Alles Wichtige rund um personenbezogene Daten

Die viel diskutierte DSGVO regelt ab 2018 den Datenschutz auf europäischer sowie nationaler Ebene. Ihr Inhalt konzentriert sich dabei besonders auf personenbezogene Daten, die nach Meinung der Gesetzgeber wie auch Verbraucher als besonders schützenswert gelten. Demgegenüber stehen zahlreiche Wirtschaftsvertreter, die ihre maßgeblich auf Big Data basierende Wettbewerbskompetenz von den strengeren Regelungen bedroht sehen. Doch was fällt eigentlich unter die Kategorie der personenbezogenen Daten und auf welche Rechte können sich Betroffene berufen, wenn ihre privaten Informationen für wirtschaftliche Zwecke erhoben, gespeichert und weiterverarbeitet werden?

Was sind personenbezogene Daten?

Bei der Frage, was personenbezogene Daten sind, herrscht unter europäischen wie auch deutschen Juristen weitestgehend Einigkeit: Gemeint sind alle Daten und Informationen, die Einblicke in die Identität einer natürlichen Person zulassen – also in einen Menschen „aus Fleisch und Blut“. Diese Auffassung schließt also juristische Personen und Kapitalgesellschaften wie die GmbH aus, es sei denn, bei Gesellschafter und Geschäftsführer handelt es sich um dasselbe Individuum. Ferner lassen sich personenbezogene und sogenannte personenbeziehbare Daten voneinander abgrenzen: Erstere sind solche, die eindeutig mit einer Person assoziiert werden; letztere kann man einem bestimmten Menschen nur mit zusätzlichen Informationen und vertretbarem Mehraufwand zuordnen.

Beide Arten von Daten fallen jedoch gleichermaßen unter den Datenschutz. Früher war dieser im Bundesdatenschutzgesetz (jetzt BDSG-alt genannt) verankert. Seit dem 25. Mai 2018 gilt aber die DSGVO in allen Staaten der Europäischen Union als offiziell gültiges Datenschutzgesetz und ist somit auch der nationalen Gesetzgebung übergeordnet. Wirkliche Neuerungen zeigen sich aber nur im Detail: Bisherige Prinzipien bleiben erhalten, werden von der neuen Grundverordnung aber deutlicher formuliert und erweitert, etwa um striktere Meldepflichten im Falle von Datenklau sowie Richtlinien für den Datenschutz in noch zu entwickelnden innovativen Technologien (Stichwort „Privacy by Design“).

Mittels Öffnungsklauseln vermindert oder verstärkt die DSGVO darüber hinaus bestimmte Aspekte im Bundesdatenschutzgesetz, das als nationale juristische Flankierung weiterhin erhalten bleibt und nun als BSDG-neu bezeichnet wird. Strengere Regelungen gelten dabei besonders für die Erfassung, Speicherung und Verwertung von personenbezogenen Daten durch Unternehmen und Behörden. Zudem ist in der Verordnung nun eine allgemeingültige Definition für den bisher europaweit recht unterschiedlich ausgelegten Begriff festgeschrieben:

Definition

Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürlich Person („betroffene Person“) beziehen; als identifizierbar wird eine natürlich Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Original-Wortlaut aus Artikel 4 Ziffer 1 DSGVO).

Entsprechend dieser Definition existieren vielerlei Arten von personenbezogenen Daten, von denen in der folgenden Grafik einige mitsamt Beispielen vorgestellt werden. Die Übersicht kann und will dabei keinen Anspruch auf Vollständigkeit erheben.

Lassen sich Daten dagegen keinem bestimmten Menschen zuordnen, weil sie vollständig anonymisiert sind, müssen auch keine datenschutzrechtlichen Regeln beachtet werden. Problematisch ist es wiederum bei sogenannten pseudonymisierten Daten, die ebenfalls für die Bestimmung einer eindeutigen Bezugsperson herangezogen werden können, wenn man über das nötige Zusatzwissen verfügt. Im Zweifelsfall gilt deshalb immer das Gebot zur Vorsicht: Da es teilweise schwierig ist, personenbezogene von nicht personenbezogenen Daten zu unterscheiden, sollte man grundsätzlich vom ersteren ausgehen, um den Schutz von potenziell sensiblen Informationen zu gewährleisten. So gehen Datenschutzbehörden z. B. davon aus, dass selbst dynamische IP-Adressen zu den persönlichen Daten gehören, da sie dem jeweiligen Internetnutzer durch das Zusammenwirken von Access- und Service-Providern eindeutig zugeordnet werden können.

Welche besondere Arten personenbezogener Daten gibt es?

Neben den bereits aufgeführten Beispielen für persönliche Informationen definiert das Datenschutzgesetz auch noch „besondere“ personenbezogene Daten zu natürlichen Personen. Diese umfassen insbesondere:

  • ethnische und kulturelle Herkunft
  • politische, religiöse und philosophische Ansichten
  • Gesundheitszustand
  • sexuelle Orientierung
  • Gewerkschaftszugehörigkeit
  • Hinzu kommen laut Artikel 9 DSGVO genetische Informationen (z. B. DNS-Analysen) sowie biometrische Daten (z. B. Lichtbilder und Fingerabdrücke).

Aufgrund der Brisanz solcher Angaben sind die diesbezüglichen Sicherheitsvorschriften wesentlich strenger. Dementsprechend ist die Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO grundsätzlich untersagt, es sei denn, der Betroffene hat ausdrücklich darin eingewilligt (eine Einwilligungserklärung für die Verarbeitung allgemeiner personenbezogener Daten reicht nicht aus) oder es besteht ein berechtigtes öffentliches Interesse an diesen Informationen, z. B. im Rahmen einer strafrechtlichen Verfolgung. Während die Benennung eines professionellen Datenschutzbeauftragten normalerweise im Erwägen des Geschäftsführers liegt, ist sie bei der Verwertung besonderer personenbezogener Daten obligatorisch, wie ein im April 2018 veröffentlichtes Kurzpapier der Datenschutzkonferenz (DSK) darlegt.

Warum und wie müssen personenbezogene Daten geschützt werden?

Dass Internet-Großkonzerne wie Google und Facebook im großen Stil personenbezogene und personenbeziehbare Daten über ihre Nutzer sammeln, sollte inzwischen jedem bekannt sein. Sie verwenden diese zumeist, um individualisierte Werbung zu schalten und so wirtschaftliche Gewinne zu erzielen. Aber auch für die meisten anderen marktwirtschaftlich ausgerichteten Unternehmen stellt Big Data einen bedeutsamen, wenn nicht sogar den wichtigsten Wettbewerbsfaktor dar. So geben 46 Prozent von 500 deutschen Unternehmen in einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom an, dass personenbezogene Daten die Grundlage ihres Geschäftsmodells darstellen. Die Daten kommen dabei vor allem für die Optimierung von Vertriebsstrukturen und die Individualisierung von Marketingmechanismen zum Einsatz.

Dem steht ein zunehmend mündigerer und besser informierter Verbraucher gegenüber, der zurecht befürchtet, durch die Erstellung ausführlicher Nutzerprofile zum „gläsernen Menschen“ zu mutieren. Dieses Misstrauen gegenüber Unternehmen (und auch Behörden) zeigt sich auch in den Ergebnissen einer Studie des Mediendienstleisters SYZYGY: Darin hielten es nur 14 Prozent der Deutschen für lohnenswert, ihre personenbezogenen Daten im Austausch für ein personalisiertes Konsumerlebnis herauszugeben. Jeder vierte Befragte gab zudem an, bereits einem Onlineservice aus Angst, die Kontrolle über die eigene Privatsphäre zu verlieren, den Rücken gekehrt zu haben.

Immer wieder auftretende Fälle von Datenklau und Datenmissbrauch durch Phishing und den Einsatz von Trojanern befeuern diese Angst noch weiter. Denn je mehr sensible Informationen über ein Individuum im Umlauf sind – so die logische Schlussfolgerung –, desto größer ist die damit verbundene Gefahr für dessen finanzielle und soziale Existenz.

Die Datenschutzbestimmungen nehmen die „Datenkraken“ deshalb in die Verantwortung: Unternehmen und Behörden sind gesetzlich dazu verpflichtet, den Schutz der Informationen über ihre Nutzer und Kunden zu gewährleisten. Dies impliziert die Einhaltung der folgenden Grundsätze und Praktiken, die in der DSGVO festgelegt sind:

  • Rechtmäßigkeit der Datenverarbeitung: Das Sammeln, Speichern, Verwerten und Weitergeben von personenbezogenen Daten an Dritte ist nur mit ausdrücklicher Einwilligung des Betroffenen zulässig.
  • Transparenz: Unternehmen und Behörden stehen in einer umfassenden Rechenschafts-, Dokumentations- und Nachweispflicht. Auf Anfrage eines Betroffenen müssen sie Auskunft über sämtliche Bearbeitungsvorgänge bezüglich seiner personenbezogenen Daten erteilen.
  • Zweckbindung: Die Verwendung von Daten muss zu jedem Zeitpunkt zweckgebunden sein und darf nicht willkürlich erfolgen.
  • Datenminimierung: Organisationen sind dazu angehalten, nur die notwendigsten Daten für ihre Zwecke zu sammeln und die gespeicherte Informationsmenge im Allgemeinen gering zu halten (vergleiche die Prinzipien der Datenvermeidung und Datensparsamkeit im BDSG).
  • Richtigkeit der Datenverarbeitung: Gespeicherte Daten müssen stets korrekt und auf dem neuesten Stand sein und im Bedarfsfall aktualisiert werden.
  • Speicherbegrenzung: Es besteht eine regelmäßige Pflicht zur Löschung von Daten, wenn diese nicht mehr für den Zweck einer Organisation benötigt werden, unrechtmäßig gespeichert worden sind oder eine vorher festgelegte Verjährungsfrist abgelaufen ist.
  • Integrität und Vertraulichkeit: Unternehmen und Behörden müssen umfangreiche Maßnahmen zum internen Datenschutz ergreifen. Dazu gehört neben dem Einsatz von Verschlüsselungsprogrammen und Sicherheitssoftware auch die ausführliche Schulung von mit der Datenverarbeitung betrauten Mitarbeitern.

Verstöße gegen diese Grundsätze können gemäß Artikel 83 Absatz 5 DSGVO ein Bußgeld in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens nach sich ziehen – eine Regelung, die zwar einen finanziellen Anreiz zur Einhaltung der Richtlinien darstellt, aber dennoch keine absolute Sicherheit für personenbezogene Daten garantieren kann. Aus diesem Grund liegt es zuletzt am Verbraucher, seine Privatsphäre in Eigeninitiative zu schützen. So ist Datensparsamkeit auch beim Surfen im Internet ein wirkungsvoller Grundsatz. Weiterhin empfiehlt es sich, eingegebene Personen-, Adress- und Bankdaten nach Abschluss eines Online-Einkaufs wieder zu löschen oder zumindest zu verfälschen. Nicht zuletzt ergibt es außerdem Sinn, sich seiner Rechte gegenüber Unternehmen und Behörden bewusst zu sein.

Welche Rechte haben Betroffene, deren persönliche Daten gesammelt, gespeichert und verarbeitet werden?

Die DSGVO schreibt vor allem drei essenzielle Rechte fest, auf die sich Betroffene, deren persönliche Daten gesammelt, gespeichert und verarbeitet werden, berufen können:

Im europäischen Recht sind personenbezogene Daten grundsätzlich als das Eigentum eines Individuums aufzufassen. In Deutschland gilt dieses Recht auf informationelle Selbstbestimmung sogar als eines der allgemeinen Persönlichkeitsrechte, die durch Artikel 1 GG geschützt sind. Dies bedeutet in der Praxis, dass das Sammeln, Speichern, Verarbeiten und Weitergeben von Daten in jedem Fall nur mit der ausdrücklichen und aktiven Zustimmung des Betroffenen zulässig ist. Eine stillschweigende Anerkennung der Datenschutzpraxis eines Onlinedienstes ist also nicht ausreichend. Ebenso wenig ist eine sogenannte Kopplung erlaubt, bei der ein Unternehmen oder eine Behörde bestimmte Dienste nur gegen Einwilligung freigibt und dem Nutzer somit keine freie Wahl lässt.

Nach Artikel 15 DSGVO haben Betroffene außerdem grundsätzlich ein Auskunftsrecht gegenüber den Unternehmen und Behörden, denen sie ihre persönlichen Daten überlassen. Der Verbraucherzentrale Bundesverband (VZBV) bietet hierzu ein kurzes, formloses Musterschreiben als Word-Dokument zum Download an, das ganz einfach angepasst und ergänzt werden kann. Folgende explizite Fragen bieten sich an, um einen guten Überblick über Umfang und Vorgang einer Datenspeicherung zu erhalten:

  • Welche Daten werden über meine Person gespeichert?
  • Wo werden diese Daten gespeichert?
  • Auf welche Weise wurden diese Daten gesammelt?
  • Zu welchem Zweck wurden sie gespeichert?
  • An wen wurden meine Daten weitergegeben?

Obgleich Unternehmen und Behörden per Gesetz zu einer Auskunft verpflichtet sind, muss man in einigen Fällen mit Unwillen oder sogar Schikane rechnen, will man diese Fragen beantwortet bekommen. Hier lohnt sich Hartnäckigkeit: Indem man sich auf seine Rechte beruft, eine enge Frist setzt und in letzter Instanz damit droht, die zuständige Landesdatenschutzbehörde zu konsultieren, erhält man schlussendlich die Gewissheit, die einem zusteht. Und wenn man mit der Art und Weise der Datenerhebung nicht einverstanden ist, Informationen falsch oder veraltet sind oder gar widerrechtlich gespeichert oder weitergegeben wurden, kann man sein letztes juristisches Werkzeug zücken: das Recht auf Berichtigung, Löschung und Sperrung von Daten (Artikel 15 Absatz 1e DSGVO).

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.