In diesem Monat tritt die neue Datenschutzgrundverordnung der Europäischen Union in Kraft. Konkret bedeutet das, dass sich die bestehenden Datenschutzgesetze grundlegend verändern werden. Auch personenbezogene Daten werden neu definiert und unter einen völlig neuen Schutz gestellt. Doch was kann man unter dem Begriff überhaupt verstehen?

Was sind personenbezogene Daten?

Bisher wurde der Begriff, eingeteilt in drei Kategorien, wie folgt definiert:

Personenbezogene Daten sind Angaben über eine bestimmte oder eine bestimmbare Person.

Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann.

Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit.

Und was sagt jetzt die DSGVO?

Mit dem Inkrafttreten der neuen Gesetzgebung wird auch der Begriff der personenbezogenen Daten neu definiert:

„Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“

Das Schlüsselwort ist hier identifizierbar. Identifizierbar ist alles, was direkt auf eine natürliche Person hinzeigt. Das sind zum Beispiel Name, Adresse, Geburtsdatum aber auch biometrische Informationen. Des Weiteren können dies Kennungen sein, anhand derer man eine Zuordnung ableiten kann, Standortdaten, eine Online-Kennung und viele weitere Möglichkeiten. Bei der Verarbeitung unterliegen diese den Grundsätzen der DSGVO. Die Grundsätze können in Artikel 5 der neuen Verordnung nachgelesen werden.

Anonymisierte Daten

Wenn Unternehmen die Möglichkeit haben, eine natürliche Person zu bestimmen, sind ihre Daten personenbezogen. Wenn die Identifizierung jedoch nur theoretisch erfolgen kann, gelten die Daten nicht als personenbezogen. Dies wird im Erwägungsgrund 26 der Verordnung deutlich.
Daten über eine Person lassen sich zum Beispiel anhand von Cookies oder IP-Adressen ermitteln. Denn: Das Setzen von Cookies macht eine Person identifizierbar, da das Verhalten der Person im Web getrackt werden kann und so Aufschluss über ihre Person und ihr (Online-)Verhalten gibt. Die Verordnung hat hierbei festgestellt, dass Personen durch solche Kennungen zugeordnet werden können. Auch Fotos und Videos sind personenbezogene Daten, deren Verarbeitung nur auf Basis eines Rechtsgrundes vollzogen werden darf.

Adressdaten

Adressdaten sind jene Daten, mit denen man eine natürliche Person erreichen kann. Das sind zum Beispiel Anschrift, E-Mail-Adresse oder die Telefonnummer. Auch die folgenden Daten gelten als personenbezogen:

  • Angabe von Arbeitszeiten
  • Kundennummern
  • Stimme
  • Testergebnisse
  • Zeugnisse

Übrigens: Personenbezogene Daten sind nicht nur virtuell. Auch auf dem Papier finden sich Daten von uns, die sich auf unsere Person beziehen, wie zum Beispiel das Abiturzeugnis.

Zusammenfassung

Insgesamt gibt es eine große Menge von Daten, die sich auf unsere Person beziehen lassen. Die neue DSGVO versucht, diese optimal zu schützen. Nächste Woche erfährst du hier mehr über die Verarbeitung von Daten über Cloud- und Serverhosting.