Was sind personenbezogene Daten?

Personenbezogene Daten in der neuen Datenschutz-Grundverordnung

Alle reden davon, aber was verstehen die Datenschützer eigentlich unter „personenbezogene Daten“? Und dann stellt sich noch die Frage, ob das Thema überhaupt relevant für Sie ist? Bevor wir uns also weiter mit der neuen Datenschutz-Grundverordnung beschäftigen, stellen wir Ihnen die Basics vor. Und dazu gehört auch ein Grundverständnis für die wichtigsten Begriffe im Datenschutz.

Mein Name ist Mustermann – aber wer bin ich?

Erst kürzlich hatten wir hierzu im Unternehmen eine rege Diskussion. Wir stellten uns die Frage, ob Vorname und Nachname an sich schon personenbezogene Daten sind. Hier gibt es tatsächlich Klärungsbedarf. Wir starten deshalb den Versuch einer Erklärung am Beispiel von Herrn „Manfred Mustermann“.

Die EU DSGVO kommt

Was sagt das Gesetz?

Im Artikel 4 der DSGVO werden alle Begriffe definiert, die im Gesetz Anwendung finden. Im ersten Absatz geht es um den wichtigsten Terminus, nämlich um die personenbezogenen Daten.

… „personenbezogene Daten“ (sind) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind …

Das heisst im Klartext:

  1. Gemeint sind Informationen über natürliche Personen.
    Firmendaten gehören nicht dazu, denn diese stammen vor dem Gesetz von juristischen Personen.
  2. Es betrifft alle Daten, die einzeln oder in Kombination die Identifizierbarkeit dieser einzelnen natürlichen Person ermöglichen.
  3. Und es geht um Informationen, die Rückschlüsse auf die Persönlichkeit und die Lebensumstände des betroffenen Menschen erlauben.

Die Daten-Klassiker

Nur mittels Vorname und Nachname wissen wir eigentlich noch nicht so genau, wer die Person „Manfred Mustermann“ tatsächlich ist. Es sei denn, es gäbe weltweit nur einzige Person mit diesem Namen. Bei „Peter Schmidt“ oder „Sabine Müller“ trifft das sicherlich nicht zu. Doch bei vielen Namen können wir davon ausgehen, dass sie tatsächlich einzigartig sind. Und damit ist die Identifikation einer einzelnen Person gesichert. Also ist die Kombination Vorname und Name in vielen Fällen bereits personenbezogen. Spätestens in Verbindung mit den Informationen über Geburtsdatum, Familienstand, Geschlecht, Adresse und Telefonnummer haben wir es definitiv mit personenbezogenen Daten zu tun. Das sind die Klassiker, die man als Privatperson bei einem Vertragsabschluss angeben muss.

Die Daten-Neulinge

Jedes Mal, wenn eine Person mit Ihren Internet-Angeboten arbeitet, erhalten Sie weitere Merkmale, welche eine Identifikation ermöglichen. Das liegt in der Natur der Internet-Technik. Einige dieser Daten gibt der Nutzer ganz bewusst an. Dazu gehören die E-Mailadresse und die Online-Kennung für den Zugang zu einem Internet-Angebot. Genau genommen sind das moderne Formen der alten Adressdaten. Daher ist auch klar, dass sie zu den personenbezogenen Daten gehören. Aber es gibt auch Informationen, die im Hintergrund abgefragt werden, ohne dass der Nutzer davon etwas mitbekommt.

IP-Anbindung

Die versteckten Daten

Sie sind nützlich und aus technischen Gründen auch oft notwendig, denn sie ermöglichen die Kommunikation zwischen Ihrem Rechner und dem Internet. Und diese Daten sorgen für einen hohen Komfort beim Surfen. Dazu gehören:

  • die IP und MAC-Adresse des Endgerätes
  • die ausgelesenen Browserverläufe
  • die Klicks auf eine Werbeanzeige
  • das Speichern von Suchanfragen
  • die Auswertung der Navigation auf Webseiten für die WebSite-Analyse.

Das Auslesen dieser Informationen ist per se nicht gleich „böse“. Aber sie wecken Begehrlichkeiten, denn sie erlauben sehr konkrete Rückschlüsse auf Neigungen, Interessen und Kaufverhalten des Nutzers. Und von vielen großen Online-Portalen werden sie deshalb zu nur einem einzigen Zweck gesammelt. Nämlich, um so viel wie möglich über das Individuum „Nutzer Mustermann“ erfahren. Schließlich ist der Datenhandel ein Milliarden Geschäft. Und die Manipulation des Kaufverhaltens liefert das Ziel.

GroupOffice : das ganze Büro aus der Cloud. Gehostet in Berlin.
GroupOffice : das ganze Büro aus der Cloud. Gehostet in Berlin.

Personenbezogene Daten in Cloudanwendungen

Nehmen wir das Beispiel CRM – Customer Relation Management Systeme. Wenn Sie eine moderne Arbeitsumgebung schätzen, dann können Sie auf Kundendaten in der Cloud gar nicht verzichten. Natürlich werden Sie diese Daten im eigenen Interesse immer gut schützen. Doch selbst wenn der Geschäftskontakt „Manfred Mustermann“ noch keine personenbezogene Angabe darstellt, weil es in erster Linie nicht um die Privatperson geht, ändert sich die Sachlage sofort, wenn Sie zum Beispiel das Geburtsdatum gespeichert haben. Oder einen Vermerk über die letzte Beförderung. Damit Sie das Gratulieren nicht vergessen…

Bei Privatpersonen ist die Sachlage sofort klar. Wenn Sie einen Online-Shop betreiben oder Ihre Mitarbeiter-Daten über das Internet in ein Abrechnungssystem geben, haben Sie es natürlich mit personenbezogenen Daten zu tun. Dazu sind diese Informationen auch noch hoch sensibel. Keine Frage also, dass Sie damit besonders sorgfältig umgehen müssen. Und logisch, dass der Gesetzgeber hier die Einhaltung strenger Regeln fordert.

Suchmaschinen-Optimierung: fit für Google & Co.
Suchmaschinen-Optimierung: fit für Google, aber ohne Analytics.

Die Datensammler: Analyse-Werkzeuge

Wenn Sie sich bei der Suchmaschinen-Optimierung viel Mühe geben, dann wollen Sie schließlich wissen, wie groß Ihre Reichweite ist und ob Ihr „SEO“ wirklich funktioniert. Daher ist es durchaus in Ordnung, dass Sie mehr über Ihre Nutzer erfahren wollen und dazu ein Analyse-Werkzeug benutzen. Doch Vorsicht bei der Wahl der Mittel!

Google Analytics mag ja praktisch sein, aber eigentlich dürfen Sie es als kommerzieller Betreiber einer Webseite gar nicht einsetzen. Denn Google sammelt nicht nur die legalen Daten. Doch anstatt diese Informationen zu anonymisieren, macht Google das totale Gegenteil. Die Datenkrake konkretisiert die Daten auch noch und beobachtet das Nutzerverhalten beim Surfen. Welche Suchbegriffe gibt der Nutzer ein und welche Links klick er an? Welche Shops und Produkte finden sein Interesse? Und welche Informationen liefert er an seine Lieblings Online-Portale? Google Analytics liest den gesamten Browserverlauf aus. Inklusive aller verwendeten Cookies und Eingaben des Nutzers. Und es setzt alle Informationen zu einem individuellen Nutzerprofil zusammen. Personenbezogener geht’s also kaum noch. Und was das schlimmste ist: Google verkauft seine Erkenntnisse an Dritte. In den USA vielleicht erlaubt. In der EU nicht.

Piwik - der rechtssichere, komfortable und leistungsfähige Website-Analyzer
Piwik – der rechtssichere, komfortable und leistungsfähige Website-Analyzer

Es geht auch anonym!

Als Anwender von Google Analytics haben Sie gar kein Einfluss darauf, was mit diesen ganzen Daten passiert. Doch leider bleibt Ihnen die Veranwortung für den Mißbrauch erhalten. Also sollten Sie bei der Wahl des Analyse-Werkzeuges auf wenigsten auf die drei folgenden Kriterien achten:

  • Sie müssen dem Nutzer anbieten können, die Analyse abzulehnen. Er muss dem also dem sogenannten „Tracking“ widersprechen können.
  • Die IP darf ausgelesen, muss aber anonymisiert werden. Das heisst, wenigstens die Ziffern hinter dem letzten Punkt dürfen nicht gespeichert werden.
  • Auf Verlangen müssen die Trecking-Daten einer Webseite gelöscht werden können.

Als Alternative zu Google empfehlen wir gerne „Piwik“. Denn dieses Werkzeug erfüllt alle genannten Kriterien. Und deshalb geben ihm auch die offiziellen Datenschützer gute Noten. Doch hier ist das wichtigste Argument, dass es ganz ohne personenbezogene Daten auskommt.

So geht’s weiter …

Wie Sie sehen, ist das Thema „personenbezogene Daten“ im Internet sehr umfangreich. Und dabei haben wir sogar bewusst Aspekte weggelassen oder nur kurz gestreift. Aber wir hoffen, dass wir Ihnen ein Grundverständnis vermitteln konnten. Uns ist wichtig, dass Sie sensibilisiert sind. Deshalb werden wir in naher Zukunft zusammen mit dem eBusiness Lotsen Berlin auch Webinare zum Thema organisieren.

Natürlich setzen wir auch die Serie über die Datenschutz-Grundverordnung fort. In den nächsten Beiträgen beschäftigen wir uns zum Beispiel mit den Auswirkungen auf KMUs. Und wir zeigen Ihnen, wie Sie sich selbst als Anwender vor zu viel Datenschnüffelei schützen können. Ganz praktisch und konkret.

Was verpasst?

Hier finden Sie noch einmal die Liste aller Artikel, die bereits zum Thema erschienen sind: