Begriff und Einordnung
„Daten, persönliche“ (häufig als „personenbezogene Daten“ bezeichnet) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person bereits dann, wenn sie direkt oder indirekt, etwa über Namen, Kennnummern, Standortdaten, Online-Kennungen oder besondere Merkmale, zugeordnet werden kann. Maßgeblich ist die tatsächliche Möglichkeit der Zuordnung, nicht nur eine theoretische Option.
Nicht alle Informationen sind erfasst: Vollständig anonymisierte Angaben, die sich auf keine Person mehr beziehen lassen, fallen nicht darunter. Dagegen bleiben pseudonymisierte Daten rechtlich personenbezogen, solange eine Re-Identifizierung mit vertretbarem Aufwand möglich ist.
Abgrenzung zu anonymen und pseudonymen Daten
Anonyme Daten lassen keinen Personenbezug mehr zu; sie unterliegen daher nicht den Regeln zum Schutz personenbezogener Daten. Pseudonyme Daten ersetzen identifizierende Merkmale durch ein Kennzeichen; der Bezug zur Person kann jedoch mit zusätzlichem Wissen wiederhergestellt werden. Deshalb gelten für pseudonyme Daten die Schutzvorgaben für personenbezogene Daten weiter.
Arten personenbezogener Daten
Allgemeine personenbezogene Daten
Hierzu zählen Basisangaben wie Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtsdatum oder Kundennummern. Auch Fotos, Tonaufnahmen oder Videoausschnitte sind erfasst, wenn Personen erkennbar sind.
Besondere Kategorien personenbezogener Daten
Bestimmte Angaben genießen einen erhöhten Schutz, etwa zu Gesundheit, genetischen und biometrischen Merkmalen, ethnischer Herkunft, religiösen oder weltanschaulichen Überzeugungen, politischen Meinungen, Gewerkschaftszugehörigkeit oder Sexualleben. Ihre Verarbeitung ist nur unter zusätzlichen, engen Voraussetzungen zulässig.
Online-Kennungen und Verhaltensdaten
Dazu gehören IP-Adressen, Cookie-IDs, mobile Werbe-IDs, Geräte- und Browserkennungen sowie Nutzungs-, Bewegungs- und Interaktionsdaten. Auch wenn diese nicht unmittelbar einen Namen enthalten, gelten sie als personenbezogen, sofern ein Bezug zu einer Person herstellbar ist.
Rechtliche Grundprinzipien
Zweckbindung und Transparenz
Personenbezogene Daten dürfen nur für klar festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet werden. Betroffene sind darüber in verständlicher Form zu informieren, unter anderem über Zwecke, Kategorien von Daten, Empfänger, Speicherdauer und Rechte.
Datenminimierung und Richtigkeit
Es sollen nur diejenigen Daten erhoben und genutzt werden, die für den jeweiligen Zweck erforderlich sind. Daten müssen sachlich richtig und auf dem aktuellen Stand gehalten werden.
Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke ihrer Verarbeitung notwendig ist. Danach sind sie zu löschen oder zu anonymisieren, sofern keine rechtlichen Aufbewahrungspflichten entgegenstehen.
Integrität, Vertraulichkeit und Rechenschaft
Verarbeitungen müssen durch angemessene technische und organisatorische Maßnahmen geschützt werden. Verantwortliche müssen die Einhaltung der Grundsätze nachweisen können (Rechenschaftspflicht).
Zulässigkeit der Verarbeitung
Einwilligung
Eine Verarbeitung kann auf einer vorherigen, freiwilligen, informierten und eindeutigen Einwilligung beruhen. Sie bezieht sich auf bestimmte Zwecke und kann für die Zukunft widerrufen werden.
Vertrag und vorvertragliche Maßnahmen
Die Verarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
Rechtliche Pflichten und öffentliche Aufgaben
Erlaubt ist die Verarbeitung, wenn sie zur Erfüllung gesetzlicher Pflichten oder zur Wahrnehmung von Aufgaben im öffentlichen Interesse notwendig ist.
Berechtigte Interessen
Verarbeitungen können auf überwiegende berechtigte Interessen gestützt werden, soweit diese nicht durch die Interessen oder Grundrechte der betroffenen Person überlagert werden. Eine Abwägung ist hierbei wesentlich.
Besondere Anforderungen bei besonderen Kategorien
Für besonders schützenswerte Daten gelten zusätzliche Hürden. Eine Verarbeitung kommt nur unter eng umgrenzten Voraussetzungen in Betracht, etwa wenn ein ausdrücklicher Rechtsgrund vorliegt oder ein erhebliches öffentliches Interesse besteht.
Rollen und Verantwortlichkeiten
Verantwortliche Stelle
Die verantwortliche Stelle entscheidet über Zwecke und Mittel der Verarbeitung. Sie trägt die Hauptverantwortung für Rechtmäßigkeit, Transparenz, Datensicherheit und die Wahrung der Betroffenenrechte.
Auftragsverarbeiter
Auftragsverarbeiter verarbeiten Daten im Auftrag der verantwortlichen Stelle auf Grundlage eines Vertrages, der Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Sicherheitsmaßnahmen festlegt.
Gemeinsame Verantwortlichkeit
Treffen mehrere Stellen gemeinsam Entscheidungen über Zwecke und Mittel, sind sie gemeinsam verantwortlich und legen transparent fest, wer welche Pflichten erfüllt.
Datenschutzbeauftragte
In bestimmten Konstellationen ist eine interne oder externe Ansprechperson für Datenschutz zu benennen. Sie überwacht die Einhaltung der Vorgaben und fungiert als Kontaktstelle für Aufsichtsbehörden und Betroffene.
Rechte betroffener Personen
Auskunft und Transparenz
Betroffene können Auskunft über Ursprung, Zwecke, Kategorien, Empfänger, Speicherdauer und wesentliche Verarbeitungsaspekte verlangen, einschließlich einer Kopie der verarbeiteten Daten, soweit dies die Rechte anderer nicht beeinträchtigt.
Berichtigung und Löschung
Unrichtige oder unvollständige Daten können berichtigt werden. Unter bestimmten Voraussetzungen besteht ein Anspruch auf Löschung, etwa wenn der Verarbeitungszweck weggefallen ist.
Einschränkung, Widerspruch, Portabilität
Die Verarbeitung kann in bestimmten Fällen eingeschränkt werden. Gegen Verarbeitungen auf Basis überwiegender Interessen kann Widerspruch erhoben werden. Darüber hinaus besteht ein Anspruch auf Übertragung bestimmter Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
Nicht ausschließlich automatisierte Entscheidungen
Es besteht Schutz vor Entscheidungen, die ausschließlich automatisiert erfolgen und rechtliche Wirkung entfalten oder Betroffene erheblich beeinträchtigen. Transparenz, Erläuterung der Logik und die Möglichkeit menschlicher Überprüfung spielen dabei eine Rolle.
Informationspflichten
Beim Erheben personenbezogener Daten sind Betroffene klar und verständlich zu informieren. Dies umfasst unter anderem Identität der verantwortlichen Stelle, Zwecke der Verarbeitung, Rechtsgrundlagen, Empfänger oder Kategorien von Empfängern, Speicherdauer oder Kriterien für deren Festlegung, Rechte der Betroffenen sowie gegebenenfalls Übermittlungen in Drittländer.
Sicherheit, Risiko und Datenschutz-Folgenabschätzung
Technische und organisatorische Maßnahmen
Die Sicherheit personenbezogener Daten wird durch Maßnahmen wie Zugriffskontrollen, Verschlüsselung, Pseudonymisierung, Protokollierung, Backup-Strategien und Berechtigungskonzepte gewährleistet, angemessen zum Risiko der Verarbeitung.
Datenschutzverletzungen und Meldungen
Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn es zu einer Verletzung der Sicherheit kommt, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang führt. In bestimmten Fällen bestehen Meldepflichten gegenüber Aufsichtsbehörden und Benachrichtigungspflichten gegenüber Betroffenen.
Folgenabschätzung bei hohem Risiko
Für Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten von Personen ist vorab eine strukturierte Bewertung der Risiken und Schutzmaßnahmen vorgesehen.
Übermittlungen in Drittländer
Die Weitergabe personenbezogener Daten in Staaten außerhalb des Europäischen Wirtschaftsraums setzt ein angemessenes Schutzniveau voraus. Dieses kann sich aus einer behördlichen Angemessenheitsfeststellung oder aus geeigneten Garantien ergeben. In Ausnahmefällen sind Übermittlungen auf besondere Konstellationen gestützt möglich.
Besonderheiten in bestimmten Kontexten
Kinder und Jugendliche
Für Minderjährige gelten erhöhte Anforderungen an Transparenz und Einwilligung. Altersgrenzen und Einbeziehung der Sorgeberechtigten können je nach nationalen Vorgaben variieren.
Beschäftigtendaten
Im Arbeitsverhältnis gelten spezielle Regeln, die die berechtigten Interessen des Arbeitgebers an der Durchführung des Beschäftigungsverhältnisses mit dem Schutz der Persönlichkeitsrechte der Beschäftigten ausgleichen.
Forschung und Statistik
Für wissenschaftliche, historische und statistische Zwecke bestehen Erleichterungen, die allerdings an strenge Sicherungsmaßnahmen und Zweckbindungen geknüpft sind.
Aufbewahrung und Löschung
Speicherfristen richten sich nach dem Zweck der Verarbeitung und etwaigen gesetzlichen Aufbewahrungspflichten. Nach Fristablauf sind Daten zu löschen oder zu anonymisieren; in Archiven kann eine weitere Speicherung unter besonderen Sicherungen zulässig sein.
Aufsicht und Sanktionen
Unabhängige Aufsichtsbehörden überwachen die Einhaltung der Datenschutzvorgaben. Ihnen stehen Prüf- und Anordnungsbefugnisse zur Verfügung. Verstöße können zu Verwarnungen, Anordnungen und spürbaren Geldbußen führen.
Beziehung zu anderen Rechtsgebieten
Der Schutz personenbezogener Daten wirkt mit Regelungen des Kommunikations- und Telemedienschutzes, des Verbraucherschutzes, des Wettbewerbsrechts, des Arbeitsrechts sowie mit straf- und zivilrechtlichen Bestimmungen zusammen. Je nach Sachverhalt können mehrere Regelwerke parallel Anwendung finden.
Häufig gestellte Fragen
Wann gelten Daten als personenbezogen?
Daten gelten als personenbezogen, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Identifizierbarkeit liegt auch vor, wenn die Zuordnung indirekt möglich ist, etwa über Kennnummern, Standortdaten, Online-Kennungen oder Merkmalskombinationen.
Sind IP-Adressen personenbezogene Daten?
IP-Adressen können personenbezogene Daten sein, wenn sie eine Identifizierung ermöglichen oder mit weiteren Informationen verknüpft werden können, die einen Bezug zu einer bestimmten Person herstellen.
Was unterscheidet anonymisierte von pseudonymisierten Daten rechtlich?
Anonymisierte Daten lassen keinen Personenbezug mehr zu und fallen nicht unter die Schutzvorgaben für personenbezogene Daten. Pseudonymisierte Daten bleiben personenbezogen, weil eine Re-Identifizierung mit zusätzlichem Wissen möglich ist.
Welche Rechte stehen betroffenen Personen zu?
Betroffenen stehen insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen bestimmte Verarbeitungen zu. Zudem besteht Schutz vor ausschließlich automatisierten Entscheidungen mit erheblicher Wirkung.
Unter welchen Voraussetzungen ist eine Einwilligung wirksam?
Eine Einwilligung muss freiwillig, informiert, eindeutig und zweckgebunden erfolgen. Sie bezieht sich auf klar benannte Verarbeitungen und kann für die Zukunft widerrufen werden.
Dürfen personenbezogene Daten in Staaten außerhalb der EU übermittelt werden?
Eine Übermittlung ist zulässig, wenn ein angemessenes Schutzniveau besteht oder geeignete Garantien vorgesehen sind. In besonderen Situationen sind Ausnahmen möglich, die an zusätzliche Bedingungen geknüpft sind.
Was passiert bei einer Datenschutzverletzung?
Bei einer Verletzung des Schutzes personenbezogener Daten bestehen je nach Risiko Meldepflichten gegenüber Aufsichtsbehörden und Benachrichtigungspflichten gegenüber betroffenen Personen. Ziel ist es, Transparenz zu schaffen und Risiken zu mindern.
