Was sind personenbezogene Daten?

Die Europäische Datenschutzgrundverordnung DSGVO definiert personenbezogene Daten neu. Die EU-Verordnung stellt sie unter einen ganz besonderen, noch nie dagewesenen Schutz. Doch die Frage bleibt: Was genau sind personenbezogene Daten?

Personenbezogene Daten nach DSGVO

Die Datenschutzgrundverordnung gibt als Definition: „Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

Damit reicht es schon, wenn Daten vorliegen, die es theoretisch erlauben würden, auf eine bestimmte Person zu schließen. Es spielt dabei keine Rolle, ob eine Instanz alleine oder ein Dritter oder mehrere Stellen zusammen diese Identifikation herstellen könnten. Tatsächlich  ist es also egal, ob das reale Identifizieren einer natürlichen Person stattgefunden hat oder stattfinden könnte, um die Klassifizierung eines Datums als personenbezogen zu rechtfertigen.

Benutzerprofile

Wenn man die Daten, die ein Benutzer im Internet hinterlässt, wenn er verschiedene Webseiten besucht, kommt man schnell dazu, dass man diese scheinbar anonymen Daten als personenbezogen einordnet. Tatsächlich könnte mit Hilfe der Firmen Google oder Facebook oder des jeweiligen Internet-Providers die entsprechende Person mit hoher Wahrscheinlichkeit genau identifiziert werden. Dies ist auch möglich, wenn in einem Haushalt mit einer IP-Adresse mehrere Computer vorhanden sind. Auch dann kann mit Hilfe von Benutzerprofildaten meistens eindeutig auf einen der verwendeten Computer bzw. auf eine konkrete Person geschlossen werden.

Beispiele für personenbezogene Daten

Wer sich Beispiele solcher Daten anschaut, merkt, dass praktisch alle Daten personenbezogen sind. Im Sinne der DSGVO geht es hier um:

  • Positionsdaten
  • E-Mail-Adressen
  • IP-Adressen
  • Name und Anschrift
  • Vorname und Nachname (falls es nur eine Person mit diesem Namen gibt oder weitere, ansonsten möglicherweise nebensächliche Informationen vorliegen, die in Kombination auf eine einzelne Person schließen lassen)
  • Straße, Hausnummer und Ort, falls dort nur eine Person wohnt
  • KFZ-Kennzeichen (Autoinhaber)
  • Telefonnummer (Anschlussinhaber)
  • Bankverbindung
  • Benutzerkonto (Benutzername plus Dienst, zu dem das Benutzerkonto gehört)
  • Bild einer Person
  • Bild mit mehreren Personen, auf dem eine Person markiert ist oder besonders hervorsticht oder in Kombination mit anderen vorliegenden Daten identifiziert werden kann
  • Unterschrift
  • Zugfahrkarte, insbesondere, wenn sie mit einem elektronischen Zahlungsmittel bezahlt wurde oder die zahlende Person bei der Bezahlung von einer Sicherheitskamera gefilmt wurde

 

Oft ist nicht deutlich, ob eine bestimmte Information genau auf eine Person schließen lässt oder ob sie mehreren Personen zugeordnet werden kann. Dabei muss man vom allerdings immer vom ungünstigsten Fall ausgehen. Wenn es um die Angabe einer Straße samt Hausnummer und Ort geht, ist also erst einmal davon auszugehen, dass es sich um eine personenbezogene Information handelt. Es dürfte sehr zeitaufwendig sein, hier das Gegenteil zu beweisen. Selbst bei Vorliegen sehr vieler Datensätze ist dies kaum durchführbar.

Selbst für das genannte Beispiel eines Zugtickets wird man schlecht wissen, ob der Käufer von einer Kamera beim Bezahlvorgang gefilmt wurde. Daher muss man auch beim Erwerb eines Zugtickets von personenbezogenen Daten ausgehen.

Als Grundregel sollte gelten: Alle Daten, die eindeutige Informationen enthalten könnten, sind als personenbezogen zu werten. Dies gilt solange, wie sie nicht nachweislich ohne Personenbezug generiert wurden.

2019-07-25T13:06:48+02:00