Personenbezogene Daten: Was sie sind und warum sie geschützt werden müssen

Bürgerinnen und Bürger sollen auch im Netz geschützt sein

Was versteht man unter "personenbezogene Daten"?

Was versteht man unter „personenbezogene Daten“?

Der richtige Umgang mit personenbezogenen Daten ist seit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) sehr genau festgelegt. Er gilt, sofern nicht anders festgelegt, für nahezu jeden Dienstanbieter: Vom sozialen Netzwerk bis hin zur Shopping-Plattform. Das ist nicht nur für Verkäufer, sondern auch für Verbraucher interessant. Denn aus den Pflichten bezüglich Personendaten ergeben sich genauso Befugnisse und Rechte, wenn es um die eigenen Informationen geht.

Der nachfolgende Ratgeber beleuchtet deshalb ausführlich die Bestimmungen für personenbezogene Daten. Welche Daten sind überhaupt personenbezogen? Was sagen die EU-Datenschutzgrundverordnung und das Bundesdatenschutzgesetz über personenbezogene Daten?

Was sind personenbezogene Daten im Sinne des BDSG und der DSGVO?

Personenbezogene Daten sind all jene Informationen, welche sich irgendwie auf eine „natürliche Person“ zurückführen lassen. Hierzu zählen nicht nur äußerliche Merkmale und Charaktereigenschaften, sondern eben auch digitale Daten und Metadaten, welche durch die Nutzung von Online-Diensten generiert werden. Personenbezogene Daten innerhalb Europas werden vor allem durch die länderübergreifende und verpflichtend anzuwendende EU-Datenschutzgrundverordnung, kurz DSGVO, bestimmt. Hierzulande kommen zudem das Telemediengesetz und das neu aufgelegte Bundesdatenschutzgesetz (BDSG) hinzu. Das BDSG orientiert sich jedoch stark an der DSGVO und ist mit dieser sogar teilweise deckungsgleich. Zusätzlich bestehen noch die Datenschutzgesetze der einzelnen Bundesländer.

Im vierten Artikel der DSGVO und in § 46, Abs. 1 des BDSG werden diese folgendermaßen beschrieben:

[…] „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann; […]

Hierzulande sind personenbezogene Daten im BDSG und der DSGVO geregelt

Hierzulande sind personenbezogene Daten im BDSG und der DSGVO geregelt

Bei dieser Definition für personenbezogene Daten werden unter „natürliche Person“ wiederum alle Menschen im Rechtssinn verstanden (Rechtssubjekte). Der natürlichen Person steht die juristische Person gegenüber. Obwohl letztere Bezeichnung in der Einzahl verwendet wird, fallen unter diesen Begriff hauptsächlich Vereine und Gesellschaften, welche ihre Rechte erst durch einen Rechtsakt erhalten.

In der DSGVO finden zudem besondere bzw. sensible, personenbezogene Daten Erwähnung. Im Artikel 9 ist bezüglich „besonderer Kategorien personenbezogener Daten“ folgendes festgehalten:

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Dies trifft natürlich nicht auf jegliche Verarbeitung zu. Gemeint sind vor allem ungefragte oder irgendwie unlautere Erhebungen. Im selben Artikel sind mehrere Ausnahmen gelistet, wie z. B.:

  • die betroffene Person hat diese Daten frei zugänglich zur Verfügung gestellt
  • die Erhebung erfolgt im Rahmen medizinischer Diagnostik o.ä.
  • die betroffene Person hat der Erhebung und Verarbeitung ausdrücklich zugestimmt
  • sensible, personenbezogene Daten müssen erhoben werden, um soziale Sicherheit zu garantieren
  • die Erhebung ist lebensnotwendig und der Datenverursacher ist außerstande, eine Einwilligung zu geben
  • die Datenerhebung erfolgt ohne Gewinnzielabsicht durch Stellen auf Grundlage geeigneter Garantien
  • einer Verarbeitung muss zur Durchsetzung von Rechtsansprüchen durchgeführt werden
  • eine Erhebung ist für das öffentliche Interesse dringend erforderlich (etwa im Rahmen von Archivierung, Forschung, Statistik ect.)
Weiterhin gilt für sensible, personenbezogene Daten, dass diese in den einzelnen Mitgliedsstaaten durch weitere Vorgaben versehen werden können.

Allgemeine Richtlinien bei der Verarbeitung personenbezogener Daten

Die Rechte, welche personenbezogene Daten begründen, können in Ausnahmefällen ausgesetzt werden

Die Rechte, welche personenbezogene Daten begründen, können in Ausnahmefällen ausgesetzt werden

Die DSGVO nennt eingangs in Artikel 5 die „Grundsätze für die Verarbeitung personenbezogener Daten“. Diese umfassen konkret:

  • rechtmäßige, anständige und transparente Erhebung
  • die unbedingte Zweckbindung (personenbezogene Daten sollen nicht wahllos erhoben werden)
  • Datenminimierung: Der Umfang der jeweiligen Datenerhebung sollte sich stets auf die für eine Funktionieren essentiellen Daten beschränken
  • Richtigkeit: Wenn Daten erhoben werden, dann sollten diese der Wahrheit entsprechen und bei Hinweis auf Unrichtigkeit geändert werden
  • Speicherbegrenzung: Personenbezogene Daten sollen nur so lange abgespeichert werden, wie diese benötigt werden – unter bestimmten Voraussetzungen ist dies jedoch auch länger möglich (etwa dann, wenn es sich um Forschungszwecke handelt)
  • Integrität/Vertraulichkeit: Der Schutz und begrenzte Zugriff auf Datensätze sollte stets gewährleistet werden
  • Rechenschaftspflicht: Eine Einhaltung dieser Grundsätze muss von der verantwortlichen Stelle nachgewiesen werden

Behördliche Arbeiten sind im Regelfall ausgenommen

Der Großteil dieser Reglementierungen betrifft hauptsächlich gewinnorientierte Stellen in der Privatwirtschaft. Für Behörden und offizielle Ämter gelten in vielerlei Hinsicht Sonderbefugnisse und/oder Ausnahmen – denn diese könnten schließlich ihren Zweck nicht erfüllen, wenn personenbezogene Daten nicht verarbeitet werden dürften.

Dass bedeutet nicht, dass der Datenschutz in Behörden vollständig ausgesetzt ist. Auch hier gilt Sorgfalt bei Aufbewahrung und fristgerechten Löschung von Datensätzen. Weiterhin können die vorgesehenen Regeln für personenbezogene Daten dann ausgesetzt werden, wenn es zu einer strafrechtlichen Verfolgung kommt.

Nichtsdestotrotz gilt auch in solchen Ausnahmefällen, laut DSGVO die „Rechte und Freiheiten“ betroffener Personen zu achten!

Beachten Sie hierzu: Mitunter ist es ausreichend, bestimmte personenbezogene Daten zu anonymisieren. In diesem Fall werden Datensätze eben nicht gelöscht, sondern eben derart abgeändert, dass kein Rückschluss auf den Datenverursacher gezogen werden kann.

Personenbezogene Daten: Beispiele reichen von Haarfarbe bis IP-Adresse

Personenbezogene Daten: Beispiele reichen von Haarfarbe bis IP-Adresse

Welche personenbezogene Daten gibt es konkret?

Diese Frage ist natürlich für alle betroffenen, datenerhebenden Stellen von besonderer Bedeutung. Denn die obige Definition eröffnet ein weites Feld und trifft je nach Arbeitsmodell auf eine Vielzahl von Informationen zu.

Personenbezogene Daten sind laut Definition zum einen klar erkennbare, biologische Merkmale, welche mit besonderer Rücksicht zu behandeln sind bzw. deren Erhebung und Weiterverarbeitung für unbefugte Stellen grundsätzlich untersagt sind – so zum Beispiel:

  • die Ethnie
  • Geschlecht, Größe, Gewicht
  • Haar- und Augenfarbe

Weiterhin sind selbstverständlich auch der bürgerliche Name, Künstlernamen, Sexualität, Familienstand, Partei- oder Religionszugehörigkeit als sensible, personenbezogene Daten zu werten.

Dies ist jedoch nicht alles. Laut Vorgaben sind auch all jene Informationen zu berücksichtigen, welche als Nutzerkennung innerhalb digitaler Systeme anfallen. Diese sind die eigentlich wichtigen Informationen – denn das neu aufgelegte BDSG und vor allem die DSGVO haben u.a. das primäre Ziel, die vor allem digitale Handhabe für personenbezogene Daten zu vereinheitlichen und Betroffene mit mehr Rechten auszustatten. Dem massenweise Erheben, Zusammenführen, Weiterleiten, Verkaufen und auch Veruntreuen von Personeninformationen, wie es in der Vergangenheit in teils skandalöser Art betrieben wurde, soll damit ein Riegel vorgeschoben werden.

Deshalb gelten die Regelungen für personenbezogene Daten u.a. für:

  • Adressen und Standortdaten, welche durch GPS-fähige Systeme erhoben werden
  • Telefon- und Handynummern
  • Kontodaten, sowohl von Bankkonten als auch von verschiedenen Benutzerkonten
  • E-Mail-Adressen
  • Browserverläufe bzw. allgemein aufgezeichnetes Nutzerverhalten in digitaler Form
  • die IP-Adresse
  • Eckdaten der Benutzung von Messenger-Diensten
Dies sind bei weitem nicht alle Beispiele für personenbezogene Daten, sondern lediglich ein grober Abriss. Je nach Plattform und Kommunikationsweg können unterschiedliche Daten oder Metadaten als personenbezogen begriffen werden.

Welche Verbraucherrechte sich aus den Regelungen ergeben

Laut Datenschutz dürfen personenbezogene Daten vom Nutzer erfragt, korrigiert, weitergeleitet und gelöscht werden

Laut Datenschutz dürfen personenbezogene Daten vom Nutzer erfragt, korrigiert, weitergeleitet und gelöscht werden

Der Umgang mit personenbezogenen Daten ist also nicht nur streng begrenzt. Bürgerinnen und Bürger sind in Bezug auf rechtmäßig erhobene, personenbezogene Daten verschiedene Rechte eingeräumt. Diese umfassen konkret: eine allgemeine Informationspflicht, ein Auskunftsrecht sowie das Recht auf Berichtung, Beschwerde, Weitergabe und Löschung personenbezogener Daten.

Gerade auf Internetauftritten sollte zudem klar gekennzeichnet werden, wo entsprechende Informationen zu finden sind – da diese meist in der Datenschutzerklärung aufgeführt werden, sollte diese angemessen präsent eingebettet werden. Die gängige Faustregel lautet, dass die Datenschutzerklärung von jedem Teil der Webseite mit mindestens zwei Klicks zu erreichen sein sollte. Verbraucher sollten sich nicht erst durch unzählige Verlinkungen klicken müssen, um zu der Datenschutzerklärung zu gelangen.

Informationspflicht laut Art.13 DSGVO

Die Pflicht zur Transparenz gilt für alle datenverarbeitenden Stellen. Werden personenbezogene Daten erhoben, dann ist der Datenverursacher nicht nur darüber im Vorfeld zu informieren; ihnen sollte ebenso die Möglichkeit gegeben werden, einer Datenerhebung zu widersprechen – auch noch nachträglich. Hier ist zu bedenken, dass für bestimmte Geschäftsmodelle eine Erhebung, Speicherung und Verarbeitung personenbezogener Daten unerlässlich ist – denn schon für einen Interneteinkauf werden im Mindesten Adresse und Anschrift benötigt. Nutzer können der Datenerhebung zwar widersprechen, müssen aber bedenken, dass bestimmte Dienste dann schlichtweg nicht benutzt werden können.

Weiterhin muss eine Datenschutzerklärung personenbezogene Daten, die verarbeitet werden, vollumfänglich darstellen: Welche Informationen betroffen sind, wie diese generiert werden und ob ggf. eine Weiterleitung an dritte Stellen stattfindet. Nur der Verweis reicht also bei Weitem nicht aus – auch nicht beim Setzen von Cookies! Ein bloßer Disclaimer, so wie dies früher der Fall war, ist dementsprechend nicht mehr zulässig.

Auch die Speicherung personenbezogener Daten kann nicht nach Gutdünken erfolgen: Je nach branchenindividuellen Vorgaben sind spezifische Löschfristen einzuhalten. Abgesehen davon dürfen personenbezogene Daten allgemein nicht endlos abgelegt werden, sondern sind im Regelfall dann zu entfernen, wenn Sie nicht mehr benötigt werden oder die jeweiligen Personen dies wünschen.

Auskunftsrecht

Nutzern bzw. Kunden ist das grundsätzliche Recht einzuräumen, den exakten Umfang ihrer hinterlegten Daten zu erfragen. Als Ansprechpartner dient hier in den meisten Fällen ein offiziell ernannter Datenschutzbeauftragter, welcher für nahezu alle datenerhebenden Stellen verpflichtend ist. In der Datenschutzerklärung sollte deshalb ebenso aufgeführt werden, wer konkret für eine Auskunft verantwortlich ist und wie verantwortliche Stellen kontaktiert werden können.

Recht auf Berichtigung, Beschwerde, Weitergabe und Löschung

Natürliche Personen haben jederzeit das Recht, bereits erhobene, personenbezogene Daten korrigieren oder löschen zu lassen. Weiterhin kann auf Wunsch ebenso eine Weiterleitung an eine sonst nicht vorgesehene, dritte Stelle veranlasst werden. Diesen Anfragen sollte im Regelfall dann auch unverzüglich nachgekommen werden. Weiterhin kann der Rechtsbehelf der Beschwerde angewendet werden, diese ist im Regelfall an die jeweils zuständige Aufsichtsbehörde zu richten.

Darüber hinaus bestimmt der Artikel 11 der DSGVO Folgendes: Sind für einen bestimmten Prozess personenbezogene Daten nicht (mehr) erforderlich, dann müssen keine zusätzlichen Daten eingeholt werden. Das bedeutet: Ist eine Identifizierung des Datenverursachers nicht vonnöten, dann müssen nicht extra Daten erhoben werden, nur um der DSGVO zu entsprechen.

Warum müssen personenbezogene Daten überhaupt derart geschützt werden?

Vor allem besondere Arten personenbezogener Daten sind zu schützen

Vor allem besondere Arten personenbezogener Daten sind zu schützen

Die Europäische Union versteht sich nicht nur als ein wirtschaftlicher Verband, sondern vor allem auch als Wertegemeinschaft. Diese fußt, vereinfacht gesprochen, auf humanistischen Werten der Freiheit und Gleichheit. Deshalb ist der Datenschutz für personenbezogene Daten im Artikel 8 der „Charta der Grundrechte der europäischen Union“ festgeschrieben:

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Die umfangreichen Auflagen ergeben sich also zum einen aus dem eigenen, moralischen Selbstverständnis. Zum anderen kann die DSGVO also auch als eine Reaktion auf die zunehmende Digitalisierung gesehen werden: Dadurch, dass viele Prozesse zunehmend ins Internet verlegt werden, sind neue Gesetze bezüglich Datenschutz unumgänglich. Denn die Bürgerinnen und Bürger sollen nicht nur analog, sondern auch digital geschützt sein. Dementsprechend muss die Politik mit Gesetzen reagieren und Verstöße gegen dieselben ahnden.

Welche Sanktionen drohen bei Nichtbeachtung?

Hier ist entscheidend, inwiefern gegen die Gesetze für personenbezogene Daten verstoßen wurde – denn Datenschutzverstoß ist nicht gleich Datenschutzverstoß.

Der Missbrauch personenbezogener Daten zieht besonders empfindliche Strafen nach sich. Laut § 42 des BDSG ist das gewerbsmäßige, unrechtmäßige Weiterleiten von Personendaten an Dritte oder die Zugänglich-Machung mit bis zu drei Jahren Freiheitsstrafe oder Geldbuße belegt. Werden personenbezogene Daten, welche nicht allgemein zugänglich sind, erschlichen oder unrechtmäßig zu Gewinn- oder Schadenszwecken verarbeitet, dann sind hierfür bis zu zwei Jahre Freiheitsstrafe und eine Geldbuße vorgesehen.

Die genaue Höhe der Geldstrafe ist hingegen nicht eindeutig beziffert, da sie sich nach im Einzelfall nach Ausmaß des Gesetzesbruchs und den möglichen Schaden richtet.

Zwar unterstehen datenverarbeitende Stellen grundsätzlich Aufsichtsbehörden, dennoch kann bei der schieren Vielzahl an digitalen Diensten natürlich nicht gewährleistet werden, dass jede Datenschutzverletzung umgehend zur Sanktion gezogen wird. Deshalb werden entsprechende Taten laut § 42 Abs. 3 der DSGVO entsprechende Taten im Regelfall auf Antrag verfolgt. Nicht nur Aufsichtsbehörden, Bundesbeauftragte oder anderweitig verantwortliche Stellen können einen Antrag auf Strafverfolgung stellen, sondern natürlich auch betroffene Personen selbst.

Konnten wir Ihnen weiterhelfen? Dann bewerten Sie uns bitte:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (32 Bewertungen, Durchschnitt: 4,31 von 5)
Loading...

Verfasse einen neuen Kommentar


Bußgeldkatalog als PDF
Der aktualisierte Newsletter 2018 des VFBV e.V. zum Download und Ausdrucken.
Jetzt kostenlos per E-Mail anfordern:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.