Datenschutz ist eines der wichtigsten Themen in Zeiten von Facebook, Cookies und E-Mail-Marketing. Viele Selbstständige nutzen personenbezogene Daten für Marketingzwecke und für die Optimierung ihrer Angebote. Dabei ist es wichtig, auf den Schutz der Daten zu achten und insbesondere die personenbezogenen Daten zu schützen. In diesem Artikel klären wir, was personenbezogene Daten sind und wie sie zu schützen sind.

Personenbezogene Daten: Definition nach DSGVO

Nach der Datenschutz-Grundverordnung (Art. 4 Nr. 1 DSGVO ) sind personenbezogene Daten, “Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”. Als identifizierbar bezeichnet die DSGVO eine natürliche Person, “die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann”.

Was sind Einzelangaben über eine Person?

Beispiele für solche Einzelangaben, die schützenswert sind:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Vorstrafen
  • genetische Daten und Gesundheitsdaten
  • Werturteile wie zum Beispiel Zeugnisse

Besonderen Schutz erfahren die sogenannten sensiblen Daten. Das sind Daten wie Gesundheitsdaten, biometrische und genetische Daten, Religionszugehörigkeit etc gehören zu den “besonderen Kategorien personenbezogener Daten” des Art. 9 DSGVO, für die das Gesetz nur unter ganz bestimmten Voraussetzung, die Verarbeitung erlaubt.

Gilt das auch für Verstorbene, juristische Personen oder Vereine? 

Die Angaben müssen sich auf einen lebenden Menschen beziehen. Die DSGVO regelt nicht die Verarbeitung von Daten Verstorbener. In den Erwägungsgründen der DSGVO heißt es dazu ausdrücklich: “Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.”

Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden (natürliche) Person beziehen, dann sind diese Angabe als personenbezogene Daten zu behandeln. Dies kann beispielsweise bei der Ein-Mann-GmbH oder bei Einzelkaufleuten der Fall sein, da dort in der Regel enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen können.

Gehören Kundendaten und Fotos zu personenbezogenen Daten?

Kundendaten gehören zu den personenbezogenen Daten ebenso wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.   Auch Fotos können personenbezogene Daten enthalten. Jede Fotografie, auf der ein Mensch abgebildet ist, stellt ein personenbezogenes Datum dar. Jedoch sind solche Fotografien, die “durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten” gemacht werden, von der DSGVO ausgenommen. Dies betrifft insbesondere Fotos, die zu rein privaten Zwecken auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Werden diese Fotos allerdings auf einer frei zugänglichen Webseite einem unbeschränkten Personenkreis zugänglich gemacht, dann greift wiederum der Datenschutz nach der DSGVO, weil die Veröffentlichung von Fotos nicht mehr einer persönlichen oder familiären Angelegenheit im Sinne der DSGVO zugeordnet werden kann.

Identifizierte oder identifizierbare Personen

Um identifizierte Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Identifizierbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Entscheidend für den Personenbezug einer Angabe ist dabei die darin enthaltene Information. Speichert zum Beispiel das Sozialamt ihren Namen und ihre Anschrift, enthält dies die Information, dass sie entweder in der Vergangenheit, gegenwärtig oder für die Zukunft eine Sozialleistung beantragt haben. Wird Ihr Name dem Gesundheitsamt gemeldet, so kann dies die Information beinhalten, dass Sie an einer meldepflichtigen Krankheit erkrankt sind. In diesem Verwendungszusammenhang wird die Angabe Ihres Namens zu einer personenbezogenen Information.

Verwendung von IP-Adressen: Worauf müssen Webseitenbetreiber achten?

Nach dem Urteil des Europäischen Gerichtshofs vom 19.10.2016 sind IP-Adressen, die mittelbar oder unmittelbar Personenbezug enthalten, als personenbezogene Daten zu behandeln. Für die Telekommunikationsanbieter stellen IP-Adressen nämlich personenbezogene Daten dar, weil die IP Adresse einem bestimmten Internetnutzer (Kunden) zugewiesen wird und so ein Verwendungszusammenhang zwischen IP-Adresse und Nutzer hergestellt werden kann. Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Für einen Webseiten-Inhaber besitzt die IP-Adresse einen Personenbezug, weil er entweder eigenes Zusatzwissen nutzen kann (z.B. wenn ein Nutzer sein Kontaktformular ausfüllt) oder weil ihm die rechtlichen Mittel zur Verfügung stehen (z.B. bei Cyberattacken oder Rechtsverletzungen), Auskunft darüber beim Telekommunikationsanbieter zu erhalten. Da der Inhaber einer Webseite den Nutzer identifizieren kann, stellen IP-Adressen für einen Webseiteninhaber auch personenbezogene Daten dar.

Anonymisierte und pseudonymisierte Daten

Bei anonymisierten Daten handelt es sich nicht um personenbezogene Daten, weil hier die Bezugsperson weder identifiziert noch identifizierbar ist. Bei pseudonymisierten Daten kommt es auf das mögliche Zusatzwissen an: Ist entsprechendes Zusatzwissen vorhanden und kann die Bezugsperson ermittelt werden, ist das Datenschutzrecht anwendbar.