Was sind personenbezogene Daten? (Folge #12)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Hallo und herzlich willkommen zum Datenschutz Deluxe Podcast. Ich bin Stephan Plesnik und mit mir dabei ist wieder Dr. Klaus Meffert.

Und wir haben uns heute überlegt, über das Thema personenbezogene Daten zu sprechen. Hallo Klaus, wie geht es dir?

Hallo Stephan, mir geht es gut, ich hoffe dir geht es auch gut und unseren Zuhörern ebenso, dass sie tapfer durchhalten, wenn wir uns unterhalten.

Ja, das klappt auf jeden Fall. Pass auf, also ich habe mir zum Start diesmal für das Thema ein, wie ich finde, passendes Zitat ausgesucht, Und zwar die Kunst des lässigen Anstands hat mich sehr zum Schmunzeln gebracht.

Und zwar ist hier die Frage, Und wie kann ich das vor allen Dingen, Also lass uns mal damit beginnen.

Was fällt denn unter die Beschreibung personenbezogene Daten?

Ja, also zunächst mal finde ich ein sehr gutes Zitat.

Es ist natürlich sicherlich ironisch gemeint.

Manche Leute, die legen keinen Wert auf ihre Privatsphäre, denken sie.

Aber in Wirklichkeit, sobald die Privatsphäre verletzt wird, nimmt sie dann doch jeder wieder sehr wichtig.

Also insofern, wenn man in die DSGVO reingeschrieben hätte, dass es keine Privatsphäre gibt, dann wäre alles einfacher, aber auch nicht unbedingt besser.

Also zur Frage zur Frage mit den personenbezogenen Daten.

Wir wollen ja ein bisschen darüber reden, Also es gibt zwei Fälle, die sind auch in der DSGVO benannt und zwar im Artikel vier DSGVO.

Den muss ich gerade noch mal kurz öffnen, damit ich da nicht was Falsches sage.

Artikel 4 Nummer 1 ist nämlich, sind die personenbezogenen Daten definiert und zwar entweder, wenn man eine Person identifizieren kann oder Das bedeutet in meiner Ausdrucksweise, Direkt bestimmt werden kann eine Person, Ich sage dann immer noch Land und Planet dazu, Universum oder Galaxie könnte man auch noch nehmen.

Dann weiß man ganz sicher, wer es ist.

Indirekte Daten sind zum Beispiel ein Kfz-Kennzeichen, Wir gehen jetzt mal davon aus, dass es eine Person ist, Diese ganzen Firmenkonstellationen lassen wir heute mal weg.

Also Telefonanschluss usw. auf eine Person registriert.

Dann hat man die Telefonnummer zur Person.

Dann könnte man objektiv herausfinden, wer diese Person ist, Gespeichert sein muss aus gesetzlichen Gründen.

In Deutschland muss ja, soweit ich weiß, Und diese objektive Kenntnis dessen, Also wenn dieses Datum eben objektiv ermittelbar ist, So sagt CDSGVO.

Also direkt oder indirekt auf eine personenbezogene Daten Das heißt, können wir zusammenfassen, Einmal gibt es die Kategorie, ich kann aus dem Datenwert, Und identifizierbar bedeutet, ich habe eine Information, Ja, es kann aber auch sein, dass es mehrere Datenwerte gibt Dann ist es eben auch so.

Also wenn man objektiv die Möglichkeit hat, Das würde ja dann bedeuten, im Endeffekt bedeutet das doch dann, Weil wenn ich das mit mehreren Dingen kombiniere, Und wenn ich dann bei der Person angekommen bin, Ja, so ungefähr ist es.

Aber man muss natürlich sehen, Daten, die zum Beispiel du, Aber was eben in dieser Kette drin ist, Aber wenn der Fahrer dieses Fahrzeugs einen Unfall baut zum Beispiel, Und dieses, Okay, würde also bedeuten, Es dreht sich also nie um etwas, Es sind immer nur Privatpersonen, Und diese fallen dann in zwei Kategorien.

Einmal direkter Personenbezug dadurch, Aber wenn ich ihn kombiniere mit anderen Datenwerten, Naja, wenn das so ist.

Also vielleicht zwei kleine Korrekturen.

Also ein Datenwert hat schon mit der Person zu tun, Er ist nur nicht direkt der Person zuordnenbar, Also mit der Person zu tun, Und dann vielleicht noch eine kleine Anmerkung.

Also du hast recht, Es geht ja um den Schutz der Privatsphäre Das wären dann eher Geschäftsgeheimnisse, Aber wenn wir jetzt über eine Ein-Mann-GmbH zum Beispiel sprechen, Und insofern bin ich wieder bei der Person.

Wenn ich aber über eine GmbH rede mit zehn Gesellschaftern Das heißt, es gibt bestimmte Informationen, Doch, wenn Daten öffentlich verfügbar sind, Es kommt immer darauf an, zu welchen Zwecken ich Daten verarbeite.

Wenn ich ein Telefonbuch aufschlage, Also das ist natürlich schon was erlaubt.

Und unabhängig davon, wie Daten veröffentlicht werden, Das hat nichts miteinander zu tun.

Aber bedeutet auch doch gleichzeitig, Weil ich meine, wenn mir die Firma selber gehört Und ich möchte, dass die Leute das wissen, Aber der wichtige Punkt ist ja, Also ich kann nicht sagen, Also von Drittpersonen.

Das heißt, ich kann ja nicht einfach hingehen und sagen, Oder veröffentliche dazu etwas.

Ja, das ist richtig.

Richtig, also über sich selbst kann man veröffentlichen, Und über andere, wie du sagst, eben nicht, wie man will, Also manchmal ist man ja gezwungen dazu durch ein Gesetz.

Zum Beispiel, wenn ich mal eine Steuererklärung mache Da sind deine Daten drauf und das muss ich tun.

Also da habe ich gar keine andere Wahl.

Oder es kann auch das berechtigte Interesse sein.

Es gibt ja diese Firmenverzeichnisse oder auch Auskunftsportale, Und dann kann man sagen, es ist vielleicht das berechtigte Interesse Das muss nicht so sein.

Es kann durchaus sein, dass man darüber streiten kann, Aber es kann durchaus sein, dass man sagt, ein berechtigtes Interesse.

Und dann möchte ich vielleicht halt jetzt nichts mit Datenschutz Wenn ich eine Firma habe und keinerlei Daten über meine Firma veröffentliche, Da haben wir ein kleines Problem mit.

Also das muss man auch bedenken.

Also wir haben da ja im Endeffekt einen interessanten Umstand.

Und zwar, wann genau eigentlich dieser Artikel 4 der DSGVO überhaupt greift und relevant ist.

Weil es ist doch so, dass die europäische Gesetzgebung, Und jetzt für mich die spannende Frage, Weil im Endeffekt wäre es ja so, wenn die DSGVO greift in einem bestimmten Fall, Und ich habe zumindest vor einigen Jahren wurde das immer so erzählt, Wie du gerade beschrieben hast, es gibt Finanzgesetzgebung mit dem Steuerrecht Wenn das aber nicht gelten würde, müsste ich eigentlich das Recht haben, Also es sind zwei Dinge.

Das eine ist, die Datenschutzgrundverordnung, das sagen aber auch viele Juristen falsch, Für den Nicht-Juristen ist es nahezu identisch.

Aber der Unterschied ist, diese Verordnung auf europäischer Ebene gilt automatisch, Es bedarf keiner nationalen Gesetzgebung, damit die DSGVO für alle Staaten, auch Deutschland gilt.

So, das heißt, allerdings können Mitgliedsstaaten schon, Dann greift dieses strengere Gesetz für dieses Mitgliedsland.

Aber es ist nicht erlaubt, dass sozusagen weniger strenge Gesetze als die DSGVO erlassen werden.

Das wäre europarechtswidrig.

Insofern gilt immer mindestens die DSGVO oder ein strengeres Gesetz.

Jetzt kommt der zweite Punkt, den du angesprochen hast, mit dem Finanzamt.

Die DSGVO ist für personenbezogene Daten zu prüfen. Punkt.

So, da gibt es nichts anderes.

Außer es gibt was strengeres.

Aber mindestens die DSGVO ist zu prüfen.

Und da gibt es in Artikel 6 DSGVO.

Und da stehen die Rechtsgrundlagen drinnen, Und da steht auch drinnen, wenn es ein Gesetz erfordert, Und das Verarbeiten heißt natürlich auch weitergeben ans Finanzamt in dem Fall.

Also wenn das Steuergesetz in Deutschland sagt, Und das bedeutet, dass eben alles, was auf diesen Rechnungen steht, Und das ist in Ordnung laut DSGVO.

Allerdings natürlich nur für diesen einen Zweck.

Das Finanzamt darf diese Rechnung also nur nehmen, Und nicht danach irgendwas anderes mit diesen Daten machen.

Also es kommt immer auf den Zweck an.

Und vielleicht möchte ich noch ergänzend dazu sagen, Die DSGVO gilt nämlich, haben wir schon gesagt, Aber die Daten müssen entweder vollautomatisiert verarbeitet werden Dateisystem kann aber auch ein Aktenordner zum Beispiel sein.

So, das bedeutet, wenn wir beide uns jetzt auf der Straße unterhalten, Außer jemand von uns beiden zum Beispiel hat ein Aufzeichnungsgerät, Und wenn wir über eine Telefonleitung sprechen Das ist ja auf jeden Fall auch sehr spannend für die Differenzierung, Hier steht vor allen Dingen ja in Artikel 2 auch drin, Das heißt also, wir können unsere Daten, Meine Frage, die ich jetzt für mich so…

Du hast jetzt den Artikel 4 Nummer 3 zitiert.

Da hast du den Satz nicht zu Ende gelesen.

Gilt die Verordnung in Klammern EG Nummer 45 Schrägstrich 2001.

Ich weiß nicht, ob diese Verordnung die DSGVO ist, ehrlich gesagt.

Ich bezweifle es.

Es gibt dann eine andere.

Es gibt dann eine andere Verordnung, die für diese Organe gilt.

Also das ist…

Ich gucke kurz nach.

Die ist nochmal sehr ausführlich.

Das ist eine andere Verordnung.

Das ist nicht die DSGVO.

Da sollte man vielleicht heute nicht drüber sprechen.

Die Frage ist doch, warum differenziert ein Gesetz…

Also warum wird denn bei dieser personenbezogenen Daten Also was bleibt denn noch übrig?

Ganz, teilweise oder nicht automatisiert?

Also dann ist es doch egal, welche Verarbeitung.

Also hier steht, wenn die Daten…

Also ich sage es mal in meinen Worten.

Wenn die Verarbeitung der personenbezogenen Daten Und wenn sie nicht automatisiert stattfindet, Dateisystem heißt jetzt nicht Computersystem in dem Fall, Das ist ein Dateisystem.

Karteikartensystem.

Das heißt also, es geht quasi darum, ist am Ende nachvollziehbar, Denn wenn das nicht nachvollziehbar ist, Genau, richtig.

Das ist ja auch ganz interessant für diese ganzen Memes, Das ist dann also absoluter Quatsch.

Sie müssen gespeichert werden.

Das muss mindestens der Fall sein.

Richtig, ist natürlich Quatsch.

Da wird sich auch lustig gemacht.

Es gibt ja auch dieses Beispiel mit diesen Klingelschildern.

Das ist jetzt nicht das mit Speichern oder nicht speichern.

Also ich sage mal so, ein Mieter kann sich natürlich, Ich kenne jetzt nicht alle Gesetze, aber ich vermute, Allerdings ist es dann zu seinen Lasten.

Wenn der Postbote nicht weiß, wo er klingeln soll, Und wenn ein Gerichtsvollzieher denjenigen nicht antrifft, So sehe ich das zumindest.

Müsste man Juristen fragen, ob es so ist.

Aber bei den Klingelschilden ist es eben so, Und wenn, dann gäbe es ein Gesetz oder eine Vorschrift, Die das eben erzwingt oder erlaubt.

Beziehungsweise habe ich ja einen Mietvertrag im Hochhaus wahrscheinlich.

Und dann sagt der Vermieter hier, ich bringe jetzt ein Klingelschild an.

Und wenn der Mieter das nicht will, dann soll er halt sagen, Aber dann muss er die Konsequenzen eben in Kauf nehmen.

Weil die meisten Menschen nicht so blöd sind, Ja, klar. Natürlich.

Dann sagen sie natürlich nicht, ich will kein Klingelschild.

Diese abstruse Idee, die hat niemand.

Ich kenne auch niemanden, der kein Klingelschild haben will.

Also außer es gibt so ganz abstruse Lebensmodelle, Ich sage nicht, dass der Kapitalismus gut ist, In Teilen zumindest.

Und beim Klingelschild ist wahrscheinlich eine der Schnittstellen, Weil Post ist ja manchmal halt auch so, Kommen ja manchmal auch nette Briefe.

Ich sage bewusst manchmal.

Die meisten Briefe, die ich bekomme, beginnen mit sehr geherter Herr Plesnik Aber das ist ein anderes Thema.

Also kommen wir mal auf den Personenbezug zurück.

Denn wenn wir das jetzt mal genau so zusammenfassen, Nicht unbedingt.

Es kommt darauf an, ob die Anschlusskennung beim Empfänger ankommt.

Also wenn ich jetzt mit dir spreche oder dir was schicke als Nachricht, Also im Internet ist es ja so, da gibt es die IP-Adresse, Bei der Telefonnummer ist es auch so, wenn das ein Privatanschluss von mir ist, Und insofern ist auch ein personenbezogenes Datum.

Es gibt vielleicht Kommunikationsformen, wo du nicht herausfinden kannst, Das wären dann unter Umständen keine personenbezogenen Daten.

Oder wenn wir telefonieren und ich bin in einer Firma, Ja. Weil wir ja beim letzten Mal über diese so cool über Webseiten Wenn ich das jetzt mal übertrage auf diese Informationspflicht, Aber eigentlich müsste es doch so sein, dass bevor die IP-Adresse übertragen wird, Ja. Also wenn es eine Einwilligung bedarf, also das Wort Cookiebox ist ja im Prinzip falsch, Da müsste ich, wenn ich die IP-Adresse zum Beispiel weitergebe an Google So. Der zweite Fall ist, ich brauche keine Einwilligung, sondern habe das berechtigte Interesse, Wenn ich das berechtigte Interesse da habe, wenn ich dich richtig verstanden habe, Ja, genau. Im Endeffekt, wenn ich verpflichtet bin, jemandem eine Information zu geben, Ja, das natürlich. Wenn jetzt jemand die Webseite selbst aufruft, Das steht ja übrigens auch im TTDSG § 25 zwar nicht für IP-Adressen, aber für Endgerätezugriffe drin, Also es wäre abstrus, wenn man nicht das tun dürfte, was der andere will sozusagen, obwohl er es will, Wenn man das so erkundet hat, dass er es will, indem man die Webseite…

Das ist ja quasi die Einwilligung.

Genau, das ist also, ich sage jetzt mal, ich bin kein Jurist, aber konkludentes Handeln, Ich darf natürlich nichts tun bei diesem Zuschicken der Webseite, um es mal etwas umgangssprachlich zu sagen, Das darf ich nicht tun.

Also ich muss dir die Webseite anzeigen oder sollte sie dir dann anzeigen, Und das ist auch der Grund, warum die ganzen Portale, wenn ich jetzt in so einem Social-Media-Portal bin oder so, Und das ist dann wieder genau der Fall.

Ich habe zwar den Willen, mir die Information anzusehen, bin aber unter Umständen nicht darüber informiert, Ja, guter Punkt.

Und ich glaube, das ist genau dieser Umstand, wo viele Leute eine Schwierigkeit haben zu wissen, Genau, also das eine ist die Einwilligung, die muss ich immer einholen für die Dinge, die einwilligungspflichtig sind.

Da brauchen wir gar nicht weiter drüber sprechen.

Einwilligungsabfrage muss kommen, bevor der einwilligungspflichtige Datenverarbeitungsvorgang stattfindet. Punkt.

So, jetzt ist die Frage, was ist einwilligungspflichtig, Externe Verlinkung.

Meine Empfehlung, man sollte externe Links auf der eigenen Webseite kenntlich machen, Aber ob man das, also es empfiehlt sich das so zu tun, es entsteht aber nicht unbedingt ein Problemverein, wenn man es nicht tut.

Es kann aber ein Problem werden.

Die Wahrscheinlichkeit ist gering.

Aber es könnte sein.

In diesem Fall, den du gerade ansprichst, geht es dann aber ja auch darum, quasi, also diese Transparenz der Information.

Wir müssen ja quasi transparent informieren und freiwillig einwilligen.

Diese beiden Zustände müssen ja gegeben sein.

Jetzt ist es ja häufig so, dass die Leute eben nicht genau wissen, was ihre Aktionen denn für Konsequenzen nach sich ziehen.

Und dann könnte man, ist es ja wahrscheinlich, genau bei dem Ding, was du gerade beschrieben hast, extrem schwierig, am Ende zu sagen, Ich habe das auch schon häufiger auf Webseiten gesehen, dass dann da so ein kleines Icon ist mit so einem Pfeil raus.

Und das soll dann mir sagen, ich mache eine externe Verbindung auch zu einer anderen Webseite.

Aber das sagt mir nicht automatisch, das sind meine personenbezogenen Daten.

Und wenn ich darauf klicke, welche dahin übertragen werden.

Ja, also typischerweise, aber ja, definitiv.

Beim Klick auf einen Link natürlich nur die IP-Adresse.

Außer es gibt Cookies auf dem System, die zur Adresse passen, die man gerade aufruft.

Das ist aber sehr unwahrscheinlich, wenn es normale Webseiten sind wie deine oder meine.

Und das ist so, die Verantwortlichkeit ist eigentlich nur bei dem externen Link.

Wenn du den externen Link setzt und jemand klickt drauf und kommt dann auf meine Seite zum Beispiel, Und ich wäre für die Datenverarbeitung an dich.

Und ab da verantwortlich.

Da gibt es natürlich auch Sonderfälle, wenn wir zum Beispiel gemeinsame Sachen machen würden Aber wenn du einfach nur einen Link setzt auf irgendeine andere Webseite Und da ja dabei normalerweise nichts passiert, nichts Schlimmes datenschutzrechtlich gesehen, Also Null mal irgendwas ist Null.

So ist es in den allermeisten Fällen.

Man sollte es aber nicht drauf ankommen lassen.

Es gibt ja auch Webseiten, die dann rechtswidrige Inhalte irgendwann mal haben, Und dann könnte man in Probleme kommen.

Ja, definitiv.

Okay, dann würde ich sagen, fasse ich zum Ende nochmal kurz zusammen, Also wir haben über personenbezogene Daten gesprochen und die Frage, Und wir haben festgestellt, dass es dort zwei unterschiedliche Formen von Daten gibt.

Einmal die mit direktem Personenbezug, also zum Beispiel ein Name, Oder es gibt Informationen, die sind personenidentifizierbar, In beiden Fällen ist es für die Verarbeitung dieser Daten, Bedeutet also für alle Privatpersonen, die diesen Podcast lauschen, Das bezieht sich aber mit Einschränkungen ein bisschen auch darauf, Ja, also beziehungsweise es ist eine gesetzliche Vorgabe, Das hat nichts mit berechtigtem Interesse zu tun.

Also deine Steuererklärung ist kein berechtigtes Interesse, Genau, stimmt, natürlich.

Wenn es aber ein Unternehmen der Privatwirtschaft ist, Und das kann man eigentlich allgemein sagen für alle Daten, Außer es gibt ein berechtigtes Interesse.

Das ist sozusagen der wichtigste Punkt.

Das berechtigtes Interesse ist auch noch, Zum einen, wann ist überhaupt ein berechtigtes Interesse gegeben, Mir fallen noch ein paar Punkte ein, Was ist eigentlich mit einer Person, die mir gegenübersteht, Und so weiter.

Also da können wir gerne mal drüber sprechen in einer weiteren Folge.

Wir sind ja jetzt schon relativ weit, aber ich denke, das Thema ist sehr spannend.

Und ich fand, durch unser Gespräch kamen auch einige Punkte raus, Finde ich super.

Greifen wir beim nächsten Mal einfach auf die Frage nach dem berechtigten Interesse, Also ich würde mich da nicht ausnehmen, Und auch da lohnt es sich, nochmal genauer hinzuschauen.

Also lass uns das Thema beim nächsten Mal gerne aufgreifen.

Und dann würde ich sagen, Ich habe dabei wieder viel lernen dürfen von dir.

Und ja, sage allen Zuschauern vielen Dank fürs Zuhören.

Zuhörer natürlich.

Ich hoffe, wir sehen uns zum nächsten Mal.

Und dann hören wir uns beim nächsten Mal.

Und damit verabschiede ich mich.

Stephan, vielen Dank für den Plausch.

Hat mich auch sehr gefreut.

Und an alle, die zugehört haben, vielen Dank, dass sie zugehört haben.

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns?

Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO.

Und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

Bis zum nächsten Mal.