Was sind personenbezogene Daten? Überblick und Erklärung
Hinweis zu diesem Artikel:
In diesem Artikel versuchen wir IT-Laien technische Themen verständlich zu vermitteln. Daher verzichten wir auf technischen Deep-Dive und versuchen Sachverhalte sehr simpel darzustellen, auch wenn dies an der ein oder anderen Stelle zu Lasten von technischen Feinheiten gehen könnte.
In der digitalen Welt von heute spielen personenbezogene Daten eine zentrale Rolle. Unternehmen, Behörden und sogar Privatpersonen verarbeiten diese Daten täglich – sei es beim Online-Shopping, bei Behördengängen oder auf Social-Media-Plattformen. Doch was sind eigentlich personenbezogene Daten und warum sind sie so wichtig?
In diesem Artikel geben wir einen Überblick über das Thema und erläutern, welche gesetzlichen Regelungen, insbesondere die DSGVO (Datenschutz-Grundverordnung), für den Umgang mit diesen Daten gelten.
Definition: Was zählt als personenbezogene Daten?
Personenbezogene Daten umfassen sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Auch einzelne Angaben, die zusammen zur Identifikation einer Person führen können, gelten als personenbezogene Daten. Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber es immer noch ermöglichen, eine Person wieder zu identifizieren, bleiben ebenfalls unter dem Schutz personenbezogener Daten und fallen unter die Bestimmungen der Datenschutzgrundverordnung (DSGVO).
Wenn personenbezogene Daten oder Online-Daten jedoch so anonymisiert wurden, dass eine Identifizierung der betroffenen Person nicht mehr möglich ist, gelten sie nicht mehr als personenbezogene Daten. Voraussetzung ist, dass die Anonymisierung nicht rückgängig gemacht werden kann.
Die DSGVO schützt personenbezogene Daten unabhängig davon, welche Technologie zur Verarbeitung eingesetzt wird. Sie gilt sowohl für automatisierte als auch manuelle Datenverarbeitungen, solange die Daten nach bestimmten Kriterien, wie zum Beispiel alphabetisch, geordnet sind.
Es spielt keine Rolle, ob die Daten in einem Computersystem, durch Videoüberwachung oder in Papierform gespeichert werden – in all diesen Fällen gelten die Datenschutzvorgaben der DSGVO, da der Unterschied zwischen Datenschutz und Datensicherheit besonders relevant ist.
Kategorien und Beispiele – Typische personenbezogene Daten
Personenbezogene Daten lassen sich in verschiedene Kategorien unterteilen:
- Basisdaten: Dazu zählen Informationen wie Name, Anschrift, Geburtsdatum, Telefonnummer, E-Mail-Adresse mit Vor- und Nachname sowie die Ausweisnummer.
- Sensible Daten: Diese Kategorie umfasst Daten, die besonderen Schutz benötigen, wie Gesundheitsdaten, ethnische Herkunft, religiöse oder politische Überzeugungen.
- Digitale Identifikatoren: In der digitalen Welt spielen Daten wie IP-Adressen, Cookies und Standortdaten eine große Rolle, da sie Rückschlüsse auf das Verhalten oder die Präferenzen einer Person im Internet zulassen.
- Finanzdaten: Hierunter fallen Bankverbindungen, Kreditkartennummern und Transaktionshistorien, die genutzt werden können, um eine Person zu identifizieren oder deren finanzielles Verhalten nachzuvollziehen.
Diese Kategorien zeigen, dass personenbezogene Daten weit über die klassischen Informationen wie Name oder Adresse hinausgehen und eine große Bandbreite an Informationen umfassen.
DSGVO – Datenschutzregeln für personenbezogene Daten
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union legt strenge Anforderungen für den Umgang mit personenbezogenen Daten fest. Sie gilt seit Mai 2018 und zielt darauf ab, die Rechte von Individuen in Bezug auf ihre Daten zu schützen und gleichzeitig Unternehmen klare Richtlinien für den Umgang mit diesen Informationen zu geben.
Grundsätzlich ist die Speicherung und Verarbeitung von personenbezogenen Daten verboten, es sei denn, es gibt eine klare Erlaubnis. Selbst in solchen Fällen gilt das Prinzip der Datensparsamkeit: Es dürfen nur die Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck notwendig sind – also so wenig wie möglich.
§ 6 DSGVO beschreibt vier Rechtsgrundlagen für die Verarbeitung von Daten:
- Einwilligung: Eine Person kann der Verarbeitung ihrer Daten freiwillig zustimmen, muss aber vorher darüber informiert werden, welche Daten zu welchem Zweck verwendet werden. Diese Zustimmung kann jederzeit widerrufen werden.Beispiel: Eine Person erlaubt die Nutzung von Cookies auf einer Website zur Analyse und Marktforschung.
- Vertragsverhältnis: Zur Erfüllung eines Vertrages dürfen personenbezogene Daten verarbeitet werden.Beispiel: Ein Arbeitgeber speichert die Daten seiner Angestellten in einer Software, um den Arbeitsvertrag zu erfüllen, oder ein Unternehmen speichert die Adresse von Kunden für die Lieferung.
- Berechtigtes Interesse: Personenbezogene Daten dürfen verarbeitet werden, wenn das berechtigte Interesse des Verantwortlichen schwerer wiegt als das Interesse der betroffenen Person an der Datensicherheit.Beispiel: Ein Unternehmen überwacht die Internetnutzung der Mitarbeiter, um die IT-Sicherheit zu gewährleisten.
- Gesetzliche Verpflichtungen: Die Verarbeitung von Daten ist erlaubt, wenn sie zur Erfüllung gesetzlicher Vorgaben notwendig ist.Beispiel: Das Finanzamt verarbeitet Finanzdaten der Bürger, um Steuern zu erheben.
Für Unternehmen bedeutet dies, dass sie besonders sorgfältig mit den Daten umgehen und die betroffenen Personen umfassend über ihre Rechte informieren müssen. Dazu zählen unter anderem das Recht auf Auskunft, Berichtigung, Löschung und Übertragbarkeit der eigenen Daten. So haben Betroffene nach § 15 DSGVO das Recht, jederzeit Auskunft darüber zu verlangen, wer ihre Daten verarbeitet und zu welchem Zweck.
Darüber hinaus müssen personenbezogene Daten laut § 17 DSGVO gelöscht werden, wenn sie nicht mehr benötigt werden, die Einwilligung widerrufen wird oder die Daten unrechtmäßig erhoben wurden.
Warum sind personenbezogene Daten schützenswert? – Gründe und Bedeutung
Der Begriff “personenbezogene Daten” lässt bereits vermuten, dass es sich hierbei um private Informationen handelt. So sind die personenbezogenen Daten einer Person besonders schützenswert, da sie tief in die Privatsphäre eines Menschen eingreifen können. Sie offenbaren Informationen über persönliche und intime Lebensbereiche, die Missbrauchspotenzial bieten, wenn sie in falsche Hände geraten.
Unkontrollierter Zugang zu diesen Daten kann zu Identitätsdiebstahl, Diskriminierung oder sogar wirtschaftlichem Schaden führen. Ferner spielt die informationelle Selbstbestimmung eine zentrale Rolle, da jeder Mensch das Recht haben sollte, über die Verwendung seiner persönlichen Daten selbst zu entscheiden.
Durch den Schutz personenbezogener Daten wird sichergestellt, dass Individuen Kontrolle über ihre Daten behalten und ihre Privatsphäre gewahrt bleibt. In einer Zeit, in der immer mehr Daten online verarbeitet und geteilt werden, wird der Datenschutz immer wichtiger.
Gesetzliche Definitionen – was regeln die Gesetze?
Die gesetzlichen Definitionen für personenbezogene Daten variieren von Land zu Land, doch die meisten Gesetze haben gemeinsam, dass sie darauf abzielen, den Missbrauch dieser Daten zu verhindern und die Rechte der betroffenen Personen zu schützen. In der Europäischen Union ist die DSGVO (Datenschutz-Grundverordnung) das zentrale Regelwerk, das europaweit einheitliche Standards für den Datenschutz festlegt.
Weiterhin gibt es in vielen Ländern nationale Gesetze, die den Schutz personenbezogener Daten auf nationaler Ebene regeln und spezifische Anforderungen an die Datensicherheit stellen.
Diese Gesetze legen fest, was als personenbezogene Daten gilt, welche Rechte betroffene Personen haben und welche Pflichten Unternehmen und Organisationen beim Umgang mit diesen Daten beachten müssen.
Europäische Union – Rechtslage im Überblick
In der Europäischen Union wird der Schutz personenbezogener Daten durch die Datenschutzgrundverordnung – kurz DSGVO – sichergestellt. Dieses weitreichende Gesetz ist seit Mai 2018 in Kraft und regelt, wie Unternehmen, Behörden und andere Organisationen personenbezogene Daten verarbeiten dürfen. Sie beschreibt personenbezogene Daten in Artikel 4 Abs. 1 als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt, zum Beispiel durch die Zuordnung zu einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder besonderen Merkmalen, die ihre physische, genetische, psychische oder soziale Identität betreffen, erkannt werden kann.
Ein zentrales Ziel der DSGVO ist es, die Rechte von Individuen in Bezug auf ihre Daten zu stärken und gleichzeitig einen einheitlichen Datenschutzstandard in der gesamten EU zu schaffen. So sieht die DSGVO erhebliche Strafen für Unternehmen vor, die gegen die Datenschutzvorschriften verstoßen, mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Diese strengen Vorgaben zeigen die Bedeutung, die die EU dem Schutz der Privatsphäre ihrer Bürger beimisst.
Sensible Daten – was sind sie und warum wichtig?
Sensible personenbezogene Daten sind Informationen, die nach § 9 DSGVO als sogenannte “besondere Kategorien personenbezogener Daten” besonders schützenswert sind, da sie das Potenzial haben, eine Person in hohem Maße zu diskriminieren oder ihre Sicherheit zu gefährden. Dazu gehören Daten über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten sowie sexuelle Orientierung.
Diese Informationen können in falschen Händen erheblichen Schaden anrichten, weshalb sie nach der DSGVO und anderen Datenschutzgesetzen besonderen Schutz genießen. Kfz-Kennzeichen sind laut einem Urteil des Amtsgerichts Kassel im Jahr 2007 (Az. 1 T 75/07) beispielsweise keine sensiblen Daten.
Die Verarbeitung sensibler Daten unterliegt strengeren Auflagen, und in vielen Fällen ist die explizite Einwilligung der betroffenen Person erforderlich. Außerdem müssen Unternehmen zusätzliche Maßnahmen ergreifen, um diese Daten vor unbefugtem Zugriff zu schützen.
Gesundheitsdaten – besondere Schutzbedürftigkeit
Gesundheitsdaten sind eine weitere besondere Kategorie sensibler personenbezogener Daten, da sie Informationen über den physischen und psychischen Zustand einer Person preisgeben. Diese Daten sind besonders schützenswert, da sie Rückschlüsse auf Krankheiten, medizinische Behandlungen und den allgemeinen Gesundheitszustand einer Person zulassen. Ihr Missbrauch könnte zu Diskriminierung im Arbeits- oder Versicherungswesen führen und persönliche Verletzlichkeit offenbaren.
Die DSGVO legt besonderen Wert auf den Schutz von Gesundheitsdaten und verlangt, dass ihre Verarbeitung nur unter streng kontrollierten Bedingungen erfolgt. In der Regel ist die explizite Zustimmung der betroffenen Person erforderlich, es sei denn, die Verarbeitung ist aus lebenswichtigen Gründen oder im Rahmen des öffentlichen Gesundheitswesens notwendig.
Deutschland – nationale Regelungen zu personenbezogenen Daten
In Deutschland wird der Schutz personenbezogener Daten nicht nur durch die DSGVO, sondern auch durch das Bundesdatenschutzgesetz (BDSG) geregelt. Dieses Gesetz ergänzt die europäischen Vorgaben und enthält zusätzliche Regelungen für spezifische Bereiche, wie den Umgang mit Daten durch deutsche Behörden oder im Arbeitsrecht. Das BDSG legt besonderen Wert auf den Schutz der Rechte der Bürger und die Sicherstellung der Datenintegrität in Deutschland.
In § 46 Abs. 14 und § 48 Abs. 1 BDSG wird ähnlich wie in der DSGVO festgelegt, dass “besondere Kategorien personenbezogener Daten” (auch sensible Daten genannt) einen besonderen Schutz benötigen. Die entsprechenden Gesetze der Bundesländer enthalten ähnliche oder gleichlautende Bestimmungen.
Sozialdaten – was wird besonders geschützt?
Sozialdaten sind personenbezogene Daten, die im Rahmen sozialer Sicherungssysteme verarbeitet werden. Dazu zählen Informationen über Renten, Arbeitslosigkeit, Krankenversicherung und andere staatliche Sozialleistungen. Auch diese Daten sind besonders sensibel, da sie nicht nur Rückschlüsse auf die finanzielle Lage einer Person erlauben, sondern auch auf deren Gesundheitszustand, berufliche Situation oder Familienverhältnisse.
Sie umfassen insbesondere:
- Objektive Informationen über die betroffene Person, wie die Rentenversicherungsnummer, Krankenversichertennummer, Adresse, Anzahl der Kinder, Ausbildungsstand oder Verhalten.
- Äußerungen, Meinungen und Bewertungen der betroffenen Person, die sie in Anträgen oder im Schriftverkehr mit dem Sozialleistungsträger mitteilt und die sich auf sie selbst oder Dritte beziehen.
- Einschätzungen und Meinungen Dritter über die betroffene Person, wie sie in Gutachten, Notizen, Diagnosen oder Prognosen festgehalten sind.
In Deutschland unterliegen Sozialdaten dem besonderen Schutz des Sozialgesetzbuches (SGB), insbesondere in § 35 SGB I und im zweiten Kapitel des SGB X. Dieses Gesetz stellt sicher, dass Sozialdaten nur im erforderlichen Umfang und mit größtmöglicher Vertraulichkeit verarbeitet werden.
Ziele und Neuerungen der DSGVO: Das Wichtigste im Überblick
Die Verordnung (EU) 2016/679, bekannt als die Datenschutz-Grundverordnung (DSGVO), ersetzte die Europäische Datenschutzrichtlinie von 1995, um das Datenschutzrecht in Europa zu harmonisieren und zu modernisieren. Ihr Ziel ist es, den Schutz personenbezogener Daten zu stärken und den freien Datenverkehr innerhalb der EU zu fördern.
Vor der DSGVO setzten die Mitgliedstaaten die Datenschutzrichtlinie unterschiedlich um, was den grenzüberschreitenden Datenverkehr behinderte. Die DSGVO schafft nun ein einheitliches Regelwerk und erleichtert so den freien Fluss von Daten in der EU, was den digitalen Binnenmarkt stärkt.
Der Europäische Datenschutzausschuss, der die Aufsichtsbehörden der Mitgliedstaaten vereint, sorgt für eine einheitliche Anwendung der DSGVO. Für Unternehmen, die in mehreren Ländern tätig sind, gibt es eine zentrale Anlaufstelle für Datenschutzfragen (One-Stop-Shop-Prinzip). Die DSGVO modernisiert den Datenschutz und stärkt die Rechte der Betroffenen, insbesondere in Bezug auf Transparenz und Kontrolle über ihre Daten.
Bei Verstößen drohen hohe Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Auch Unternehmen außerhalb der EU müssen die DSGVO einhalten, wenn sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern beobachten (Marktortprinzip).
Für wen gilt die DSGVO? – Geltungsbereich des neuen Rechts
Die DSGVO gilt für alle Unternehmen, Organisationen und Einzelpersonen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der Europäischen Union stattfindet. Das bedeutet, dass selbst Unternehmen außerhalb der EU, die Dienstleistungen oder Produkte für EU-Bürger anbieten oder deren Verhalten überwachen, den Bestimmungen der DSGVO unterliegen.
Im Kern gilt die DSGVO also für alle Akteure, die in irgendeiner Form personenbezogene Daten von EU-Bürgern erheben, verarbeiten oder speichern. Dies betrifft sowohl kleine und mittelständische Unternehmen als auch Großkonzerne, öffentliche Institutionen und gemeinnützige Organisationen. Besonders wichtig ist diese Regelung für global agierende Unternehmen, die ihre Datenschutzpraktiken an die europäischen Standards anpassen müssen.
Begriffsbestimmungen – wo finde ich die wichtigsten Definitionen?
Die DSGVO selbst enthält im ersten Kapitel klare Begriffsbestimmungen, die die Grundlage für das Verständnis der Regelungen bilden. Begriffe wie “personenbezogene Daten”, “Verarbeitung”, “Verantwortlicher”, “Auftragsverarbeiter” und “Einwilligung” werden in Artikel 4 der DSGVO genau definiert. Diese Begriffsbestimmungen sind essenziell, um die Anforderungen des Gesetzes korrekt umzusetzen und Missverständnisse zu vermeiden.
Die Begriffsdefinitionen der DSGVO klären auch, wer in einem Unternehmen für den Datenschutz verantwortlich ist und welche Aufgaben diese Rolle umfasst. Es wird zwischen dem „Verantwortlichen“, der die Zwecke und Mittel der Datenverarbeitung festlegt, und dem „Auftragsverarbeiter“, der Daten im Auftrag des Verantwortlichen verarbeitet, unterschieden.
Änderungen bei Datenschutzprinzipien – neue Rechtsgrundlagen erklärt
Die DSGVO hat einige zentrale Datenschutzprinzipien neu formuliert und verschärft. Die wichtigsten Prinzipien, die Unternehmen beachten müssen, sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Daten dürfen nur auf einer klaren, rechtlichen Grundlage verarbeitet werden. Zudem müssen die betroffenen Personen genau informiert werden, wie und warum ihre Daten verarbeitet werden.
- Zweckbindung: Daten dürfen nur für festgelegte und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.
- Datenminimierung: Unternehmen dürfen nur die Daten erheben, die unbedingt erforderlich sind, um einen bestimmten Zweck zu erfüllen. Die Erhebung überflüssiger Informationen ist untersagt.
- Integrität und Vertraulichkeit: Verantwortliche müssen geeignete Maßnahmen treffen, um sicherzustellen, dass die personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch geschützt werden.
- Rechenschaftspflicht: Unternehmen müssen nachweisen können, dass sie alle Datenschutzgrundsätze einhalten. Dies bedeutet, dass sie geeignete Dokumentationen und Verfahren zur Einhaltung der DSGVO vorweisen müssen.
Diese Prinzipien sind die Grundlage für die rechtskonforme Verarbeitung personenbezogener Daten und sorgen dafür, dass der Datenschutz in den täglichen Prozessen eines Unternehmens fest verankert ist.
Gelten alte Einwilligungen weiter? – Auswirkungen auf bestehende Zustimmungen
Ein wichtiger Punkt bei der Einführung der DSGVO war die Frage, ob bestehende Einwilligungen zur Datenverarbeitung weiterhin gültig sind. Die DSGVO fordert, dass Einwilligungen klar, freiwillig, informiert und unmissverständlich gegeben werden müssen. Falls diese Bedingungen bei früher eingeholten Einwilligungen nicht vollständig erfüllt sind, müssen Unternehmen erneut um die Zustimmung der betroffenen Personen bitten.
Alte Einwilligungen gelten also nur dann weiter, wenn sie bereits den strengen Vorgaben der DSGVO entsprechen. Unternehmen sollten ihre bestehenden Einwilligungen überprüfen und, falls nötig, eine neue, den Anforderungen der DSGVO entsprechende Zustimmung einholen. Dies sowie ein Security Awareness Training der Mitarbeiter stellt sicher, dass die betroffenen Personen jederzeit Kontrolle über die Nutzung ihrer Daten haben und in Kenntnis aller relevanten Informationen entscheiden können.
FAQ
Was zählt zu den personenbezogenen Daten?
Zu den personenbezogenen Daten zählen alle Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen, wie Name, Adresse, Telefonnummer, E-Mail-Adresse oder IP-Adresse.
Was zählt nicht zu den personenbezogenen Daten?
Daten, die keinen Rückschluss auf eine bestimmte Person zulassen, wie anonymisierte Statistiken oder allgemeine Unternehmensdaten, gelten nicht als personenbezogene Daten.
Sind Name und Vorname personenbezogene Daten?
Ja, Name und Vorname sind personenbezogene Daten, da sie eine Person direkt identifizieren können.
Sind Alter und Geschlecht personenbezogene Daten?
Auch Alter und Geschlecht gelten als personenbezogene Daten, insbesondere wenn sie in Kombination mit anderen Informationen eine Person identifizierbar machen.
Fazit
Personenbezogene Daten sind in der heutigen digitalen Welt von großer Bedeutung und erfordern einen verantwortungsvollen Umgang. Die Datenschutz-Grundverordnung (DSGVO) bietet klare Richtlinien, um den Schutz dieser Daten zu gewährleisten und die Rechte der Betroffenen zu stärken. Unternehmen, Behörden und Organisationen müssen sicherstellen, dass sie nur die notwendigen Daten verarbeiten und dabei die Grundsätze der DSGVO beachten.
Gleichzeitig werden durch die DSGVO klare Regelungen geschaffen, um Missbrauch zu verhindern und den freien Datenverkehr in der Europäischen Union zu ermöglichen. Der Schutz personenbezogener Daten ist ein wesentlicher Bestandteil des modernen Datenschutzes und der Wahrung der Privatsphäre im digitalen Zeitalter.