Alle Angaben, die Aussagen über die persönlichen Verhältnisse einer Person machen, gelten als personenbezogene Daten. Dabei ist einzig relevant, dass diese Angaben einer natürlichen Person zuzuordnen sind oder dies zumindest mittelbar möglich ist.

Wichtig ist die Verknüpfung zwischen der Person und den Daten

Jede personenbezogene Angabe erfordert, dass sie sich einer konkreten Person zuordnen lässt. Was sich im ersten Moment logisch anhört, hat bei genauem Hinsehen jedoch eine große Wirkung. Denn es ist nicht erforderlich, dass nur ein bestimmter Personenkreis diese Zuordnung herstellen kann. Wichtig ist einzig, dass sich diese Zuordnung herstellen lässt, auch wenn die Verknüpfung nicht öffentlich bekannt ist.

Als Beispiel soll die Aussage „Die Augenfarbe der Bundeskanzlerin ist Blau-Grau“ dienen. Die personenbezogene Angabe ist in diesem Falle die Augenfarbe. Und auch wenn der Name von Angela Merkel hier nicht explizit genannt wird, genügt die Angabe „die Bundeskanzlerin“, um eine Verknüpfung herzustellen. Unerheblich ist dabei, ob die Kanzlerin einer konkreten Person bekannt ist.

Personenbezogene Daten im Unternehmen

Geburtsdatum, Anschrift und die Nummer des Personalausweises gelten als personenbezogene Daten. Sie lassen sich in der Regel einer bestimmten Person zuordnen. Schon aus diesem Grunde sind alle Angaben über die Mitarbeiter eines Unternehmens personenbezogene Daten.

In gleicher Weise gilt dies für den restlichen Datenbestand eines Unternehmens. Im ERP-Bereich fallen vor allem CRM-Systeme ins Auge. Aus den hier vorliegenden Daten könnte beispielsweise abgeleitet werden, dass Herr Max Mustermann gerne Sportkleidung einer bestimmten Marke kauft. Da sich eine direkte Zuordnung zwischen dem Kaufverhalten und der Person herstellen lässt, zählt auch eine solche Angabe zu den personenbezogenen Daten.

Nicht immer sind personenbezogene Daten auf Anhieb erkennbar

Manchmal kommt es vor, dass die Zugehörigkeit bestimmter Angaben zu der Gruppe personenbezogener Daten nicht sofort erkennbar ist. Dies liegt insbesondere daran, dass der einzelne gar nicht in der Lage ist, aus einer Angabe auf eine konkrete Person zu schließen. Erwähnenswert ist hier die IP-Adresse. Niemand – außer dem Anbieter des Internetzugangs – kann hier die Verknüpfung herstellen. Selbst die Ermittlungsbehörden sind im Falle eines Rechtsverstoßes auf dessen Mitwirkung angewiesen. Doch aus rechtlicher Sicht zählt auch diese Angabe zu den personenbezogenen Daten, da sich eben eine solche Beziehung ermitteln lässt. Wer dies letztlich kann, ist unerheblich.

Personenbezogene Daten und die Datenschutz-Grundverordnung

Die neue Datenschutz-Grundverordnung (DSGVO) ist ein Regelwerk zur Verarbeitung personenbezogener Daten. Darum sind diese Daten der Kern der gesamten DSGVO. Dies wird allein schon aus der Definition des Begriffes „personenbezogene Daten“ ersichtlich, die in der Verordnung erheblich weiter gefasst ist als im bisherigen Bundesdatenschutzgesetz. Während das BDSG lediglich von „Einzelangaben über persönliche oder sachliche Verhältnisse“ spricht, wird die DSGVO in Artikel 4 an dieser Stelle sehr konkret:

„[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Auf der Basis dieser Definition lässt sich die Verarbeitung personenbezogener Daten, wie sie in der DSGVO geregelt wird, in sechs grundlegende Anforderungen zusammenfassen:

  • Rechtmäßigkeit und Transparenz:
    Daten dürfen nur erhoben werden, wenn dies ausdrücklich erlaubt ist.
  • Zweckbindung:
    Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden
  • Datenminimierung:
    Es dürfen nur die Daten erhoben werden, die absolut notwendig sind
  • Richtigkeit:
    Die gespeicherten Daten müssen korrekt und aktuell sein
  • Speicherbegrenzung:
    Daten dürfen nur so lange gespeichert werden, wie dies für ihren Zweck erforderlich ist
  • Vertraulichkeit:
    Daten dürfen nur den Personen zugänglich sein, die sie für ihre Tätigkeit benötigen

Die DSGVO regelt den Umgang mit personenbezogenen Daten sehr detailliert. Dadurch unterliegt deren Verarbeitung in vielen Bereichen größeren Einschränkungen, als dies bisher aufgrund der Datenschutzgesetze der Fall war. Doch gehen aus der DSGVO im Vergleich zum bisherigen Bundesdatenschutzgesetz nur kleinere Neuregelungen hervor. Dennoch gewinnt der Datenschutz europaweit nun in vielen Unternehmen eine angemessene Aufmerksamkeit, nicht zuletzt durch die drastisch gestiegenen Bußgelder und die ausdrückliche Ahndung jedes Verstoßes.

Rechtlicher Hinweis:

Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.

Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.

Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.