Daten­schutz ist eines der wich­tigs­ten The­men in Zei­ten von Face­book, Coo­kies und E‑Mail-Mar­ke­ting. Vie­le Selbst­stän­di­ge nut­zen per­so­nen­be­zo­ge­ne Daten für Mar­ke­ting­zwe­cke und für die Opti­mie­rung ihrer Ange­bo­te. Dabei ist es wich­tig, auf den Schutz der Daten zu ach­ten und ins­be­son­de­re die per­so­nen­be­zo­ge­nen Daten zu schüt­zen. In die­sem Arti­kel klä­ren wir, was per­so­nen­be­zo­ge­ne Daten sind und wie sie zu schüt­zen sind.

Per­so­nen­be­zo­ge­ne Daten: Defi­ni­ti­on nach DSGVO

Nach der Daten­schutz-Grund­ver­ord­nung (Art. 4 Nr. 1 DSGVO ) sind per­so­nen­be­zo­ge­ne Daten, “Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen”. Als iden­ti­fi­zier­bar bezeich­net die DSGVO eine natür­li­che Per­son, “die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann”.

Was sind Ein­zel­an­ga­ben über eine Per­son?

Bei­spie­le für sol­che Ein­zel­an­ga­ben, die schüt­zens­wert sind:

  • Name, Alter, Fami­li­en­stand, Geburts­da­tum
  • Anschrift, Tele­fon­num­mer, E‑Mail Adres­se
  • Konto‑, Kre­dit­kar­ten­num­mer
  • Kraft­fahr­zeug­num­mer, Kfz-Kenn­zei­chen
  • Per­so­nal­aus­weis­num­mer, Sozi­al­ver­si­che­rungs­num­mer
  • Vor­stra­fen
  • gene­ti­sche Daten und Gesund­heits­da­ten
  • Wert­ur­tei­le wie zum Bei­spiel Zeug­nis­se

Beson­de­ren Schutz erfah­ren die soge­nann­ten sen­si­blen Daten. Das sind Daten wie Gesund­heits­da­ten, bio­me­tri­sche und gene­ti­sche Daten, Reli­gi­ons­zu­ge­hö­rig­keit etc gehö­ren zu den “beson­de­ren Kate­go­rien per­so­nen­be­zo­ge­ner Daten” des Art. 9 DSGVO, für die das Gesetz nur unter ganz bestimm­ten Vor­aus­set­zung, die Ver­ar­bei­tung erlaubt.

Gilt das auch für Ver­stor­be­ne, juris­ti­sche Per­so­nen oder Ver­ei­ne? 

Die Anga­ben müs­sen sich auf einen leben­den Men­schen bezie­hen. Die DSGVO regelt nicht die Ver­ar­bei­tung von Daten Ver­stor­be­ner. In den Erwä­gungs­grün­den der DSGVO heißt es dazu aus­drück­lich: “Die­se Ver­ord­nung gilt nicht für die per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner. Die Mit­glied­staa­ten kön­nen Vor­schrif­ten für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten Ver­stor­be­ner vor­se­hen.”

Ein­zel­an­ga­ben über juris­ti­sche Per­so­nen, wie zum Kapi­tal­ge­sell­schaf­ten oder ein­ge­tra­ge­ne Ver­ei­ne, sind kei­ne per­so­nen­be­zo­ge­nen Daten. Etwas ande­res gilt nur, wenn sich die Anga­ben auch auf die hin­ter der juris­ti­schen Per­son ste­hen­den (natür­li­che) Per­son bezie­hen, dann sind die­se Anga­be als per­so­nen­be­zo­ge­ne Daten zu behan­deln. Dies kann bei­spiels­wei­se bei der Ein-Mann-GmbH oder bei Ein­zel­kauf­leu­ten der Fall sein, da dort in der Regel enge finan­zi­el­le, per­sön­li­che oder wirt­schaft­li­che Ver­flech­tun­gen zwi­schen der natür­li­chen und der juris­ti­schen Per­son bestehen kön­nen.

Gehö­ren Kun­den­da­ten und Fotos zu per­so­nen­be­zo­ge­nen Daten?

Kun­den­da­ten gehö­ren zu den per­so­nen­be­zo­ge­nen Daten eben­so wie die Per­so­nal­da­ten von Beschäf­tig­ten. Per­so­nen­be­zo­ge­ne Kun­den­da­ten sind bei­spiels­wei­se Namen von Ansprech­part­nern oder E‑Mail-Kon­takt­da­ten.   Auch Fotos kön­nen per­so­nen­be­zo­ge­ne Daten ent­hal­ten. Jede Foto­gra­fie, auf der ein Mensch abge­bil­det ist, stellt ein per­so­nen­be­zo­ge­nes Datum dar. Jedoch sind sol­che Foto­gra­fien, die “durch natür­li­che Per­so­nen zur Aus­übung aus­schließ­lich per­sön­li­cher oder fami­liä­rer Tätig­kei­ten” gemacht wer­den, von der DSGVO aus­ge­nom­men. Dies betrifft ins­be­son­de­re Fotos, die zu rein pri­va­ten Zwe­cken auf einer Fami­li­en­fei­er oder auch einer Schul­ver­an­stal­tung gemacht wer­den. Wer­den die­se Fotos aller­dings auf einer frei zugäng­li­chen Web­sei­te einem unbe­schränk­ten Per­so­nen­kreis zugäng­lich gemacht, dann greift wie­der­um der Daten­schutz nach der DSGVO, weil die Ver­öf­fent­li­chung von Fotos nicht mehr einer per­sön­li­chen oder fami­liä­ren Ange­le­gen­heit im Sin­ne der DSGVO zuge­ord­net wer­den kann.

Iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re Per­so­nen

Um iden­ti­fi­zier­te Anga­ben über eine bestimm­te Per­son han­delt es sich, wenn die Daten mit dem Namen der betrof­fe­nen Per­son ver­bun­den sind oder sich aus dem Inhalt bzw. dem Zusam­men­hang der Bezug unmit­tel­bar her­stel­len lässt. Iden­ti­fi­zier­bar ist eine Per­son, wenn ihre Iden­ti­tät unmit­tel­bar oder mit­tels Zusatz­wis­sen fest­ge­stellt wer­den kann.

Ent­schei­dend für den Per­so­nen­be­zug einer Anga­be ist dabei die dar­in ent­hal­te­ne Infor­ma­ti­on. Spei­chert zum Bei­spiel das Sozi­al­amt ihren Namen und ihre Anschrift, ent­hält dies die Infor­ma­ti­on, dass sie ent­we­der in der Ver­gan­gen­heit, gegen­wär­tig oder für die Zukunft eine Sozi­al­leis­tung bean­tragt haben. Wird Ihr Name dem Gesund­heits­amt gemel­det, so kann dies die Infor­ma­ti­on beinhal­ten, dass Sie an einer mel­de­pflich­ti­gen Krank­heit erkrankt sind. In die­sem Ver­wen­dungs­zu­sam­men­hang wird die Anga­be Ihres Namens zu einer per­so­nen­be­zo­ge­nen Infor­ma­ti­on.

Ver­wen­dung von IP-Adres­sen: Wor­auf müs­sen Web­sei­ten­be­trei­ber ach­ten?

Nach dem Urteil des Euro­päi­schen Gerichts­hofs vom 19.10.2016 sind IP-Adres­sen, die mit­tel­bar oder unmit­tel­bar Per­so­nen­be­zug ent­hal­ten, als per­so­nen­be­zo­ge­ne Daten zu behan­deln. Für die Tele­kom­mu­ni­ka­ti­ons­an­bie­ter stel­len IP-Adres­sen näm­lich per­so­nen­be­zo­ge­ne Daten dar, weil die IP Adres­se einem bestimm­ten Inter­net­nut­zer (Kun­den) zuge­wie­sen wird und so ein Ver­wen­dungs­zu­sam­men­hang zwi­schen IP-Adres­se und Nut­zer her­ge­stellt wer­den kann. Somit liegt ein Per­so­nen­be­zug nur dann nicht vor, wenn die Iden­ti­fi­zie­rung der betref­fen­den Per­son prak­tisch nicht durch­führ­bar oder gesetz­lich ver­bo­ten ist.

Für einen Web­sei­ten-Inha­ber besitzt die IP-Adres­se einen Per­so­nen­be­zug, weil er ent­we­der eige­nes Zusatz­wis­sen nut­zen kann (z.B. wenn ein Nut­zer sein Kon­takt­for­mu­lar aus­füllt) oder weil ihm die recht­li­chen Mit­tel zur Ver­fü­gung ste­hen (z.B. bei Cyber­at­ta­cken oder Rechts­ver­let­zun­gen), Aus­kunft dar­über beim Tele­kom­mu­ni­ka­ti­ons­an­bie­ter zu erhal­ten. Da der Inha­ber einer Web­sei­te den Nut­zer iden­ti­fi­zie­ren kann, stel­len IP-Adres­sen für einen Web­sei­ten­in­ha­ber auch per­so­nen­be­zo­ge­ne Daten dar.

Anony­mi­sier­te und pseud­ony­mi­sier­te Daten

Bei anony­mi­sier­ten Daten han­delt es sich nicht um per­so­nen­be­zo­ge­ne Daten, weil hier die Bezugs­per­son weder iden­ti­fi­ziert noch iden­ti­fi­zier­bar ist. Bei pseud­ony­mi­sier­ten Daten kommt es auf das mög­li­che Zusatz­wis­sen an: Ist ent­spre­chen­des Zusatz­wis­sen vor­han­den und kann die Bezugs­per­son ermit­telt wer­den, ist das Daten­schutz­recht anwend­bar.