Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Was sind personenbezogene Daten?

0

Die Datenschutzgrundverordnung der EU (DS-GVO) definiert personenbezogene Daten und stellt sie unter einen ganz besonderen, bisher in dieser Form nie dagewesenen Schutz. Doch was genau sind personenbezogene Daten?

Personenbezogene Daten nach DS-GVO

Die DS-GVO definiert hierzu:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizerbare natürliche Person beziehen.

Begriffsbestimmung nach Art. 4 DSGVO

Es reicht also schon, wenn Daten vorliegen, die es theoretisch erlauben würden, dass man dadurch auf eine bestimmte Person schließen kann. Dabei spielt es keine Rolle, ob eine Instanz alleine oder ein Dritter oder mehrere Stellen zusammen die Identifikation herstellen könnten. Es ist also egal, ob eine reale Identifikation einer natürlichen Person stattgefunden hat oder stattfinden könnte, um die Klassifizierung eines Datums als personenbezogen zu rechtfertigen.

Benutzerprofile

Nimmt man Daten, die ein Benutzer im Internet hinterlässt, wenn er verschiedene Webseiten besucht, dann kommt man sehr schnell zu einer Klassifikation dieser eigentlich anonymen Daten als personenbezogen. Denn mit Hilfe der Firma Google und/oder Facebook und/oder eines Internet Providers könnte die Person wahrscheinlich exakt identifiziert werden. Selbst wenn in einem Haushalt, der genau eine IP-Adresse hat, zwei Computer vorhanden sind, kann aufgrund von Benutzerprofildaten meist eindeutig auf einen der beiden Computer und auf eine konkrete Person geschlossen werden.

Beispiele für personenbezogene Daten

Wenn man sich Beispiele für solche Daten anschaut, scheint es, als wären fast alle Daten personenbezogen, in dem Sinn, den die DS-GVO definiert. Hier einige Beispiele:

  • Positionsdaten
  • Email-Adressen
  • IP-Adressen
  • Name und Anschrift
  • Vorname und Nachname (falls es nur eine Person mit diesem Namen gibt oder weitere, ansonsten möglicherweise nebensächliche Informationen vorliegen, die in Kombination auf eine einzelne Person schließen lassen
  • Strasse, Hausnummer und Ort, falls dort nur eine Person wohnt
  • KFZ-Kennzeichen (Autoinhaber)
  • Telefonnummer (Anschlussinhaber)
  • Bankverbindung
  • Benutzerkonto (Benutzername plus Dienst, zu dem das Benutzerkonto gehört)
  • Bild einer Person
  • Bild mit mehreren Personen, auf dem eine Person markiert ist oder besonders hervorsticht oder in Kombination mit anderen vorliegenden Daten identifiziert werden kann
  • Unterschrift
  • Zugfahrkarte, insbesondere, wenn sie mit einem elektronischen Zahlungsmittel bezahlt wurde oder die zahlende Person bei der Bezahlung von einer Sicherheitskamera gefilmt wurde

Da man oft nicht ad hoc weiß, ob eine Information genau auf eine Person schließen lässt oder mehreren Personen oder Mitarbeitern zugeordnet werden kann, muss man vom ungünstigsten Fall ausgehen. Im Falle der Angabe einer Straße samt Hausnummer und Ort ist also ad hoc anzunehmen, dass es sich um eine personenbezogene Information handelt. Das Gegenteil zu beweisen, dürfte zumindest sehr zeitaufwändig und bei Vorliegen von sehr vielen Datensätzen dieser Art nicht durchfühbar sein.

Für das o.g. Beispiel des Zugtickets wird man schlecht wissen, ob der Käufer von einer Kamera beim Bezahlvorgang gefilmt wurde. Daher muss man auch beim Zugticket von einem personenbezogenen Daten ausgehen. Als Grundregel sollte man alle Daten, die eindeutige Informationen enthalten könnten, als personenbezogen werten, wenn sie nicht selbst (und nachweislich ohne Personenbezug) generiert wurden.

Im Zweifel sollte von einem Personenbezug ausgegangen werden. Dies gilt vor allem beim Einsatz von Tools auf Webseiten und der Frage, ob Tracking vorliegt oder nicht.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/was-sind-personenbezogene-daten
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Impressum und Datenschutzerklärung: mit NOINDEX gegen Abmahnungen schützen