Wolfgang A. W. Franz/ Mai 4, 2017/ EU DSGVO

DSGVO: Begriffsbestimmung „personenbezogene Daten“

Symbolbild personenbezogene Daten

Die neue Datenschutzgrundverordnung enthält umfassende Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und zum freien Verkehr solcher Daten. Die DSGVO schützt ausschließlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf den Schutz ihrer personenbezogenen Daten. Juristischen Personen wie zum Beispiel Kapitalgesellschaften, Stiftungen und Vereine können den Schutz der DSGVO nicht für sich in Anspruch nehmen.

Was sind im Sinne der DSGVO personenbezogene Daten?

Die Begriffsbestimmung „personenbezogen Daten“ lautet in der DSGVO wörtlich:
„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Was ist „Identifiziert“?

Identifiziert ist eine Person dann, wenn die dem Verantwortlichen vorliegende Informationen sie eindeutig für ihn kennzeichnet (wie zum Beispiel die Personalnummer im Unternehmen, die Nummer des Personalausweises, die Steuernummer, eine eindeutige Kundennummer).

Was ist „Identifizierbar“?

Identifizierbar ist eine Person dann, wenn der Verantwortliche durch die Kombination einer oder mehrerer Informationen diese eindeutig auf eine bestimmte natürliche Person zuordnen kann.

Ist dem Verantwortlichen eine eindeutige Kennung zur gesuchten Person bekannt, genügt jeweils dieses eine Merkmal, um eine Person eindeutig zu identifizieren.

Identifiziert ist eine Person dann, wenn die Informationen sie eindeutig kennzeichnen. Gibt es zum Beispiel in einem Unternehmen nur einen einzigen Mitarbeiter mit dem Namen Mustermann, so genügt die Kenntnis des Nachnamens, um diese Person innerhalb der Firma eindeutig zu identifizieren.

Kombination von Merkmalen

Ist das Merkmal nicht so eindeutig, weil es in der Firma zwei Mitarbeiter mit dem Namen Mustermann gibt, so genügt in der Regel ein weiteres Merkmale, um den richtigen Herrn Mustermann zu identifizieren. Dies können zum Beispiel Informationen über körperliche Merkmale wie „sehr groß“, „sehr klein“, „kurze Haare“, „keine Haare“, „braune Augen“, „noch sehr jung“, „kurz vor der Rente“ oder die Abteilung in welcher er arbeitet oder die Durchwahlnummer seines Telefons sein.

Je nach Umfeld in welchem der Verantwortliche nach Herr Mustermann sucht (wie zum Beispiel Unternehmen, Stadt, Bundesland, Deutschland, Europa usw.), kann er durch die Kombination einzelner Merkmale, welche die gesuchte Person eines Merkmals für sich alleine gesehen nicht eindeutig identifizieren könnten, durch die Kombination mehrerer Merkmale (wie Beruf, Hobby, Alter) eindeutig identifiziert werden.

Ein konkretes Beispiel

Ein konkretes Beispiel: Wenn uns die folgenden beiden Informationen vorliegen 1. „Teilnehmer an Staffel 2017 der Casting Show DSDS und 2. „Größe über 2 Meter“ so kann mit Hilfe dieser beiden Informationen sehr leicht herausgefunden werden, dass es sich um den Sänger Alphonso Williams handelt. Ist uns der Name erst bekannt, so können mittels einer einzigen weiteren Abfragen „Alphonso Williams Sänger“ mühelos zahlreiche weitere Informationen zu Alphonso Williams gefunden werden.

Um eine Person identifizierbar zu machen, müssen dem Verantwortlichen also nicht unbedingt eindeutige Kennzeichen wie Personalnummer oder Kundenummer bekannt sein.

Vergleich zwischen altem BDSG und neuer DSGVO

Nach dem alten Bundesdatenschutzgesetz sind Daten personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Auch Daten, über die sich ein Personenbezug herstellen lässt, sind in diesem Sinne als personenbezogene Daten anzusehen (Beispiel: Steuernummer, Sozialversicherungsnummer, Kontonummer, Kfz-Kennzeichen), dies gilt auch dann, wenn die Zuordnungsinformationen nicht allgemein bekannt sind. Entscheidend ist alleine die Tatsache, inwieweit es gelingen kann, die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen.

Fazit

Die neue Datenschutzgrundverordnung präzisiert den Begriff „personenbezogene Daten“ im Vergleich zum alten Bundesdatenschutzgesetz also weit umfassender.

Share this Post