Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Datenschutz: Was sind personenbezogene Daten?

12

Welche Daten personenbezogen sind und warum Cookies immer personenbezogen sind, unabhängig von den Cookie-Werten, das ist Gegenstand dieses Beitrags. Ein Personenbezug existiert häufiger als viele meinen. Personenbezogene Daten färben sozusagen auf andere Daten ab und machen sie zu Daten mit Personenbezug.

Einleitung

Personenbezogene Daten sind solche Daten, die auf eine Person schließen lassen. Somit ist beispielsweise der Name einer Person, zusammen mit deren Anschrift (Straße, Hausnummer, PLZ, Ort, Land, Planet, Galaxiebezeichnung) ein personenbezogener Datenwert. Statt Datenwert wird übrigens oft von Datum gesprochen. Datum ist die Einzahl von Daten.

Der Name einer Person mitsamt deren Anschrift stellt einen direkten Personenbezug her. Aber auch Daten, die indirekt auf eine Person schließen lassen, sind personenbezogen. Das geht aus Art. 4 Nr. 1 DS-GVO eindeutig hervor. Die DSGVO spricht nicht von direktem oder indirektem Personenbezug, sondern von identifizierten oder identifizierbaren Personen.

Eine Person ist identifizierbar, sobald es objektiv möglich ist, dass man selbst oder unter Zuhilfenahme Dritter ein Personenbezug herstellen kann. Dritte können beispielsweise Telekommunikationsdienstleister, Geheimdienste oder Behörden sein. Es spielt keine Rolle, ob diese Dritten aktuell von Ihnen nach Personendaten gefragt werden können. Es reicht die objektiv vorgesehene Möglichkeit. Beispielsweise kann eine solche Möglichkeit durch Strafverfolgung eröffnet werden. Das hatte der EuGH im Urteil vom 19.10.2016 – C-582/14("Breyer", IP-Adressen sind personenbezogene Daten) festgestellt.

Daneben hat die Artikel 29 Gruppe der EU festgestellt, dass eine Person auch dann als identifizierbar gilt, wenn sie in einer Gruppe von Personen von den anderen Personen unterschieden werden kann. Dies wurde in der sogenannten Opinion 4/2007 artikuliert. Die Artikel 29 Datenschutzgruppe ist die Vorgängerin des Europäischen Datenschutzausschusses (EDSA) und ist sogar in Artikel 94 DSGVO erwähnt. Sie hat also eine erhebliche Relevanz.

Wann ist eine Person direkt identifizierbar?

Oben habe ich bereits das Beispiel mit dem Namen einer Person samt Adresse gegeben. Diese Datenlage erlaubt eine vollständige, direkte Identifikation einer Person. Alle Daten, die direkt auf eine Person deuten, machen diese Person direkt identifizierbar.

Wenn in einer Selbsthilfegruppe der anonymen Alkoholiker eine Person graue Haare hat und die anderen haben keine grauen Haare, dann wäre die eine Person von den anderen durch den folgenden Datenwert unterscheidbar: „Die Person, um die es geht, ist in dieser Gruppe und hat graue Haare“.

Nun wäre die Person damit möglicherweise aber noch nicht direkt identifiziert. Denn wenn ich jemanden vor mir sehe, weiß ich meist nicht, wer dieser Jemand ist, wie er also heißt und wo dieser Jemand residiert.

Allerdings könnte es schon sein, dass eine Person einen Schaden erleidet, weil jemand ihre Daten misshandelt, ohne dass bekannt ist, wo die Person wohnt. Hier stellt sich die Frage, ob es dann nicht ausreicht, die Person persönlich vor sich zu haben, um einen direkten Personenbezug zu haben. Auf diese Frage gehe ich hier allerdings nicht näher ein. Das wäre eine eigene Untersuchung wert, die vielleicht eher ein Jurist verfassen könnte.

Was ist ein indirekter Personenbezug?

Sollte also der direkte Personenbezug verneint werden, besteht oft ein indirekter Personenbezug. Dies ist immer dann zu bejahen, wenn es eine objektive Möglichkeit gibt, die Person vollständig zu identifizieren.

Das eben genannte Beispiel der grauhaarigen Person in der Gruppe anonymer Alkoholiker zeigt, dass mindestens ein indirekter Personenbezug besteht. Denn wenn die Grauhaarige in der Gruppe eine Straftat begeht, dann kann im Rahmen der Strafverfolgung festgestellt werden, wer genau die Grauhaarige ist. Somit ist das Datum „Person in der Gruppe ist grauhaarig“ ein personenbezogenes Datum (natürlich in dem genannten Kontext). Denn es besteht objektiv die Möglichkeit, dass

  1. die grauhaarige Person eine Straftat begehen wird und
  2. die Strafverfolgungsmöglichkeiten in Deutschland es erlauben, die Person aufgrund eines Verdachts auf Verüben einer Straftat vollständig zu identifizieren.

Man könnte die Grauhaarige auch ohne Straftat identifizieren, nämlich beispielsweise dann, wenn die Person ein auf sie zugelassenen Automobil fährt und damit zum Treffen der Selbsthilfegruppe gefahren ist. Auf einem Automobil muss nach Straßenverkehrsordnung ein Kfz-Kennzeichen angebracht sein (möglicherweise gibt es Automobile, auf die dies nicht zutrifft, aber um die soll es hier nicht gehen). Das Kfz-Kennzeichen wiederum ist der Person, also ihrem Namen und ihrer Anschrift, eindeutig zugeordnet. Die Kraftfahrtbehörde kennt diese Zuordnung. Wenn das Automobil nun in einen Unfall verwickelt ist, kann der Halter identifiziert werden. Ein Unfall ist üblicherweise keine Straftat. Es könnte sogar sein, dass die grauhaarige Fahrerin der Selbsthilfegruppe gar nicht schuldig am Unfall war. Der Unfallverursacher musste sich jedenfalls die Adressdaten der Grauhaarigen geben lassen, um ihr eine ordentliche Unfallabwicklung zu gewährleisten. Auch so etwas wie Fahrerflucht möchte der Unfallverursacher vermeiden und schreibt sich im Zweifel das Kennzeichen der Geschädigten auf, wenn sie nicht an Ihrem Auto anzutreffen ist.

Wenn jemand allerdings theoretisch in einen Unfall verwickelt werden kann, dann ist doch jede Person, die Ihnen begegnet, im Endeffekt identifizierbar. Somit wäre jeder Datenwert zu einer Person, die physisch in Ihrer Nähe ist, ein personenbezogenes Datum. Auf jeden Fall gilt dies allerdings für Personen, die im Internet surfen. Siehe hierzu den Abschnitt „Cookies“ weiter unten. Wenn Sie mit jemandem telefonieren und dieser Jemand von seinem Privatanschluss oder eigenen Smartphone mit Ihnen spricht, dann sind ebenfalls alle Daten zu Ihrem Gesprächspartner personenbezogen. Die DSGVO gilt allerdings nur, wenn Daten mindestens gespeichert oder teilautomatisiert verarbeitet werden (siehe Art. 2 Abs. 1 DSGVO). Soweit ich weiß, ist die Signalübertragung bei Telefonen allerdings automatisiert.

Zudem ist es wahrscheinlich möglich, eine Person im Rahmen der Legalität zu verfolgen, um herauszufinden, wo sie hingefahren ist. Vielleicht ja zu ihrem Wohnort. Das nur zur Inspiration.

Auch der Standort einer Person macht sie womöglich identifizierbar. Man denke nur an das GPS-Signal des Smartphones. Ich hatte mal irgendwo gelesen, dass eine Straftäterin überführt wurde, weil ihr Google Konto ausgewertet wurde. In meinem Smartphone ist jedenfalls das GPS-Signal fast immer ausgeschaltet (aber nicht, weil ich vorhätte eine Straftat zu begehen, sondern weil es mir nicht behagt, wenn jemand aufgrund von elektronischen Signalen weiß, wo ich bin oder war).

Cookies

Laut ePrivacy-Richtlinie spielt es keine Rolle, ob Cookies personenbezogene Daten halten oder nicht. Die ePrivacy-Richtlinie greift dennoch. In Deutschland ist sie vor allem durch den § 25 TTDSG realisiert. Das TTDSG ist ein Sondergesetz zur DS-GVO. Wenn das TTDSG gilt, entfaltet es Sperrwirkung gegenüber der DS-GVO. Erst wenn die rechtliche Prüfung gemäß § 25 TTDSG bezüglich Cookies und anderer Endeinrichtungszugriffe positiv abgeschlossen ist, wird gemäß DS-GVO geprüft. Ich schreibe hier ausnahmsweise mal richtigerweise „DS-GVO“. Ansonsten wird sehr häufig die griffigere Bezeichnung ohne Bindestrich, also „DSGVO“, verwendet. Die DSGVO ist übrigens kein Gesetz, sondern eine Verordnung. Das macht aber für alle bis auf für Juristen eigentlich keinen Unterschied.

Die Speicherung von Cookies in Ihrem Endgerät (etwa in Ihrem Smartphone oder Desktop PC) und der Zugriff auf in Ihrem Endgerät gespeicherte Cookies ist nur einwilligungsfrei, wenn die Cookies unbedingt erforderlich sind. Die meisten Cookies sind nicht unbedingt erforderlich. Hierbei spielt es, wie schon gesagt, keine Rolle, ob die Cookie-Werte personenbezogen sind oder nicht. Es ist egal, welche Werte im Cookie gespeichert werden; das TTDSG gilt hierfür immer.

Nun speichert man ein Cookie im Endgerät ab und liest es später wieder aus. Danach möchte man sicher mit dem Cookie-Wert arbeiten, denn ansonsten hätte man das Cookie auch gleich weglassen können. Diese Arbeit mit dem Cookie-Wert fällt unter die Regelungen der DSGVO. Die DSGVO gilt aber nur für personenbezogene Daten, zu denen auch die personenbeziehbaren Daten gehören. Wie oben geschrieben, sind dies alle Daten, die direkt oder indirekt auf eine Person hindeuten können.

Was ist, wenn ein Cookie-Wert nicht personenbezogen ist? Nehmen wir als Beispiel einen Wert wie "xyz123". Auch dann ist der Cookie-Wert personenbezogen. Manche wollen das nicht einsehen oder behaupten das Gegenteil, weil es gut für deren Mandanten wäre. Für meine Begründung, warum Cookie-Werte immer personenbezogen sind, muss ich etwas ausholen.

Alle Daten, die in Verbindung mit personenbezogenen Daten auftreten, sind personenbeziehbar und somit personenbezogen.

Siehe Beitrag für Details.

IP-Adressen sind personenbezogene Daten. Dies haben EuGH und BGH in ihren Breyer-Entscheidungen in den Jahren 2016 und 2017 festgestellt (siehe oben für Urteilsreferenz). Auch auf dynamische IP-Adressen trifft dies zu.

Cookies werden dummerweise immer zusammen mit der IP-Adresse des Besuchers einer Webseite an die Webseite übertragen. Die IP-Adresse ist personenbezogen, also ist auch jeder andere (potentiell mit Bedeutung aufgeladene) Datenwert, der zusammen mit der IP-Adresse auftritt, personenbezogen.

Cookie-Werte sind also immer personenbezogen. Somit gilt für die Verarbeitung von Cookie-Werten immer die DSGVO, auch wenn manche dies gerne wegdiskutieren wollen.

Fazit

Daten sind personenbezogen, wenn sie direkt oder indirekt auf eine Person hindeuten. Gemäß Legaldefinition sind personenbeziehbare Daten mit personenbezogenen Daten gleichzusetzen.

Ein Datenwert, der zusammen mit einem personenbezogenen Datum auftritt, wird automatisch personenbeziehbar und somit personenbezogen. Dies mag möglicherweise nur dann nicht gelten, wenn dem Datenwert keinerlei Bedeutung anhaftet und zwar weder objektiv noch subjektiv. Subjektiv heißt hier, dass der Datenwert selbst für sämtliche denkbare Datenempfänger keinerlei Bedeutung hat. Allerdings stellt sich dann die Frage, warum der Datenwert dann überhaupt existiert. Vielleicht gibt es ja ein sinnvolles Beispiel; mir fällt aktuell nur keines ein.

Es ist im Zweifel egal, wie lange ein Datenwert X mit einem personenbezogenen Datenwert zusammen existiert, damit der Datenwert X als personenbezogen gilt. Dies hatte sogar die nicht für ihre Strenge bekannte irische Datenschutzaufsicht im Verfahren gegen WhatsApp festgestellt.

Auch ist es egal, ob Daten gespeichert werden oder nicht, sofern die Daten teil- oder vollautomatisiert verarbeitet werden. Sind die Daten zum Zeitpunkt ihrer Existenz personenbezogen, dann sind sie personenbezogen. Datenverarbeitung beginnt bereits ab der objektiven „gewollten“ Kenntnismöglichkeit, was mit Datenerhebung bezeichnet wird.

Übrigens sind IP-Adressen für Google wegen der Personenbeziehbarkeit potentiell immer personenbezogen, und zwar wahrscheinlich weltweit und egal, wie die Strafverfolgungsmöglichkeiten in dem jeweiligen Land auch sein mögen. Denn wenn ein Nutzer einen Google-Dienst wie GMail nutzt oder ein Android-Handy hat, kann dieser Nutzer objektiv identifiziert werden. Ein Handy hat bekanntlich eine Telefonnummer. Diese Nummer ist (zumindest in einigen Ländern) auf eine Person registriert. In Deutschland muss dies so sein (jedenfalls gilt dies nach meiner Kenntnis für Privattelefone, und es geht in diesem Beitrag ja um Privatpersonen und nicht um Firmen). GMail wiederum ist ein Mailing-Dienst. Es soll Menschen geben, die bekommen an ihre GMail-Adresse Post geschickt, in der Name und Adresse der Person enthalten sind, die die GMail-Adresse innehat.

Diese Frage hatte ich im Rahmen der Google Fonts Abmahnungen bereits untersucht, um zu zeigen, dass die IP-Adresse für Google auch in Österreich potentiell immer einen Personenbezug hat.

Im Zweifel sollten Daten als personenbezogen angesehen werden. Der Zweifel entsteht oft „nur“, weil die Vorstellungskraft fehlt, dass ein Datenwert auf eine Person verweisen könnte. In Anwendungen der künstlichen Intelligenz ist die Frage nach dem Personenbezug eines Datenwertes jedenfalls nicht so einfach zu beantworten. Denn wenn für 100 Datenpunkte noch kein Personenbezug vorliegen mag, kann dies bei 100 Millionen Datenpunkte ganz anders sein.

Übrigens entsteht bei der Verwendung personenbezogener Daten nicht immer ein Problem bzw. Fall für die DSGVO. Wenn sich zwei Menschen auf der Straße unterhalten, dann fällt das Gespräch nicht unter die DSGVO, weil es weder automatisiert verarbeitet noch in einem Dateisystem gespeichert wird. Auch die Verwendung von öffentlich zugänglichen Informationen ist im Rahmen des berechtigten Interesses oft möglich. Fehlen Zusatzdaten, damit aus personenbeziehbare Daten personenbezogene Daten werden, und ist es einer Stelle X objektiv nicht möglich, diese Zusatzdaten zu erhalten, dann handelt es sich für die Stelle X nicht um personenbeziehbare und somit nicht um personenbezogene Daten. Dieser Fall kommt insbesondere dann vor, wenn Zusatzdaten außerhalb des eigenen Kontextes liegen, etwa bei Firmen, mit denen die Stelle X in keinerlei Beziehung steht und die der Stelle X womöglich gänzlich unbekannt sind.

Das Beitragsbild ganz oben wurde von einem Computer-Programm und ohne meine kreative Mitarbeit erzeugt. Verwendet wurde ein KI-Programm, was ähnlich zu Dall-E ist. Die Bilder dürfen auf Webseiten frei verwendet werden, sofern eine üblich sichtbare dofollow-Verlinkung auf diesen Blog gegeben ist.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/datenschutz-was-sind-personenbezogene-daten
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. H.M.Müller

    Zwei Anmerkungen:
    1. Ob GPS-Ausschalten so viel Unterschied macht, bezweifle ich – siehe https://de.wikipedia.org/wiki/GSM-Ortung, die Analoges leistet, je nach Ziel und Präzision ("jemand … weiß, wo ich bin oder war").

    2. "Ein Datenwert, der zusammen mit einem personenbezogenen Datum auftritt, wird automatisch personenbeziehbar und somit personenbezogen." – der Knackpunkt ist, was man mit "auftreten" meint (oder meinen will) – was man nicht formalrechtlich beantworten kann. Wenn ich eine Software schreibe, die aus reinen Effizienzgründen in einer gemeinsamen Nachricht via TCP zum einen Ihre Personendaten, daneben aber auch die Durchmesser in km aller Planeten des Sonnensystems transportiert, dann "treten" diese Durchmesserdaten "zusammen mit" Ihren Personendaten "auf" – ich tue mir aber sehr schwer damit, daraus zu folgern, dass diese Daten aus dem Universum nun eine Zeitlang (wie lang?) plötzlich personenbezogen geworden sind, noch dazu für die Person Klaus Meffert. Irgendwo muss es da schon eine "vernünftige" Grenze geben, wann das "Auftreten" "zufällig" ist und wann nicht: Z.B. werden in einer Datenbank einer Warenwirtschaft natürlich personenbezogene Daten (zu Rechnungen, Mahnungen) gespeichert, "zusammen damit" treten aber viele weitere Daten auf (z.B. Konfigurationsdaten des Systems oder Artikelpreise). Solche Daten sind damit aber noch nicht alle personenbezogen, sondern – meine ich – nur dann, wenn sie zielgerichtet über beabsichtigte Assoziationen, aber auch (das gestehe ich zu) über zufällige Korrelationen mit EINZELNEN (prinzipiell) identifizierbaren Personen verknüpft werden können, aber mit anderen NICHT – nur durch Letzteres werden sie erst zum Risiko in Bezug auf informationelle Selbstbestimmung der EINZELNEN. Das ist dann aber eine etwas höhere Latte als nur "zusammen auftreten mit".

    • Dr. DSGVO

      Vielen Dank für Ihre ausführliche und engagierte Rückmeldung, lieber Herr Müller.

      Zu Ihrem Punkt 1 will ich gar nicht widersprechen (GPS-Signale). Guter Hinweis! Mir ist bekannt, dass auch über WLAN-Netze, IP-Adressbereiche usw. eine Ortung vorgenommen werden kann. Das wäre eine eigene Untersuchung mit Beitrag wert.

      Zu Ihrer 2. Anmerkung möchte ich hervorgehen, dass in meinem Beitrag u.a. folgendes steht:
      "Dies [dass Daten deswegen personenbezogen sind, weil sie mit personenbezogenen Daten auftreten] mag möglicherweise nur dann nicht gelten, wenn dem Datenwert keinerlei Bedeutung anhaftet und zwar weder objektiv noch subjektiv. ".

      Ich gebe ferner zu bedenken, dass es schwierig ist, Daten, die spezifisch für eine Person sind, nicht als personenbezogen ansehen zu können. Entweder sind Daten nicht personenbezogen, dann sind sie für sehr viele/alle Personen gleich. Oder es ist anders. Beispiel: Ihre genannte Konfigurationsdateien. Auch aus einer (nutzerbezogenen) Konfiguration können Ableitungen vorgenommen und somit Erkenntnisse gewonnen werden.

      Wenn z. B. nur eine Person aus vielen eine Sehbehinderung hat, dann ist es schon sehr wahrscheinlich, dass eine Konfiguration X, die für sehbeeinträchtigte Menschen gedacht zu sein scheint, dieser einen Person zuzurechnen ist. Von einer Konfiguration kommt man mitunter sehr schnell zu Nachverfolgungsmöglichkeiten, etwa über die Bildschirmauflösung, Farbgebung etc. Gleiches bei der Sprache, wenngleich weniger eindeutig: Wenn Sie 1000 Menschen haben und 500 sind Deutsche, 500 sind Menschen, die kein Deutsch sprechen, aber Englisch verstehen, dann haben Sie mit dem Datenwert "Sprache: Deutsch" mit hoher Wahrscheinlichkeit die Gruppe der in Frage kommenden Personen halbiert. Dazu nehmen Sie dann weitere Datenwerte, bis möglicherweise nur noch eine Person übrig bleibt.

  2. Anonymous

    Zu Ihren interessanten Ausführungen zwei Rückfragen:
    1. Gibt es überhaupt Daten, die in diesem Sinne nicht personenbezogen sind? Eigentlich treten doch alle Daten in irgendeiner Form zusammen mit einem personenbezogenen Datum auf und können zusammen mit anderen Daten möglicherweise Rückschlüsse auf eine Person erlauben.
    2. Wie erfülle ich bei der Verarbeitung personenbezogener (also aller) Daten meine Pflichten gemäß DSGVO gegenüber dem Betroffenen, wenn ich den Betroffenen nicht identifizieren kann, zum Beispiel weil die Hestellung des Personenbezugs unter Zuhilfenahme Dritter, wie Sie schreiben durch Strafverfolgung eröffnet werden könnte, ich aber nun gerade keinen Straftatbestand zur Hand habe, den ich dem mir unbekannten Betroffenen vorwerfen könnte?

    • Dr. DSGVO

      Danke für Ihre Rückmeldung.

      Zu 1, ein paar Beispiele:
      a) Thema, Termin und vollständige Adresse einer Veranstaltung, die von einer großen Organisation ausgerichtet wird. Kann auch eine kleinere Organisation sein. Bei Kleinstfirmen entsteht aber ggf. wieder ein Personenbezug.
      b) Anderes Beispiel: Wettervorhersage der nächsten 100 Jahre.

      Zu diesen Beispielen gilt: Wenn zu einem Datenwert eine Person zugeordnet werden kann, ist ein Personenbezug möglich. Allerdings dürfte es keine Probleme mit dem Personenbezug des Verkünders der Wettervorhersage der Tagesschau geben, wenn man sich auf diese Vorhersage bezieht.

      Zu 2. Das ist mir zu theoretisch. Hier müssten wir über ein konkretes Beispiel sprechen.
      Generell: Betroffener kann nur sein, wer sich als solcher zu erkennen gibt. Wenn Sie Daten Ihnen Unbekannter verarbeiten (etwa IP-Adressen von Webseiten-Besuchern), dann eben nach den Regeln der DSGVO.

      • Anonymous

        Zu 2. Die IP-Adressen sind ein gutes Beispiel. Konkreter Anwendungsfall: Im System-Logfile meines privaten Linux-Servers werden IP-Adressen von missbräuchlichen ssh-Verbindungsversuchen protokolliert, um diese automatisiert für eine bestimmte Zeit zu sperren. Diese IP-Adressen sind, wie Sie ausführen, personenbezogene Daten. Als Rechtsgrundlage für die Verarbeitung ziehe ich deshalb Art. 6 DSGVO Abs. 1 Buchstabe f heran: Wahrung meines berechtigten Interesses, missbräuchliche Zugriffe auf mein System zu verhindern. Nun habe ich keine Möglichkeit herauszufinden, wer jeweils die betroffen Person ist. (In manchen Fällen gibt es auch überhaupt keine betroffene Person, z.B. wenn die IP-Adresse zu einem Infrastruktursystem gehört; auch das kann ich nicht sicher ermitteln.) Gemäß Art. 14 DSGVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) bin ich nun verpflichtet, der betroffenen Person die dort unter Abs. 1 Buchstabe a-f aufgelisteten Informationen mitzuteilen und (subtiler Unterschied) die unter Abs. 2 Buchstabe a-g Informationen zur Verfügung zu stellen. Wie mache ich das? Ferner muss ich nach Art. 15 DSGVO der betroffenen Person auf deren Verlangen bestätigen, ob ich Daten von ihr verarbeite. Wie stelle ich fest, ob die Auskunft verlangende Person betroffene Person einer der von mir verarbeiteten IP-Adressen ist?

        • Dr. DSGVO

          Zunächst müssen Sie anlasslos überhaupt keine IP-Adressen in Server Logs speichern, und brauchen dies auch nicht zu tun: https://dr-dsgvo.de/protokollierung-von-ip-adressen-in-server-logs-erlaubt-oder-nicht/

          Achtung: Die Betonung liegt auf anlasslos (bitte den Artikel lesen, den ich eben verlinkt habe).

          Wenn Sie eine IP-Adresse aufgrund des Besuchs einer Webseite durch eine Person ("Besucher") erheben, dann findet dies ja "bei" der Person statt (Art. 13 DS-GVO) und nicht "nicht bei" der betroffenen Person (Art. 14 DS-GVO).
          Ob Sie die Person objektiv direkt oder indirekt oder subjektiv gar nicht identifizieren können, spielt keine Rolle, wenn es darum geht zu prüfen, ob Art. 13 DS-GVO oder ob 14 DS-GVO gilt.

          • Anonymous

            Danke für Ihre Antwort. Leider geht sie an meinem Beispiel komplett vorbei. Erstens geht es darin wie von mir beschrieben nicht um Webseitenbesucher, sondern um Angriffe per SSH. Zweitens speichere ich nicht anlasslos, sondern zum Zweck den Angriff abzuwehren. Drittens gehen solche Angriffe fast immer von Opferrechnern aus, die ihrerseits gehackt wurden. Betroffene Person zu der erhobenen IP-Adresse könnte, wenn überhaupt, höchstens der Inhaber des Internet-Anschlusses sein, an dem dieses gekaperte System hängt. Aber der hat wahrscheinlich von dem ganzen Vorgang gar nichts mitgekriegt. Das dann als Erhebung bei der Person zu werten halte ich für abwegig.

            • Dr. DSGVO

              Dieser Beitrag hier auf dieser Seite handelt von personenbezogenen Daten. Es geht hier weder um Angriffe noch um die Auskunft von Daten.
              Datenerhebung findet statt, ungeachtet dessen, ob es sich um ein Opfer handelt oder um eine Person in sonstiger Rolle. Siehe https://dr-dsgvo.de/datenerhebung
              Allerdings: Wenn Sie Daten erhalten, ohne ein "Angebot" (im weitesten Sinne) gemacht zu haben, dann haben Sie die Daten nicht erhoben.

              Zur Frage nach Auskunft gemäß Art. 14 DSGVO kann ich hier keine nähere Rückmeldung geben. Gerne an anderer Stelle, etwa wenn ich mich diesem Thema in einem eigenen Beitrag widme.

              Was die Prüfung angeht, ob eine Person die Anschlussinhaberin bzw. die Person war, die sagt, die IP X war ihr zugeordnet: Netzwerkprotokolle oder Screenshots (etwa von whatismyip.com) helfen als Nachweis. Es erscheint unwahrscheinlich, dass eine Person eine IP X als ihre angibt, diese IP X in Ihrem Protokoll auftaucht und die Person sie dann getäuscht hat (um dies tun zu können, müsste die Person der wohl Angreifer gewesen sein, der sich höchstwahrscheinlich nicht derart bei Ihnen melden wird).

  3. Anonymous

    Ihr Beitrag regt zum Denken an. Vielen Dank.

    Wie sieht es mit eindeutigen Nummern wie Seriennummern von Geräten (Stichwort: Waschmaschine) oder anderen eindeutigen Bezeichnern (MAC-Adresse) auf netzwerkfähigen Gerätschaften aus, wenn diese vom Hersteller naturgemäß gespeichert werden und ein Personenbezug erst viel später durch einen Einzelhändler im Zuge der Rechnungslegung an den Käufer erfolgt? Sind diese Herstellerdaten nun (ab wann) personenbezogen? Muß der Einzelhändler, der Käuferdaten entgegen nimmt, seinen Großhändler bzw. Produkthersteller von dem mögl. Personenbezug informieren? Muß die Lieferkette somit bei einem Auskunftsbegehen involviert werden?

    • Dr. DSGVO

      Wenn dem Einzelhändler ein Personenbezug bekannt ist oder sein kann, dann trifft dies wohl nicht unbedingt auf den Großhändler zu. Letzterer erhält ja oft auch nicht die Daten, die der Einzelhändler zum Kunden hat. Außerdem gilt das Auskunftsrecht nicht vom Großhändler gegenüber dem Einzelhändler, wenn es um eine Person X geht (die ungleich dem Großhändler ist).

      Zudem dürfen personenbezogene Daten für legitime Zwecke (siehe Art. 6 Abs. 1 DSGVO) verwendet werden, etwa im Rahmen einer Rechnungstellung. Dann aber nur für diese Zwecke. Rechnungsdaten dürfen eben nicht für andere Zwecke verwendet werden (außer, es ist explizit erlaubt, siehe Zusendung von Werbung per Briefpost, bis der Werbeempfänger dem widerspricht).

  4. Anonymous

    Ihren Ausführungen folgend ist die Seriennummer eines Gerätes ein personenbezogenes Datum. Ob der Hersteller oder Großhändler des Geräts selbst im Besitz der erforderlichen Daten zur mögl. Identifizierung hat, sollte ja keine Rolle spielen. Über die Lieferkette zum Einzelhändler ist eine "objektive Möglichkeit" durchaus gegeben.
    Wird nun der Einzelhändler (=Verantwortlicher, der die Personendaten entgegen nahm) vom Kunden in Ausübung seines Auskunftsrechts bemüht, dann sollte IMHO der Händler seinen Lieferanten/Hersteller nennen. Denn auch dieser verarbeitet die angesprochene Seriennummer.
    Ob hingegen eine unbegrenzte Speicherung einer Seriennummer beim Hersteller, obwohl es ein personenbezogenes Datum ist, rechtens ist, ist wohl eine andere Geschichte.

    • Dr. DSGVO

      Ja, das kann alles sein. In meinem Beitrag ging es um personenbezogene Daten und nicht um die Verantwortlichkeit, die daraus entsteht.
      Nehmen Sie beispielsweise einen externen Link auf einer Webseite. Der Linkgeber (Website-Betreiber, der den Link auf seiner Seite einbaut) ist verantwortlich für den Link und die an die verlinkte Seite bei Klick auf den Link übergebenen personenbezogenen Daten (insb.: IP-Adresse). Aber erst ist für gewöhnlich nicht für die Folgeprozesse, die auf der verlinkten Seite stattfinden, verantwortlich. Hierzu hatte ich bereits was geschrieben: https://dr-dsgvo.de/externe-links-auf-webseiten-was-ist-zu-beachten/
      "Objektiv" bezieht sich auf den Verantwortlichen und mögliche Kontakte, nicht darauf, dass es irgend jemandem möglich ist, den der Verantwortliche nie "bitten" kann, Daten herauszugeben.
      Man könnte zu Ihren Ausführungen und Gedanken sicher einen eigenen Beitrag schreiben. Vielleicht tue ich das demnächst mal und greife Ihr Seriennummern-Beispiel auf.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutz-Jahresrückblick 2022: Die Highlights auf Dr. DSGVO