Personenbezogene Daten: Begriff, Bedeutung und rechtlicher Rahmen
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person dann, wenn sie direkt oder indirekt, etwa über Namen, Nummern, Standortdaten, Online-Kennungen oder besondere Merkmale, bestimmt werden kann. Das Datenschutzrecht schützt diese Informationen, weil sie Rückschlüsse auf eine Person zulassen und deren Privatheit, Selbstbestimmung und Sicherheit betreffen.
Wesenskern des Begriffs
Der Begriff ist weit auszulegen. Er umfasst klassische Angaben wie Name, Anschrift und Geburtsdatum ebenso wie technische und digitale Informationen, beispielsweise IP-Adressen, Gerätekennungen, Cookies, Nutzungsprofile oder Standortverläufe. Maßgeblich ist, ob ein realistischer Bezug zu einer Person hergestellt werden kann, auch mittels zusätzlicher Informationen, die bei Dritten liegen können.
Abgrenzungen: anonym, pseudonym, aggregiert
Anonyme Daten sind Informationen, die nicht mehr einer Person zugeordnet werden können; sie unterfallen nicht dem Datenschutzrecht. Pseudonyme Daten sind mit Hilfsinformationen einer Person zuweisbar; sie bleiben rechtlich personenbezogen. Aggregierte Daten können personenbezogen sein, wenn aus der Zusammenfassung Rückschlüsse auf Einzelpersonen möglich bleiben, etwa bei kleinen Gruppen.
Kategorien personenbezogener Daten
Identifizierende Merkmale
Hierzu zählen Namen, Adressen, Kontaktdaten, Kennnummern, Ausweisdaten, Fotos, Stimmproben und andere eindeutige Zuordnungsmerkmale. Auch Kombinationen eher allgemeiner Informationen können zusammen eine Person bestimmen.
Nutzungs-, Verhaltens- und Kontextdaten
Dazu gehören Logfiles, Klickpfade, Suchanfragen, Standort- und Bewegungsdaten, Kommunikationsmetadaten, Geräte- und Browserinformationen sowie Kunden-, Vertrags- und Zahlungsdaten. Solche Daten geben Aufschluss über Gewohnheiten, Interessen und Interaktionen.
Besonders schutzwürdige Daten
Eine Untergruppe personenbezogener Daten gilt als besonders sensibel. Hierzu gehören Angaben, die Rückschlüsse auf Gesundheit, genetische und biometrische Merkmale, politische oder religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder Herkunft zulassen. Für deren Verarbeitung gelten erhöhte Anforderungen und Einschränkungen.
Verarbeitung personenbezogener Daten
Typische Verarbeitungsvorgänge
Verarbeiten umfasst jeden Umgang mit Daten: Erheben, Erfassen, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Abgleichen, Einschränken, Löschen oder Vernichten – unabhängig davon, ob automatisiert oder manuell.
Rollen und Verantwortlichkeiten
Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung. Ein Auftragsverarbeiter verarbeitet Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Zwischen beiden besteht eine vertragliche Zuordnung von Pflichten, etwa zur Datensicherheit, Vertraulichkeit und Unterstützung bei Betroffenenrechten.
Allgemeine Grundsätze
Das Datenschutzrecht verlangt eine rechtmäßige, faire und transparente Verarbeitung, die an festgelegte, eindeutige Zwecke gebunden ist. Es gilt das Gebot, nur so viele Daten zu verarbeiten, wie für den jeweiligen Zweck erforderlich, Daten sachlich richtig zu halten, sie nicht länger aufzubewahren als notwendig und sie durch geeignete Sicherheitsmaßnahmen zu schützen. Die Einhaltung dieser Grundsätze muss nachvollziehbar dokumentiert werden.
Rechtliche Grundlagen der Verarbeitung
Eine Verarbeitung ist rechtlich nur zulässig, wenn eine anerkannte Grundlage besteht. Typische Konstellationen sind Einwilligung der betroffenen Person, Erfüllung eines Vertrags, Erfüllung rechtlicher Pflichten, Schutz lebenswichtiger Interessen, Wahrnehmung von Aufgaben im öffentlichen Interesse sowie überwiegende berechtigte Interessen, sofern die Rechte der betroffenen Personen nicht entgegenstehen. Für besonders schutzwürdige Daten gelten zusätzliche, engere Voraussetzungen.
Rechte betroffener Personen
Auskunft, Berichtigung, Löschung
Betroffene können Auskunft über Ursprung, Kategorien, Zwecke, Empfänger und Speicherdauer ihrer Daten verlangen. Unrichtige Daten sind zu berichtigen. Unter bestimmten Voraussetzungen besteht ein Anspruch auf Löschung, insbesondere wenn der Zweck entfallen ist oder eine Einwilligung widerrufen wurde.
Einschränkung, Widerspruch und Datenübertragbarkeit
In definierten Fällen kann die Verarbeitung vorübergehend eingeschränkt werden. Gegen bestimmte Verarbeitungen, insbesondere solche auf Grundlage überwiegender berechtigter Interessen oder zu Direktmarketingzwecken, kann Widerspruch erhoben werden. Zudem besteht ein Recht auf Herausgabe in einem strukturierten, gängigen und maschinenlesbaren Format, um die Daten an einen anderen Anbieter zu übertragen, soweit dies technisch machbar ist.
Automatisierte Entscheidungen und Profilbildung
Entscheidungen, die ausschließlich automatisiert getroffen werden und rechtliche Wirkung entfalten oder Betroffene erheblich beeinträchtigen, unterliegen besonderen Beschränkungen. Es bestehen Schutzmechanismen, einschließlich Transparenzanforderungen und der Möglichkeit, eine menschliche Überprüfung zu verlangen. Profilbildung fällt unter dieselben Maßstäbe und bedarf besonderer Rechtfertigung, vor allem bei sensiblen Daten.
Transparenz, Information und Speicherdauer
Informationspflichten
Beim Erheben von Daten sind Betroffene klar, verständlich und vollständig zu informieren, unter anderem über Verantwortliche, Zwecke, Rechtsgrundlagen, Kategorien, Empfänger, Speicherfristen, Rechte und Kontaktmöglichkeiten. Erfolgt die Erhebung nicht direkt bei der betroffenen Person, gelten ergänzende Informationspflichten mit angemessenen Fristen und Ausnahmen.
Aufbewahrung und Löschung
Daten dürfen nur solange gespeichert werden, wie der Zweck dies erfordert. Danach sind sie zu löschen oder zu anonymisieren, sofern keine zwingenden Gründe der Aufbewahrung entgegenstehen, etwa zwingende gesetzliche Aufbewahrungszeiträume oder die Geltendmachung, Ausübung oder Verteidigung von Ansprüchen.
Datensicherheit und Datenschutzvorfälle
Technische und organisatorische Maßnahmen
Der Schutz personenbezogener Daten erfordert angemessene Sicherheitsmaßnahmen unter Berücksichtigung von Art, Umfang, Umständen und Risiken der Verarbeitung. Dazu zählen organisatorische Vorkehrungen und technische Schutzmechanismen, die Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen.
Meldungen und Benachrichtigungen
Bei Verletzungen des Schutzes personenbezogener Daten bestehen Meldepflichten gegenüber zuständigen Aufsichtsbehörden innerhalb kurzer Fristen, sofern ein Risiko für Rechte und Freiheiten von Personen besteht. Bei hohem Risiko sind auch die betroffenen Personen zu benachrichtigen, es sei denn, geeignete Schutzmaßnahmen machen dies entbehrlich.
Internationale Datenübermittlungen
Angemessenheit, Garantien, Ausnahmen
Die Übermittlung personenbezogener Daten in Staaten außerhalb des EWR ist nur zulässig, wenn dort ein angemessenes Schutzniveau gewährleistet ist. Dies kann durch generelle Anerkennung, durch vertragliche Garantien, verbindliche interne Regeln in Unternehmensgruppen oder andere geeignete Sicherungen erreicht werden. In besonderen Situationen kommen eng begrenzte Ausnahmen in Betracht.
Besonderheiten nach Kontext
Beschäftigtendaten
Im Arbeitsverhältnis werden Daten zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses verarbeitet. Es gelten spezifische Schutzanforderungen, etwa bei Leistungs- und Verhaltenskontrollen, internen Ermittlungen oder bei der Nutzung betrieblicher IT-Systeme.
Kinder und Jugendliche
Für personenbezogene Daten von Minderjährigen gelten erhöhte Schutzanforderungen. Einwilligungen bedürfen je nach Alter zusätzlicher Mitwirkung der Sorgeberechtigten. Informationen müssen besonders klar und altersgerecht formuliert sein.
Forschung, Statistik, Archiv
Für wissenschaftliche oder historische Forschung und für statistische Zwecke bestehen spezielle Regelungen, die eine Verarbeitung unter erweiterten Sicherungen ermöglichen. Dazu gehören strenge Zweckbindung, Datenminimierung, Zugriffsbeschränkungen und vorzugsweise Pseudonymisierung.
Medien und Meinungsfreiheit
Zur Wahrung der Informations- und Kommunikationsfreiheiten gelten abgestufte Sonderregelungen für journalistische, künstlerische und literarische Zwecke, die bestimmte Pflichten modifizieren oder ausnehmen können.
Aufsicht, Verantwortung und Sanktionen
Aufsichtsbehörden
Unabhängige Behörden überwachen die Einhaltung des Datenschutzrechts. Sie bearbeiten Beschwerden, beraten, führen Prüfungen durch und können Anordnungen treffen.
Sanktionsrahmen und Rechtsbehelfe
Bei Verstößen drohen abgestufte Maßnahmen, von Verwarnungen und Anordnungen bis zu erheblichen Geldbußen. Betroffene verfügen über Beschwerde- und Klagemöglichkeiten sowie Ansprüche auf Schadensersatz nach Maßgabe der gesetzlichen Voraussetzungen.
Häufig gestellte Fragen
Was sind personenbezogene Daten im rechtlichen Sinn?
Es handelt sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbarkeit kann direkt, etwa über den Namen, oder indirekt über Kombinationen von Merkmalen bestehen, einschließlich technischer Kennungen.
Sind IP-Adressen und Online-Kennungen personenbezogene Daten?
Ja, soweit sie den Bezug zu einer Person herstellen oder herstellen können. Dies gilt insbesondere, wenn der Verantwortliche oder Dritte über Mittel verfügen, die eine Zuordnung ermöglichen, etwa im Rahmen von Protokollen, Kundenkonten oder Gerätebezügen.
Worin besteht der Unterschied zwischen Pseudonymisierung und Anonymisierung?
Pseudonymisierung ersetzt Identifikatoren durch Kennzeichen, die mit Zusatzwissen wieder einer Person zugeordnet werden können; die Daten bleiben personenbezogen. Anonymisierung entfernt den Personenbezug so, dass eine Re-Identifikation mit vertretbarem Aufwand nicht mehr möglich ist; solche Daten fallen regelmäßig nicht unter das Datenschutzrecht.
Dürfen personenbezogene Daten ohne Einwilligung verarbeitet werden?
Eine Einwilligung ist eine mögliche Grundlage, aber nicht die einzige. Die Verarbeitung kann auch auf anderen zulässigen Grundlagen beruhen, etwa zur Vertragserfüllung, zur Erfüllung gesetzlicher Pflichten, zur Wahrnehmung von Aufgaben im öffentlichen Interesse, zum Schutz lebenswichtiger Interessen oder auf überwiegenden berechtigten Interessen, sofern die Rechte der Betroffenen gewahrt bleiben.
Welche Rechte haben Betroffene gegenüber dem Verantwortlichen?
Betroffene haben insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch sowie auf Datenübertragbarkeit. Bei ausschließlich automatisierten Einzelentscheidungen bestehen zusätzliche Schutzansprüche, einschließlich Transparenz und Überprüfung.
Was zählt zu besonders schutzwürdigen Daten und welche Folgen hat das?
Dazu gehören Daten, die Rückschlüsse auf Gesundheit, genetische und biometrische Merkmale, Herkunft, politische oder religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder sexuelle Orientierung zulassen. Für die Verarbeitung gelten erhöhte Hürden und zusätzliche Sicherungen.
Unter welchen Voraussetzungen ist eine Datenübermittlung in Drittländer zulässig?
Erforderlich ist ein angemessenes Schutzniveau im Empfängerland oder geeignete Garantien, etwa vertragliche Sicherungen oder verbindliche interne Regeln. Nur in eng begrenzten Ausnahmesituationen ist eine Übermittlung ohne solche Sicherungen möglich.
