DSGVO: Personenbezogene Daten – was versteht man darunter?

Daten mit Personenbezug sind gemäß BDSG alle persönlichen oder sachlichen Informationen über eine bestimmte oder bestimmbare natürliche Person. Zu den personenbezogenen Daten zählen insbesondere Name, Alter und Anschrift der Person, aber auch Informationen über Religionszugehörigkeit oder Vereinsmitgliedschaften, etc.

Die ab Mai geltende neue Datenschutz-Grundverordnung (DSGVO) setzt in Art. 4 Nr. 1 das bisherige Merkmal “bestimmte” mit “identifzierte” und das Merkmal “bestimmbare” mit “identifizierbare” Person gleich. Ein Personenbezug ist dann gegeben, wenn die Daten sich auf eine natürliche Person beziehen. Daher gilt das Datenschutzrecht nicht für juristische Personen.

Identifizierte Person

Immer wenn Daten sich ohne weiteres einer natürlichen Person zuordnen lassen, also ein direkter Bezug hergestellt werden kann, gilt die Person als „identifiziert“. Aus diesem Grund fallen anonymisierte Daten nicht unter den Datenschutz, da die betroffene Person weder als identifiziert noch als identifizierbar gilt. Anders ist die Rechtslage bei pseudonymisierten Daten, wenn mit Hilfe von Zusatzinformationen die Daten sich der ursprünglichen Person wieder zuordnen lassen.

Identifizierbare Person

Dies trifft zu wenn die Identität der Person anhand von Zusatzinformationen ermittelt werden kann. Der europäische Gerichtshof hat den Begriff “Zusatzinformationen” wiederholt klargestellt. Sobald einer Stelle rechtliche Mittel zur Verfügung stehen, die es ihr gestatten die betreffende Person anhand dieser Zusatzinformationen zu identifizieren, ist der Tatbestand der Identifizierbarkeit erfüllt. Dies gilt auch für den Fall, wenn die Identität nur über auskunftspflichtige Dritte ermittelt werden kann.

Personenbezogene Daten: Die IP-Adresse zählt dazu

Der BGH hat letztes Jahr entschieden, dass IP-Adressen als personenbezogene Daten anzusehen sind. Daraus erwachsen für Webseitenbetreiber und schlussendlich für Unternehmer eine Reihe von großen Herausforderungen.

 

Seit höchstrichterlich entschieden wurde, dass Netzwerkadressen, sogenannte IP-Adressen, als personenbezogene Daten gelten, hat jede (!) Webseite ein mehr oder weniger großes Problem,  denn das Internet funktioniert gar nicht, ohne dass IP-Adressen ausgetauscht werden. Das Internetrecht ist jedenfalls mit dem BGH-Urteil vom 16.05.2017 (Az.: VI ZR 135/13) auf ein neues Niveau der Rechtsunsicherheit gehoben worden und wird nun durch die Einführung der DSGVO natürlich auf ein neues Level gehoben was das Thema: Personenbezogene Daten angeht.

Besondere personenbezogene Daten.

In Art. 9 DSGVO sind folgende Datenkategorien aufgeführt:

  • rassische oder ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten
  • Gesundheitsdaten
  • Sexualleben und sexuelle Orientierung

Die Verarbeitung dieser Daten ist mit wenigen Ausnahmen (z.B. Einwilligung) grundsätzlich verboten. Unternehmen sind gut beraten, wenn sie Datenschutz ernst nehmen. Anderfalls drohen Abmahnung und Bussgeld. Die Aufsichtsbehörde kann ab Mai bei Datenschutzverstößen ein empfindliches Bussgeld verhängen. Vom Instrument der Abmahnung machen insbesondere Verbraucherschutzverbände oft Gebrauch.

Ein Datenschutzbeauftragter hat den gesetzeskonformen Umgang von Daten mit Personenbezug in seinem Unternehmen sicherzustellen. Damit ist ein interner oder externer Datenschutzbeauftragter die beste Versicherung gegen Datenschutzverstöße.