Inbound Marketing Blog

DSGVO - So definieren sich personenbezogene Daten

Was sind personenzogene Daten

Ob soziale Medien, staatliche Institutionen oder private Unternehmen: sie alle sammeln und speichern täglich eine unberechenbar große Menge an personenbezogenen Daten. Die Datenschutzgrundverordnung, welche seit Mai 2018 wirksam ist, soll diese besser schützen und kommt bei Verstößen gegen die Datensicherheit mit hohen Sanktionen. Gerade deshalb sollten Unternehmen sich darüber informieren, was genau unter den Begriff “personenbezogene Daten” fällt. Denn obwohl dieser im Gesetz theoretisch definiert ist, ist die Auslegung in der Praxis bisweilen noch mit Schwierigkeiten verbunden.

Dass das Inbound Marketing auf die Verarbeitung persönlicher Daten ausgelegt ist, dürfte für Sie keine neue Information sein. Dass es damit zukünftig stark von der neuen Datenschutzgrundverordnung beeinflusst wird, dagegen vielleicht schon.       

Artikel 2 der DSGVO besagt:

“[Die Datenschutzgrundverordnung] gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.”

Sind Sie bereit für die DSGVO? Prüfen Sie es mit unserer Checkliste!

Definition personenbezogene Daten

Gesetzlich definiert wird der Begriff “personenbezogene Daten” in Artikel 4 der DSGVO als “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen”.

Klingt das noch sehr nach Beamtensprache, wird §3 Abs. 1 des Bundesdatenschutzgesetzes schon etwas konkreter:

“Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)”

Doch auch hier fragt man sich, welche Kriterien Personen als natürlich sowie bestimmt (identifiziert) oder bestimmbar (identifizierbar) klassifizieren.

Natürliche Personen

Daten gelten nur dann als personenbezogen, wenn sie sich auf eine natürliche Person beziehen. Natürlich ist dabei eine lebende Person unabhängig ihrer Herkunft. Auch wenn es sich bei der DSGVO um eine EU-weite Verordnung handelt, gilt die Bestimmung weltweit. Ausschlaggebend ist lediglich die Verarbeitung von Daten von EU-Bürgern.

Juristische Personen wie Gesellschaften, Vereine oder Stiftungen fallen nicht unter die Definition und sind damit nicht durch die DSGVO geschützt.

Eine Regelung für Verstorbene ist bisher nicht in der DSGVO zu finden.

Identifizierte oder identifizierbare Personen

Identifiziert wird hier mit bestimmt gleichgesetzt und identifizierbar mit bestimmbar. In diesem Zusammenhang muss man immer die Frage stellen, ob eine gegebene Information einer bestimmten Person zuzuordnen ist oder ob dies mit Zusatzinformationen möglich wäre.

Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann.

Ist dies nicht direkt, jedoch mit Zusatzwissen möglich, handelt es sich um eine identifizierbare Person. Dieses Zusatzwissen müssen Sie nicht zwangsweise selbst besitzen, es kann auch von Drittpersonen kommen.

Ein Personenbezug kann dabei vor allem häufig bei Personen in sensiblen Ämtern nicht hergestellt werden oder wenn die bestimmte Information unter ärztliche oder juristische Schweigepflicht fällt.

DSGVO Checkliste jetzt kostenfrei downloaden

Welche Daten zählen dazu?

Grundsätzlich fallen alle Daten unter die personenbezogenen Daten, mit deren Hilfe ein Personenbezug hergestellt werden kann.

Artikel 4 der DSGVO spricht dabei von einer Zuordnung einer Person “zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind”.

Klassisch gehören dazu also beispielsweise:

  • Name
  • Adresse
  • Telefonnummer
  • die Kreditkarten- oder Personalnummer
  • Autokennzeichen
  • Kontodaten
  • Online-Daten wie IP-Adresse oder Standortdaten

Und auch physische Daten wie das Aussehen fallen unter die personenbezogenen Daten. Darüber hinaus sind es Sachverhalte wie die Staats- oder Religionszugehörigkeit oder eine Mitgliedschaft in einem Verein.

Bei anonymisierten Daten ist die betroffene Person weder identifiziert noch identifizierbar, sie zählen also nicht zu den personenbezogenen Daten. Dies ist zum Beispiel bei einer politischen Wahl der Fall.

Pseudonymisierte Daten dagegen fallen unter die personenbezogenen Daten, sobald Zusatzwissen vorliegt, mit dessen Hilfe die Daten wieder der ursprünglichen Person zugeordnet werden könnten.

Fazit

Der Artikel zeigt es: personenbezogene Daten gehen weiter, als so mancher vielleicht gedacht hätte. Dabei ist dieses Wissen gerade in Bezug auf die Datenschutz Grundverordnung (DSGVO) enorm wichtig. Denn nur die Unternehmen, die alle betroffenen Daten entsprechend schützen, sind vor Sanktionen sicher und können weiterhin von der Verarbeitung der persönlichen Daten profitieren.

Übrigens: Inbound Marketing und Datenschutz schließen sich nicht aus – im Gegenteil. Erfahren Sie hier mehr dazu!

 

Rechtlicher Hinweis:

Diese rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet. Wir weisen Sie deshalb darauf hin, dass Sie bei Beratungsbedarf über Ihre Auslegung dieser Informationen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten. Sie dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.

 

Foto:

© ESB Professional/Shutterstock.com

Themen: DSGVO