#11 personenbezogene Daten

personenbezogene Daten

In unserem Blog reden wir oft über personenbezogene Daten und heute widmen wir uns mal diesem Thema weil es elementar für jede Unternehmung ist.

Was sagt die DSGVO?

Die DSGVO beschäftigt sich im Artikel 4 mit personenbezogenen Daten und beschreibt es wie folgt: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Das Schlüsselwort liegt bei identifizierbar! Wahrscheinlich werden nun viele durchatmen müssen weil man recht schnell erkennt, wieviele Daten eigentlich damit gemeint sind. Um zu identifizieren, braucht es kein Foto, keine Videoüberwachung, kein Facebook… Die technische Form dieser Angaben ist also nicht von Bedeutung. Schon anhand Ihrer IP-Adresse sind Sie identifizierbar. Mal unter uns: Cache, Cookies und den Verlauf nach der Sitzung zu löschen macht Sie nicht unsichtbar! Die Daten sind nämlich auch auf dem Server der besuchten Internetseite hinterlegt. Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene in einen typischen Unternehmen sind beispielsweise:

Personalnummern
Name
Vorname
Anschrift
Familienstand
Geschlecht
Telefon
Mobil-Telefon
Geburtsdatum
Geburtsort
Geburtsname
Nationalität
Bankverbindung
Arbeitszeit
Entgelt
Haupt-Nebenbeschäftigungsverhältnis
Steuerklasse
Kinderfreibeträge
Kirchensteuer
Steuerfreibeträge
Steuer ID
Eintritt
Austritt
Arbeitserlaubnis
Passgültigkeit
Aufenthaltserlaubnis
Passgültigkeit
Bundesland
Sozialversicherungsnummer
Personengruppe
Ausgeübte Tätigkeit
Schulabschluss
Ausbildung
SV-Schlüssel
SV-Träger
Rente
Berufsgenossenschaft
Vorsorge
VL-Verträge
Urlaubsanspruch
Behinderungen
Versorgungsbezüge
Mitarbeiterdarlehen
Pfändungen
etc.

personenbezogene Daten beziehen sich auf eine natürliche Person

Um personenbezogene Daten handelt es sich also immer, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar sind Personen ebenfalls, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden können.

Personenbezogene Daten sind Angaben, die sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, aber auch Daten eines Firmenautos sind keine personenbezogenen Daten.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders! Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung. Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49).

Besondere Kategorien von personenbezogenen Daten

Hierbei handelt es sich um einen Teilbereich der personenbezogenen Daten.

Die „besonderen Kategorien personenbezogener Daten“ unterliegen einem strengeren Schutz und müssen besonders betrachtet werden. Zu ihnen gehören besonders sensible Daten wie Gesundheitsdaten, biometrische und genetische Daten, Religionszugehörigkeit, Daten von Kindern etc (Art. 9 DSGVO).