In welchem Umfang ein Unternehmen dazu verpflichtet ist, Maßnahmen zum Datenschutz zu ergreifen, hängt ausschließlich davon ab, ob und wie es personenbezogene Daten erhebt oder verarbeitet. Allerdings verkörpern die „personenbezogenen Daten“ einen Begriff, mit dem sich zahlreiche Entscheider schwer tun. Für ein besseres Verständnis erläutern wir ihn nachfolgend im Detail.
Der eigentliche Begriff wurde vom Gesetzgeber präzise formuliert, wie §3 des Bundesdatenschutzgesetzes (BDSG) zu entnehmen ist:
”(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“
Aus dieser Definition leitet sich ein ganz wesentlicher Punkt ab: Nicht nur Informationen über eine Person, sonder ebenso Informationen, die sich mit ihr in Verbindung bringen lassen, sind als personenbezogene Daten zu betrachten. Wenn beispielsweise ein Shopbetreiber dokumentiert, welche Produkte ein bestimmter Kunde gekauft hat, handelt es sich aufgrund der bestehenden Personenverknüpfung um personenbezogene Daten.
Abgrenzung zwischen natürlicher und juristischer Person
Eine weitere und zudem entscheidende Ableitung aus dem Gesetz ist folgende: Es muss ein Bezug zu natürlichen Personen bestehen. Beziehen sich Daten hingegen auf juristische Personen, gelten sie nicht als personenbezogen. Somit kann das Datenschutzrecht nur Anwendung finden, wenn eindeutig Daten mit Personenbezug vorliegen. Es ist daher zu prüfen, ob solche Daten erfasst oder verarbeitet werden – und falls dies der Fall sein sollte, um welche Daten es sich dabei im Einzelnen handelt.
Die Unterscheidung zwischen einer natürlichen und einer juristischen Person gestaltet sich leicht.
Im Rechtssinn ist von einer natürlichen Person die Rede, sofern es sich bei ihr um einen lebenden Menschen handelt. Diesbezüglich spielt es keine Rolle, wie alt die Person ist, welchem Geschlecht sie angehört oder wie ihre Nationalität lautet. Die Behandlung von Daten mit einem Bezug zu Verstorbenen wird im Datenschutzrecht hingegen nicht berücksichtigt, weshalb der Datenschutz bei entsprechenden Daten nicht unmittelbar angewendet wird.
Im Gegensatz zu natürlichen Personen sind juristische Personen im echten Leben nicht anzutreffen, sie existieren nur im rechtlichen Sinne. Beispiele für juristische Personen sind Kapitalgesellschaften, Vereine oder Stiftungen. Informationen über juristische Personen gelten nicht als personenbezogen.
Dennoch gilt es beim Umgang mit Daten über juristische Personen vorsichtig zu sein. Es gibt Fälle, in denen ein Bezug zu natürlichen Personen besteht. Sollte beispielsweise aus Daten hervorgehen, welche Personen für ein Unternehmen arbeiten, liegt aufgrund der Verknüpfung wieder ein Personenbezug vor.
Einzelangaben über persönliche oder sachliche Verhältnisse
Der in §3 BDSG verwendete Begriff „Einzelangabe“ sorgt gelegentlich für Verwirrung. Er steht für jegliche Art von Information über eine Person, d.h. jede noch so unbedeutend erscheinende Information ist relevant, wenn ein Personenbezug besteht. Der Ausdruck „persönliche oder sachliche“ Verhältnisse ist für die Praxis nicht von Relevanz, er unterstreicht nur die Bedeutung der Einzelangabe. Übrigens ist es hinsichtlich des Datenschutzes egal, ob Informationen allgemein zugänglich sind oder ob sie hingegen unter Verschluss stehen.
Beispiele für Einzelangaben mit Personenbezug:
- Name
- Merkmale zur Identifikation (z.B. Geburtsort)
- Kontaktdaten (z.B. Anschrift)
- körperliche Merkmale (z.B. Haarfarbe)
- Verbindungen und Beziehungen (z.B. Hinweis auf den Arbeitgeber)
- Gesundheitsdaten (z.B. Hinweis auf körperliche Behinderung)
- weitere Daten (z.B. gekaufte Produkte)
Bestimmt oder bestimmbar
Nur wenn sich Daten auf eine bestimmte oder bestimmbare natürliche Person beziehen, gelten sie als personenbezogen. Die beiden Rechtsbegriffe werden nachfolgend erläutert:
Bestimmte Daten
Gestatten es, einen unmittelbaren Bezug zur jeweiligen Person herstellen, weil sie beispielsweise den Namen umfassen.
Bestimmbare Daten
Unter Umständen ist nicht sofort ersichtlich, auf welche konkrete Person sich die Daten beziehen. Allerdings ist es mithilfe von Zusatzwissen möglich, den Bezug schlussendlich doch herzustellen. Ein gutes Beispiel ist das Kfz-Kennzeichen, mit Unterstützung einer Behörde ließe sich der Personenbezug herstellen.
Zusatzwissen
In Unternehmen, die mit bestimmbaren Daten umgehen, kommt häufig die Frage nach der Relevanz des Zusatzwissens auf. Entscheider möchten wissen, ob Daten als bestimmbar gelten, wenn Zusatzwissen vorliegt oder erst, wenn es von dritter Seite zur Verfügung gestellt wird. Allerdings lässt sich diese Frage nicht so leicht beantworten, da selbst unter Experten verschiedene Meinungen vorherrschen.
Relevanter Personenbezug
Nach diesem Konzept spielt es eine Rolle, ob sich die betroffene Stelle (z.B. ein Mitarbeiter oder eine Abteilung) mit den Mitteln, die ihr zur Verfügung stehen, in der Lage befindet, den Personenbezug herzustellen. Liegen diese Mittel nicht unmittelbar vor und müssten sie mit einem verhältnismäßigen Aufwand beschafft werden, besteht ein relevanter Personenbezug.
Absoluter Personenbezug
Eine Bestimmbarkeit der Daten ist ausgeschlossen, wenn sich weder die Stelle noch andere Personen in der Lage befinden, überhaupt einen Personenbezug herzustellen. Es muss in der Theorie unmöglich sein, einen Personenbezug herzustellen.
In Verbindung mit diesen beiden verschiedenen Ansichten gab es bereits zahlreiche Streitfälle, über die Gerichte entscheiden mussten. Ein ganz typisches Beispiel ist der Umgang mit IP-Adressen. Die meisten Unternehmen können die Adressen keinen konkreten Personen zuordnen (relativer Personenbezug). Mit entsprechendem Zusatzwissen (das beispielsweise von einem Internetprovider stammt), wäre eine Zuordnung in zahlreichen Fällen jedoch möglich (absoluter Personenbezug).
Besondere Arten von personenbezogenen Daten
Es gibt personenbezogene Daten, die einem erhöhten und somit strengeren Schutz unterliegen. Hierbei handelt es sich um die „besonderen Arten personenbezogener Daten“. Sie sind in 3§ Abs. 9 BSDG definiert:
”(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“
Für Organisationen ist es wichtig, sensible Daten als solche eindeutig zu identifizieren, um einen sicheren Umgang mit ihnen gewährleisten zu können.
Pseudonyme und anonyme Daten
In der Praxis kommt es vor, dass Unternehmen mit Daten hantieren, die zuvor pseudonymisiert oder anonymisiert wurden. Entsprechende Anpassungen der Daten können die Bestimmbarkeit der betroffenen Personen erschweren oder sogar ausschließen. Im Hinblick auf den Datenschutz ist eine genaue Unterscheidung relevant. Es muss geklärt sein, ob die Daten noch als personenbezogen gelten oder ob dies nicht der Fall ist. Die Antwort dazu liefert §3 BDSG:
”(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“
”(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“
Somit gilt für anonymisierte Daten, dass die Bezugsperson weder bestimmt noch bestimmbar ist. Als Folge handelt es sich nicht mehr um personenbezogene Daten. Bei pseudonymisierten Daten ist die Situation eine andere. In Verbindung mit Zusatzwissen besteht die Möglichkeit einer Bestimmung. Ob die Daten schlussendlich als personenbezogene Daten zu betrachten sind, hängt von der Theorie ab, die Anwendung findet (relevanter Personenbezug oder absoluter Personenbezug).