) ist grundsätzlich verboten, außer es liegt eine Ausnahme vor. Die Ausnahmen stehen übrigens in Artikel 6 der DSGVO, falls Du selber nachlesen möchtest.

    Eine Ausnahme liegt dann vor, wenn mindestens einer der folgenden Punkte zutrifft:

  • 1. und der für Dich möglicherweise relevanteste Punkt: Die betroffene Person hat ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben. Achtung: die Einwilligung kann mündlich, schriftlich (auch: elektronisch), telefonisch und auch konkludent erfolgen, muss aber nachweisbar sein! Ggf. ist schriftlich also eine gute Idee. Bei sensiblen Daten gibt es keine konkludente Einwilligung, da muss es immer eine ausdrückliche sein (Beispiel: Bilder von anderen bei Facebook hochladen). Und apropos Facebook: Bei der Fortbildung zur Datenschutzbeauftragten wurde uns mitgeteilt, dass im Falle von What’sApp, das zwingend Dein Adressbuch mit Facebook shared, ganz sicher keine konkludente Einwilligung gibt. Das heißt, Du brauchst die nachweisbare Einwilligung (und wenn Du noch sensible Daten wie Fotos in Dein Adressbuch gibst, die ausdrückliche, nachweisbare Einwilligung) jeder einzelnen betroffenen Personen, dass Du ihre Kontaktdaten in Dein Adressbuch aufnimmst und somit an Facebook weitergibst. Und: Einwilligungen können auch jederzeit widerrufen werden.
  • 2. Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person notwendig oder für vorvertragliche Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Soll heißen: Wenn Du Kunden hast, brauchst Du bestimmte Daten, um z.B. eine Rechnung zu stellen oder schon vorab für die Angebotslegung, wenn ein Interessent nachfragt.
  • 3. Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung notwendig, der Du als Verantwortlicher unterliegst. Wenn also zum Beispiel ein Ex-Kunde von Dir Dich bittet, seine Daten zu löschen, kannst Du alle Arbeitsdaten wegwerfen, NUR NICHT beispielsweise die Buchhaltung, denn die musst Du 7 Jahre lang aufbewahren. Erst nach Ablauf von gesetzlichen Fristen kannst Du dann den Rest auch entsorgen. Informiere Dich über die gesetzlichen Aufbewahrungsfristen, da gibt es noch einige mehr, wenn es zum Beispiel um Schadensersatzfälle, etc. geht.
  • 4. Die Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen oder einer anderen natürlichen Person zu schützen. Also zum Beispiel, wenn eine Person einen Unfall hat, sollte man den Sanitätern schon verraten, wenn die Person regelmäßig oder vor kurzem blutverdünnende Medikamente genommen hat, was normalerweise als Gesundheitsdaten unter die sensiblen Daten fällt.
  • 5. Die Verarbeitung ist für die Erfüllung einer Aufgabe in öffentlichem Interesse oder in Ausübung öfentlicher Gewalt notwendig. Das zielt wohl primär auf die Exekutive ab. Wenn ein Mörder oder Vergewaltiger gefasst werden soll, ist es notwendig, dessen personenbezogene Daten zu verarbeiten.
  • 6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Das ist der Absatz, auf den sich gerade die ganze Werbeindustrie rausredet, weil ihr Geschäftsmodell die Auswertung von Profilingdaten* (Erklärung siehe unten) ist. Aktuell ist es noch nicht verboten, wenn nicht die Interessen & Grundrechte der betroffenen Person überwiegen, aber es ist kennzeichnungspflichtig. Hier ist es spannend, mal in die Datenschutzerklärung diverser Onlinehändler oder Internetanbieter reinzuschauen. Auch Streamingdienste sind da eine Fundgrube. Das wird dann mit der ePrivacy-Verordnung 2019 noch spannend werden, gegen die die Werbeindustrie gerade mit allem auffährt, was sie finden kann. Hätten sie halt was Ordentliches gelernt und schlügen keinen Profit aus Spionage. (Falls Du in der Werbeindustrie arbeitest: Es ist ok, wenn Du mich jetzt nicht mehr magst. Aber tu Dir selbst den Gefallen, lies die Gesetze und frag Dein Gewissen, ob Du wirklich mit Profiling und Spionage Dein Geld verdienen willst.)
  • * Profiling (Art. 4 Z 4)
    Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

    Wie gesagt, für Dich sind vermutlich die ersten drei Punkte die relevanten: Einwilligung, Vertragserfüllung und gesetzliche Erfordernisse. Wenn mindestens eins davon zutrifft, darfst Du personenbezogene Daten verarbeiten.

    ***
    Artikel aus dem Bereich Datenschutz:
    Übersichtsartikel „DSGVO – An sich ganz easy“
    „Was sind personenbezogene Daten?“
    Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
    Die Datenschutzerklärung – Aufzucht und Hege
    Auftragsverarbeitungsverträge – sichere Dich rechtlich ab

    DSGVO <-> GDPR – ein Wörterbuch
    DSGVO für Vereine

    Die Podcast Miniserie „DSGVO – an sich ganz easy“

    Ähnliche Beiträge