Was sind personenbezogene Daten?

Personenbezogene Daten in der neuen Datenschutz-Grundverordnung

Alle reden davon, aber was verstehen die Datenschützer eigentlich unter „personenbezogene Daten“? Und dann stellt sich noch die Frage, ob das Thema überhaupt relevant für Sie ist? Bevor wir uns also weiter mit der neuen Datenschutz-Grundverordnung beschäftigen, stellen wir Ihnen die Basics vor. Und dazu gehört auch ein Grundverständnis für die wichtigsten Begriffe im Datenschutz.

Mein Name ist Mustermann – aber wer bin ich?

Erst kürzlich hatten wir hierzu im Unternehmen eine rege Diskussion. Wir stellten uns die Frage, ob Vorname und Nachname an sich schon personenbezogene Daten sind. Hier gibt es tatsächlich Klärungsbedarf. Wir starten deshalb den Versuch einer Erklärung am Beispiel von Herrn „Manfred Mustermann“.

Die EU DSGVO kommt

Was sagt das Gesetz?

Im Artikel 4 der DSGVO werden alle Begriffe definiert, die im Gesetz Anwendung finden. Im ersten Absatz geht es um den wichtigsten Terminus, nämlich um die personenbezogenen Daten.

… „personenbezogene Daten“ (sind) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind …

Das heisst im Klartext:

  1. Gemeint sind Informationen über natürliche Personen.
    Firmendaten gehören nicht dazu, denn diese stammen vor dem Gesetz von juristischen Personen.
  2. Es betrifft alle Daten, die einzeln oder in Kombination die Identifizierbarkeit dieser einzelnen natürlichen Person ermöglichen.
  3. Und es geht um Informationen, die Rückschlüsse auf die Persönlichkeit und die Lebensumstände des betroffenen Menschen erlauben.

Die Daten-Klassiker

Nur mittels Vorname und Nachname wissen wir eigentlich noch nicht so genau, wer die Person „Manfred Mustermann“ tatsächlich ist. Es sei denn, es gäbe weltweit nur einzige Person mit diesem Namen. Bei „Peter Schmidt“ oder „Sabine Müller“ trifft das sicherlich nicht zu. Doch bei vielen Namen können wir davon ausgehen, dass sie tatsächlich einzigartig sind. Und damit ist die Identifikation einer einzelnen Person gesichert. Also ist die Kombination Vorname und Name in vielen Fällen bereits personenbezogen. Spätestens in Verbindung mit den Informationen über Geburtsdatum, Familienstand, Geschlecht, Adresse und Telefonnummer haben wir es definitiv mit personenbezogenen Daten zu tun. Das sind die Klassiker, die man als Privatperson bei einem Vertragsabschluss angeben muss.

Die Daten-Neulinge

Jedes Mal, wenn eine Person mit Ihren Internet-Angeboten arbeitet, erhalten Sie weitere Merkmale, welche eine Identifikation ermöglichen. Das liegt in der Natur der Internet-Technik. Einige dieser Daten gibt der Nutzer ganz bewusst an. Dazu gehören die E-Mailadresse und die Online-Kennung für den Zugang zu einem Internet-Angebot. Genau genommen sind das moderne Formen der alten Adressdaten. Daher ist auch klar, dass sie zu den personenbezogenen Daten gehören. Aber es gibt auch Informationen, die im Hintergrund abgefragt werden, ohne dass der Nutzer davon etwas mitbekommt.

IP-Anbindung

Die versteckten Daten

Sie sind nützlich und aus technischen Gründen auch oft notwendig, denn sie ermöglichen die Kommunikation zwischen Ihrem Rechner und dem Internet. Und diese Daten sorgen für einen hohen Komfort beim Surfen. Dazu gehören:

  • die IP und MAC-Adresse des Endgerätes
  • die ausgelesenen Browserverläufe
  • die Klicks auf eine Werbeanzeige
  • das Speichern von Suchanfragen
  • die Auswertung der Navigation auf Webseiten für die WebSite-Analyse.

Das Auslesen dieser Informationen ist per se nicht gleich „böse“. Aber sie wecken Begehrlichkeiten, denn sie erlauben sehr konkrete Rückschlüsse auf Neigungen, Interessen und Kaufverhalten des Nutzers. Und von vielen großen Online-Portalen werden sie deshalb zu nur einem einzigen Zweck gesammelt. Nämlich, um so viel wie möglich über das Individuum „Nutzer Mustermann“ erfahren. Schließlich ist der Datenhandel ein Milliarden Geschäft. Und die Manipulation des Kaufverhaltens liefert das Ziel.

GroupOffice : das ganze Büro aus der Cloud. Gehostet in Berlin.
GroupOffice : das ganze Büro aus der Cloud. Gehostet in Berlin.

Personenbezogene Daten in Cloudanwendungen

Nehmen wir das Beispiel CRM – Customer Relation Management Systeme. Wenn Sie eine moderne Arbeitsumgebung schätzen, dann können Sie auf Kundendaten in der Cloud gar nicht verzichten. Natürlich werden Sie diese Daten im eigenen Interesse immer gut schützen. Doch selbst wenn der Geschäftskontakt „Manfred Mustermann“ noch keine personenbezogene Angabe darstellt, weil es in erster Linie nicht um die Privatperson geht, ändert sich die Sachlage sofort, wenn Sie zum Beispiel das Geburtsdatum gespeichert haben. Oder einen Vermerk über die letzte Beförderung. Damit Sie das Gratulieren nicht vergessen…

Bei Privatpersonen ist die Sachlage sofort klar. Wenn Sie einen Online-Shop betreiben oder Ihre Mitarbeiter-Daten über das Internet in ein Abrechnungssystem geben, haben Sie es natürlich mit personenbezogenen Daten zu tun. Dazu sind diese Informationen auch noch hoch sensibel. Keine Frage also, dass Sie damit besonders sorgfältig umgehen müssen. Und logisch, dass der Gesetzgeber hier die Einhaltung strenger Regeln fordert.