Definition

In Art. 4 Nr. 1 der DSGVO ist die Begriffsbestimmung zu den personenbezogenen Daten verankert. In dieser Definition wird die „betroffene Person“ näher bestimmt.

„personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt […] identifiziert werden kann“.  

Eine direkte oder indirekte Identifizierbarkeit einer natürlichen Person liegt u. a. dann vor, wenn diese mittels einer Kennung wie einem Namen, einer Kennnummer, zu Daten eines Standortes sowie zu einer Online-Kennung (wie der IP-Adresse) zugeordnet werden kann. Zudem ist eine natürliche Person über ein oder mehrere besondere Merkmale identifizierbar. Diese Merkmale sind Ausdruck physischer, physiologischer, genetischer, psychischer, wirtschaftlicher, kultureller oder sozialer Identität der natürlichen Person.  

Beispiele

Zu den betroffenen Personen gehören im Datenschutzrecht beispielhaft Abonnenten eines Newsletters, Beschäftigte i. S. d. § 26 BDSG (8), Besucher von Veranstaltungen und Webseiten, Teilnehmer von Gewinnspielen, Kunden von Unternehmen und Mitglieder von Vereinen. Deren Daten werden von sogenannten Speicherstellen verarbeitet. Dazu gehören in erster Linie Behörden, Unternehmen und Vereine. Diese müssen als Verantwortliche die Daten der betroffenen Personen schützen.

Gesetze

Die EU-Datenschutzgrundverordnung (EU-DSGVO) gilt in der Europäischen Union und regelt die Verarbeitung personenbezogener Daten von betroffenen Personen durch Unternehmen und Behörden. Mit der Verordnung ist ein einheitlicher Datenschutzstandard innerhalb der EU geschaffen worden. Die DSGVO hat Anwendungsvorrang gegenüber dem BDSG (neu).

Das Bundesdatenschutzgesetz (BDSG neu) gilt für die Verarbeitung personenbezogener Daten durch öffentliche Stellen in Deutschland.

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) richtet sich an die Webseitenbetreiber. Es dient vor allem dem Schutz von Privatpersonen und gilt unabhängig vom Personenbezug.

Wer wird geschützt?

Ziel der DSGVO ist es gem. Art. 1 Abs. 2 DSGVO, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen. Diese bestimmen sich nach der Charta der Grundrechte und Grundfreiheiten der Europäischen Union (Grundrechtscharta – GrCh) und der Europäischen Menschenrechtskonvention (EMRK).

Der Datenschutz wirkt bei der Verarbeitung von personenbezogenen Daten; unabhängig davon, ob es sich um einfache Stammdaten oder sensible Daten handelt. Im Mittelpunkt steht dabei stets die Person, deren Daten verarbeitet werden. Datenschutz ist im Grundrecht auf informationelle Selbstbestimmung festgeschrieben. Dieses Recht stellt klar, dass jeder Einzelne selbstständig über seine personenbezogenen Daten bestimmen und entscheiden kann. Die Person wird vor unbefugter Nutzung und Weitergabe Ihrer Daten geschützt.  

Besonders schützenswert sind nach Art. 9 der DSGVO die besonderen Kategorien von personenbezogenen Daten. Hierzu gehören Daten zur ethnischen und kulturellen Herkunft, politische und religiöse Überzeugungen, die Gewerkschaftszugehörigkeit, die Sexualität und Gesundheitsdaten.

Wann ist der Datenschutz außen vor?

Nicht erfasst von der DSGVO ist die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird. Demnach sind also Datenverarbeitungen ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit außen vor.  

Des Weiteren findet der Datenschutz keine Anwendung, wenn Daten verarbeitet werden, die nicht personenbezogen sind. Dazu gehören Daten, die keine personenbezogenen Merkmale aufweisen. Dies sind z.B. Gewinne, Preise, Umsätze oder eine Handelsregisternummer. Grundsätzlich sind Daten, die sich nur auf eine juristische Person (z.B. AG oder GmbH) beziehen, nicht personenbezogen.  

Auch anonymisierte Daten sind nicht auf eine Person beziehbar und gehören daher nicht zu den personenbezogenen Daten. Der Erwägungsgrund 26 zur DSGVO legt dies explizit fest. Der gleiche Erwägungsgrund stellt klar, das pseudonymisierte Daten hingegen unter den Datenschutz fallen.

In Art. 4 Nr. 5 der DSGVO wird der Begriff der Pseudonymisierung wie folgt bestimmt:

„Pseudonymisierung ist die Verarbeitung personenbezogener in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugordnet werden können…“

Die zusätzlich festgelegten Informationen sind durch technisch organisatorische Maßnahmen nach Art. 32 DSGVO zu sichern. Sie müssen gesondert aufbewahrt werden.

Abgrenzung zu Informationssicherheit und IT-Sicherheit

Häufig werden bestimmte Begrifflichkeiten sehr eng mit dem Datenschutz verknüpft. Dabei lässt sich die Unterscheidung zwischen diesen Begriffen entscheidend über das Merkmal der personenbezogenen Daten vornehmen. Während es beim Datenschutz zwingend auf die Verarbeitung von personenbezogenen Daten ankommt, ist es bei der Informationssicherheit und der IT-Sicherheit unerheblich, ob die Daten einen Personenbezug haben.

Eine weitere Abgrenzung kann über die jeweilige Schutzfunktion vorgenommen werden. Der Datenschutz schützt die natürliche Person, deren Daten verarbeitet werden. Dagegen werden bei der Informationssicherheit und der IT-Sicherheit sämtliche Informationen, auch die ohne Personenbezug, sowie die IT-Systeme geschützt.  

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.