Was sind nun eigentlich "Personenbezogene Daten"? - Definition nach BDSG, BDSG_neu und EU-DSGVO

In Artikel 2 Ziffer a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr heißt es:
Im Sinne dieser Richtlinie bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kenn-Nummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Nach der gesetzlichen Definition (§ 3 Abs. 1 BDSG) sind personenbezogene Daten "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)".
Damit sind alle Informationen umfasst, die über eine Person etwas aussagen. Diese Informationen müssen sich nicht zwingend auf eine bestimmte Person beziehen (wie bspw. beim Namen oder einem Foto des Betroffenen), ausreichend ist vielmehr, dass zu der jeweiligen Person ein Bezug hergestellt werden kann. So können - zumindest bei entsprechendem Zusatzwissen - auch Telefonnummer, Matrikelnummern, Sozialversicherungsnummern, persönlich zugeteilte Berechtigungskennzeichen und u.U. IP-Adressen personenbeziehbare und damit datenschutzrelevante Informationen sein.
Es gibt keine Abstufung zwischen mehr oder weniger schützenswerten Daten. Das Bundesverfassungsgericht spricht davon, dass es keine "belanglosen" Daten gibt. Damit ist beispielsweise die Telefonnummer nicht minder schützenswert als die Haarfarbe.

Die gesetzliche Definition spricht von Daten "natürlicher Personen". Damit wird zugleich ausgesagt, dass der Schutz der Datenschutzgesetze mit dem Tod enden. Es greift dann jedoch das postmortale Persönlichkeitsrecht, das den Schutz der Daten Verstorbener in gewissem Umfang beinhaltet. Für die genaue Ausgestaltung kommt es auf den Einzelfall an, in dem für die weitere Auslegung wiederum auf die Datenschutzgesetze zurückgegriffen werden kann.

Der Datenschutz soll als Teilbereich des allgemeiner gefassten Bereichs der Datensicherheit spezifische Datensätze vor Missbrauch und unbefugtem Zugriff bewahren, nämlich die personenbezogenen Daten.

Die entsprechenden Datenschutzbestimmungen finden sich zum einen im Bundesdatenschutzgesetz, zum anderen jedoch noch maßgeblicher in der europäischen Datenschutz-Grundverordnung (EU-DSGVO), welche ab Mai 2018 für alle EU-Mitgliedstaaten verbindlich wird. Sowohl das BDSG, BDSG_neu und die EU-DSGVO als auch die zahlreichen Landesgesetze zum Datenschutz enthalten Defintitionen zu einzelnen Begrifflichkeiten, auf die sich die Texte beziehen.

Die Definition des Begriffs “personenbezogene Daten” gleicht sich entsprechend. Aber welche Daten genau sind nun personenbezogen? Grundsätzlich sind das alle Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Natürliche Person ist ein jeder Mensch in seiner Funktion als Träger von bestimmten Rechten und Pflichten.

Die EU-DSGVO erweitert diese allgemeine Definition noch ein wenig: Personenbezogene Daten sind hiernach Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO). Immer noch zu allgemein - welche personenbezogene Daten gibt es nun im Einzelnen?

Die Arten personenbezogener bzw. auf Personen beziehbarer Daten sind zahlreich. Eine abschließende Zusammenfassung lässt sich kaum bewältigen. Im Folgenden jedoch eine Liste entsprechender Werte, um einen ersten Eindruck geben sollen, was alles unter personenbezogene Daten fällt:

  • allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer etc.)
  • Kenn-Nummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer etc.)
  • Bankdaten (Kontonummern, Kreditinformationen, Kontostände etc.)
  • Online-Daten (IP-Adresse, Standortdaten etc.)
  • physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße etc.)
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten etc.)
  • Kundendaten (Bestellungen, Adressdaten, Kontodaten etc.)
  • Werturteile (Schul- und Arbeitszeugnisse etc.)
  • u. v. m.

In den einzelnen Landesdatenschutzgesetzen werden die allgemeinen personenbezogenen Daten an folgenden Stellen definiert:

Daneben existieren auch noch besondere personenbezogene Daten, die eines erhöhten Schutzes bedürfen. Die Vorschriften zur Sammlung und Verarbeitung solcher Daten sind wesentlich strenger. Solche besonders sensible personenbezogene Daten sind nach § 4 Absatz 9 BDSG:

  • Angaben über rassische sowie ethnische Herkunft
  • politische Ansichten
  • religiöse sowie philosophische Überzeugung
  • Gewerkschaftszugehörigkeit
  • Angaben über die Gesundheit einer Person
  • Daten zur Sexualität eines Menschen

In den einzelnen Landesdatenschutzgesetzen werden die besonderen Arten an verschiedenen Stellen erwähnt:

Doch auch weniger eindeutige Informationen können einen Personenbezug ermöglichen. Einen vielleicht nicht ganz so eindeutigen Fall hatte der EuGH bereits zu entscheiden, in dem es um die Frage ging, ob es sich auch bei Arbeitszeiten um personenbezogene Daten handele. Doch der EuGH stellte klar: “Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.

Umgang mit personenbezogenen Daten

Nicht jedes Unternehmen darf einfach alle Daten so einfach sammeln, welche gerade so kommen. Wenn es zulässig ist, dass diese oder jene öffentliche oder nichtöffentliche Stelle Daten sammelt und verarbeitet, muss Sie den Datenschutz gewährleisten. Das bedeutet:

Die Mitarbeiter, die in der Datenverarbeitung tätig sind, müssen über das Datengeheimnis belehrt werden und bedürfen einer datenschutzrechtlichen Schulung im Umgang mit den Datensätzen.
Die Weitergabe personenbezogener Daten an Dritte ist regelmäßig – und ohne Zustimmung des Betroffenen – nicht zulässig. Ist es in Ausnahmefällen gestattet, muss die Übermittlung verschlüsselt sein und die Daten müssen abgetrennt voneinander übermittelt werden. So soll am Ende zunächst das unrechtmäßige Abgreifen verhindert, zum anderen aber auch unterbunden werden, dass Datensammlungen zu einer Person zu viele Informationen über den Betroffenen preisgeben.
Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen. Das meint nicht nur passwortgeschützte Arbeitsplätze und Datenbänke, sondern vor allem auch angemessene Verschlüsselungsprogramme und höchstwirksame Maßnahmen zur Unterbindung einer Infiltrierung durch Schadsoftware (Antivirenprogramme, Firewall usf.). Unter Umständen müssen die Stellen personenbezogene Daten auch anonymisieren, den Bezug zu einer bestimmten oder bestimmbaren Person etwa aufheben.
Die Verarbeitung personenbezogener Daten muss immer zweckgebunden erfolgen. Ist der Zweck erfüllt, müssen die Angaben gelöscht oder vor einem weiteren Zugriff geschützt werden. Diesem Zweck muss der Betroffene zudem eindeutig zugestimmt haben.
Die Pflicht zur Löschung personenbezogener Daten besteht regelmäßig, sobald die Daten nicht mehr benötigt werden bzw. die Zweckgebundenheit aufgelöst ist. Zudem verjährt die ein oder andere Eintragung von Daten in regelmäßigen Abständen (etwa bei der Schufa-Auskunft). Auch unrechtmäßig gespeicherte Daten müssen umgehend sicher gelöscht werden.

Betroffene, deren Daten gesammelt, gespeichert und verarbeitet werden, haben zahlreiche Rechte. Personenbezogene Daten sind nämlich per Definition Eigentum der jeweiligen natürlichen Person aufzufassen. Die drei wichtigsten Rechte betreffen die Selbstbestimmung, den Auskunftsanspruch und die Löschung von Daten.

Im sogenannten Volkszählungsurteil vom 15. Dezember 1983 gelangte das Bundesverfassungsgericht zu der Einschätzung, dass das Recht auf informationelle Selbstbestimmung grundsätzlich in die allgemeinen Persönlichkeitsrechte hineinfalle. Diese wiederum sind eindeutig durch Artikel 1 des Grundgesetzes geschützt.

Nach diesem Urteil – und so wurde es auch im BDSG und der EU-DSGVO festgelegt – dürfe das Recht auf informationelle Selbstbestimmung nur in einem eng gesteckten gesetzlichen Rahmen eingeschränkt werden. Diese Einschränkungen enthalten staatliche und europäische Rechtsgrundlagen. Die wichtigste Regelung, die in Bezug auf personenbezogene Daten zu nennen ist: Jeder Betroffene muss in die Speicherung und Verarbeitung seiner Daten zu einem bestimmten Zweck zustimmen. Mit Inkrafttreten der EU-DSGVO 2018 genügt hierbei nicht mehr nur ein Stillschweigendes Einverständnis durch das Akzeptieren der Datenschutzerklärung. Personenbezogene Daten dürfen nur erhoben werden, wenn der Betroffene aktive Zustimmung zu dem Vorgang erteilt.

Ganz große Überraschung für viele datensammelnde Unternehmen: Dies gilt explizit natürlich auch für den bestehenden Datenbestand - also kein Freibrief für "alte" Daten!

Betroffene sind befugt, die zu Ihrer Person gespeicherten Daten bei Unternehmen und Behörden einzusehen. Die öffentlichen und nichtöffentlichen Stellen sind im Gegenzug zur Auskunft verpflichtet. Das ist besonders wichtig in Bezug auf die Auskunft über bei Wirtschaftsauskunfteien wie der Schufa hinterlegten Daten, welche die Bonität einer Person betreffen.
Aber auch bei den anderen Unternehmen wie beispielsweise diverse Marketingfirmen oder Anbieter sozialer Netzwerke, welche Verknüpfungen aus unterschiedlichsten Quellen vornehmen, wird die EU-DSGVO für erhebliche Auswirkungen im laufenden Geschäftsbetrieb sorgen.

Dies ist kein Grund zur Schadenfreude - jedes Unternehmen mit Daten zu Kunden, Lieferanten oder auch Mitarbeitern ist betroffen. Auch der leider nach wie vor weit verbreitet Irrglaube, dies betreffe nur Großunternehmen, ist komplett falsch und eine bewusste Verdrehung der Tatsachen.

JEDES Unternehmen mit der Speicherung von personenbezogenen Daten von beispielsweise Kunden, Prospects, Lieferanten oder auch Mitarbeitern ist angehalten, nach den Vorgaben der EU-DSGVO bzw. BDSG_neu zu agieren, andernfalls drohen existenzvernichtende Sanktionen.