Personenbezogene Daten

Verknüpfung zwischen Person und Daten
Jede personenbezogene Angabe erfordert, dass sie sich einer konkreten Person zuordnen lässt. Was sich im ersten Moment logisch anhört, hat bei genauem Hinsehen jedoch eine große Wirkung. Denn es ist nicht erforderlich, dass nur ein bestimmter Personenkreis diese Zuordnung herstellen kann. Wichtig ist einzig, dass sich diese Zuordnung herstellen lässt, auch wenn die Verknüpfung nicht öffentlich bekannt ist.

Als Beispiel, die Aussage „Die Augenfarbe der Bundeskanzlerin ist blaugrau“. Die personenbezogene Angabe ist in diesem Fall die Augenfarbe. Und auch wenn der Name von Frau Merkel hier nicht explizit genannt wird, genügt die Angabe „die Bundeskanzlerin“, um eine Verknüpfung herzustellen. Unerheblich ist dabei, ob die Kanzlerin einer Person bekannt ist.

Personenbezogene Daten im Unternehmen
Geburtsdatum, Anschrift und die Nummer des Personalausweises gelten als personenbezogene Daten. Sie lassen sich in der Regel einer bestimmten Person zuordnen. Schon aus diesem Grunde sind alle Angaben über die Mitarbeiter eines Unternehmens personenbezogene Daten.

In gleicher Weise gilt dies für den restlichen Datenbestand eines Unternehmens. Im ERP-Bereich fallen vor allem CRM-Systeme ins Auge. Aus den hier vorliegenden Daten könnte beispielsweise abgeleitet werden, dass Herr Max Mustermann gerne Sportkleidung einer bestimmten Marke kauft. Da sich eine direkte Zuordnung zwischen dem Kaufverhalten und der Person herstellen lässt, zählt auch eine solche Angabe zu den personenbezogenen Daten.

Nicht immer sind personenbezogene Daten auf Anhieb erkennbar
Manchmal kommt es vor, dass die Zugehörigkeit bestimmter Angaben zu der Gruppe personenbezogener Daten nicht sofort erkennbar ist. Dies liegt insbesondere daran, dass der einzelne gar nicht in der Lage ist, aus einer Angabe auf eine konkrete Person zu schließen. Erwähnenswert ist hier die IP-Adresse. Niemand - außer dem Anbieter des Internetzugangs, kann hier die Verknüpfung herstellen. Selbst die Ermittlungsbehörden sind im Falle eines Rechtsverstoßes auf dessen Mitwirkung angewiesen. Doch aus rechtlicher Sicht zählt auch diese Angabe zu den personenbezogenen Daten, da sich eben eine solche Beziehung ermitteln lässt. Wer dies letztlich kann, ist unerheblich.

Personenbezogene Daten und die Datenschutz-Grundverordnung
Die neue Datenschutz-Grundverordnung (DSGVO) ist ein Regelwerk zur Verarbeitung personenbezogener Daten. Darum sind diese Daten der Kern der gesamten DSGVO. Dies wird allein schon aus der Definition des Begriffes „personenbezogene Daten“ ersichtlich, die in der Verordnung erheblich weiter gefasst ist als im bisherigen Bundesdatenschutzgesetz. Während das BDSG lediglich von „Einzelangaben über persönliche oder sachliche Verhältnisse“ spricht, wird die DSGVO in Artikel 4 an dieser Stelle sehr konkret:

„[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Die DSGVO regelt den Umgang mit personenbezogenen Daten sehr detailliert. Dadurch unterliegt deren Verarbeitung in Bereichen größeren Einschränkungen, als dies bisher aufgrund der Datenschutzgesetze der Fall war. Doch gehen aus der DSGVO im Vergleich zum bisherigen Bundesdatenschutzgesetz, nur kleinere Neuregelungen hervor. Dennoch gewinnt der Datenschutz europaweit nun in vielen Unternehmen eine angemessene Aufmerksamkeit, nicht zuletzt durch die drastisch gestiegenen Bußgelder und die ausdrückliche Ahndung jedes Verstoßes.

​➔ Cookies