Was sind personenbezogene Daten? Beispiele aus dem Alltag
Um Datenschutz im Alltag verständlich zu machen, haben wir ein paar praktische Beispiele für personenbezogene Daten zusammengestellt.
Überprüfen Sie Ihr Wissen: Zählen Ihre Haarfarbe, Größe, Ihre Lieblingsband oder Ihre Meinung zu Donald Trump zu personenbezogenen Daten? Wenn Sie unseren Artikel aufmerksam lesen und die Infografik ansehen, sollte Ihnen die Antwort leicht fallen.
Besonders Unternehmen, Institutionen und Geschäftsleute profitieren davon, ein klares Bild von personenbezogenen Daten zu haben. Denn sie müssen diese Daten schützen, um die Privatsphäre Ihrer Kunden und Partner zu wahren und drastische Strafen zu vermeiden, die mit der Datenschutz-Grundverordnung (DSGVO) der EU bei nicht Einhaltung verhängt werden können. Doch auch Privatpersonen sollten Ihre Rechte kennen und wissen welche ihrer Daten besonders schützenswert sind.
Genau zu wissen, was personenbezogene Daten sind, ist die Grundvoraussetzung für den Schutz dieser Daten.
Personenbezogene Daten – Definition laut DSGVO
Auf die simple Frage, was personenbezogene Daten sind, gibt es keine einfache Antwort. Zwar ist das was unter diesen Begriff fällt in der Deutschen und Europäischen Gesetzgebung definiert. Doch wie es mit Gesetzestexten gerne so ist, hilft die Definition nur bedingt weiter und wirft viele Fragen auf.
Der deutsche Datenschutz wird im Bundesdatenschutzgesetz (BDSG) geregelt, ist jedoch auch stark beeinflusst von EU-Verordnungen. Seit Inkrafttreten der DSGVO im Mai 2018 gilt in Deutschland das neue Bundesdatenschutzgesetz (BDSG-neu). Die DSGVO ist dem BDSG-neu übergeordnet. Deshalb betrachten wir in diesem Artikel hauptsächlich die DSGVO.
Die DSGVO definiert personenbezogene Daten folgendermaßen:
Im Sinne dieser Verordnung bezeichnet der Ausdruck (…) „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
Personenbezogene Daten beziehen sich also auf eine identifizierbare natürliche Person. Der nächste Abschnitt der Definition klärt, was eine Person identifizierbar macht:
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. (Datenschutz-Grundverordung, Artikel 4)
Verschiedene Aspekte der Identität eines Menschen werden aufgeführt. Es ist gut zu wissen, dass nicht nur die physische Identität sondern auch die kulturelle und soziale Identität berücksichtigt werden. Ihre Haarfarbe, Ihre Krankengeschichte oder Ihre Größe gehen genauso wenig jemanden etwas an, wie Ihre politische Einstellung oder Ihre Religion.
Die Datenschutz-Grundverordnung hat die Richtlinie von 1995 abgelöst und somit den Europäischen Datenschutz neu geregelt. Bei der Definition von personenbezogenen Daten hat sich jedoch nicht viel geändert. Das Merkmal ‘genetisch’ wurde hinzugefügt, der Begriff ‘bestimmbar’ wurde durch ‘identifizierbar’ und ‘spezifische Elemente’ durch ‘besondere Merkmale’ ersetzt. In dem Miteinbezug von genetischen Merkmalen in der neuen Ordnung spiegelt sich der Fortschritt der Biotechnologie und der Medizin, da die Verarbeitung von Daten über genetische Merkmale heute relevanter ist als vor 20 Jahren.
Alle Daten, die auf einen der in der DSGVO genannten Aspekte der Identität einer Person schließen lassen, sind personenbezogene Daten, wenn sie eine Person identifizierbar machen.
Warum müssen personenbezogene Daten besonders geschützt werden?
Der Schutz von personenbezogenen Daten fällt unter das Recht auf informationelle Selbstbestimmung. Jeder Mensch hat das Recht zu erfahren, was mit seinen Daten geschieht. Wenn diese Daten nicht ausreichend geschützt sind, kann viel Schaden angerichtet werden.
Mithilfe des Rechts auf informationelle Selbstbestimmung soll jeder selbst darüber entscheiden können, welche personenbezogenen Daten er von sich preisgeben möchte und wer sie verwenden darf.
(Quelle: Bundeszentrale für politische Bildung)
Besonders wichtig ist der Schutz der Daten, wenn deren Bekanntwerden zu Diskriminierung und Benachteiligung führen kann.
Personenbezogene Daten und Beispiele
Um einen besseren Überblick zu gewähren haben wir Beispiele für personenbezogene Daten – aus der DS-GVO, offiziellen Texten und Gerichtsurteilen – in fünf Kategorien eingeteilt. Natürlich gibt es dabei Überschneidungen, manche Beispiele fallen beispielweise in den privaten und in den beruflichen Bereich. Doch die grobe Einteilung erleichtert trotzdem die Einschätzung, was alles unter personenbezogene Daten fällt. Die ausführliche Infografik mit diesen Beispielen und Kategorien finden Sie am Ende des Artikels.
Wie Unternehmen personenbezogene Daten schützen können
Um diese Daten zu schützen müssen Unternehmen bestimmte Vorkehrungen treffen. Dafür gibt es verschiedene Möglichkeiten, wie zum Beispiel Tokenisierung, Pseudonymisierung, Anonymisierung und Verschlüsselung. Durch Verschlüsselung werden persönliche Daten vollständig unkenntlich gemacht, wodurch streitbar ist, ob es sich bei verschlüsselten personenbezogenen Daten überhaupt noch um personenbezogene Daten handelt.
Beispielsweise ist der Hinweis sinnvoll, dass personenbezogene Daten aus Sicherheitsgründen nicht in der Cloud gespeichert werden sollten, besonders nicht, wenn es sich um Cloud-Speicher mit Servern im Ausland handelt, die anderen (weniger strengen) Datenschutzgesetzen unterliegen.
Sind die Daten jedoch vollständig und nach dem aktuellen Stand der Technik sicher verschlüsselt, spricht selbst laut Datenschutz-Grundverordnung der EU nichts mehr gegen das Speichern dieser Daten in der Cloud.
Fazit: Unternehmen müssen vorsichtig mit den Daten Ihrer Angestellten, Kundinnen und Kunden oder Nutzerinnen und Nutzer umgehen, wenn Sie hohe Strafen vermeiden wollen. Ende-zu-Ende-Verschlüsselung sorgt dafür, dass Sie diese Daten ohne Bedenken speichern können, wo immer Sie möchten.