Definition und Grundlagen personenbezogener Daten
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sie bilden in sämtlichen Datenschutzregelungen das zentrale Schutzgut. Aufgrund ihrer Bedeutung für die Privatsphäre und das Persönlichkeitsrecht werden sie in Europa sowie weltweit umfassend rechtlich geschützt. Die genaue Definition und die rechtlichen Rahmenbedingungen unterscheiden sich je nach Rechtsordnung, doch das Ziel bleibt der Schutz vor unbefugter Verarbeitung und einem Missbrauch dieser Daten.
Begriffliche Abgrenzung
Laut Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sind personenbezogene Daten:
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen“.
Eine identifizierbare natürliche Person ist dabei eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.
Arten personenbezogener Daten
Allgemeine personenbezogene Daten
Zu den allgemeinen personenbezogenen Daten gehören etwa Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse oder Ausweisdaten. Diese Informationen ermöglichen häufig bereits allein oder in ihrer Gesamtheit eine Identifizierung.
Besondere Kategorien personenbezogener Daten
Ein besonderer Schutz gilt für die sogenannten „besonderen Kategorien personenbezogener Daten“ gemäß Art. 9 DSGVO. Hierunter fallen unter anderem:
- Angaben zur rassischen und ethnischen Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische und biometrische Daten (zur eindeutigen Identifikation)
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Die Verarbeitung dieser Daten ist grundsätzlich untersagt, es sei denn, es liegt eine ausdrückliche Einwilligung oder eine gesetzliche Grundlage vor.
Anonyme und pseudonyme Daten
Daten gelten als anonymisiert, wenn ein Personenbezug nach menschlichem Ermessen nicht mehr hergestellt werden kann. Pseudonyme Daten lassen zwar keinen unmittelbaren Rückschluss auf eine Person zu, können aber bei Vorliegen zusätzlicher Informationen wieder einer Person zugeordnet werden.
Rechtliche Grundlagen und Regelungen
Datenschutz-Grundverordnung (DSGVO, EU)
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist die maßgebliche Regelung für den Umgang mit personenbezogenen Daten. Sie gilt seit dem 25. Mai 2018 und harmonisiert das Datenschutzrecht innerhalb der EU. Zentrale Grundsätze im Umgang mit personenbezogenen Daten sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn mindestens eine der in Art. 6 DSGVO genannten Bedingungen erfüllt ist, zum Beispiel Einwilligung, Erfüllung eines Vertrags oder eine rechtliche Verpflichtung.
Rechte der betroffenen Person
Jede Person, deren personenbezogene Daten verarbeitet werden, hat nach der DSGVO umfassende Rechte. Dazu gehören:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
Verletzungen dieser Rechte können zu erheblichen Sanktionen führen, darunter Geldbußen.
Bundesdatenschutzgesetz (BDSG, Deutschland)
Das Bundesdatenschutzgesetz ergänzt als nationales Regelwerk die Vorgaben der DSGVO und enthält zusätzliche Regelungen, beispielsweise zu Videoüberwachung, Scoring-Verfahren und Beschäftigtendatenschutz.
Weitere nationale und internationale Regelungen
Neben der DSGVO existieren in Deutschland weitere spezialgesetzliche Regelungen zum Datenschutz, etwa im Sozialgesetzbuch (SGB), Telemediengesetz (TMG) sowie im Telekommunikationsgesetz (TKG). International gibt es etwa den California Consumer Privacy Act (CCPA) in den USA oder den Data Protection Act (DPA) in Großbritannien.
Verarbeitung personenbezogener Daten
Voraussetzungen der Datenverarbeitung
Für die Verarbeitung personenbezogener Daten müssen bestimmte Bedingungen erfüllt sein. Die wichtigsten Grundlagen sind:
- Einwilligung der betroffenen Person
- Vertragserfüllung
- Erfüllung rechtlicher Verpflichtungen
- Schutz lebenswichtiger Interessen
- Wahrnehmung einer Aufgabe im öffentlichen Interesse
- Wahrung berechtigter Interessen
Eine Verarbeitung ohne Rechtsgrundlage ist rechtswidrig und kann zu Schadensersatzansprüchen oder Bußgeldern führen.
Informationspflichten und Transparenz
Verantwortliche müssen die betroffene Person über die Verarbeitung ihrer Daten in klarer und verständlicher Sprache informieren (Transparenzgebot). Die Informationen müssen u.a. folgende Angaben umfassen:
- Identität des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Rechtsgrundlagen der Verarbeitung
- Empfänger der Daten
- Dauer der Speicherung
Technische und organisatorische Maßnahmen
Zur Sicherung personenbezogener Daten sind nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen erforderlich. Dazu zählen z.B. Verschlüsselung, Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen sowie Schulungen des mit der Datenverarbeitung betrauten Personals.
Schutz und Rechtsfolgen bei Verstößen
Sanktionen und Rechtsfolgen
Verstöße gegen Datenschutzvorschriften können mit empfindlichen Geldbußen geahndet werden. Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist.
Daneben stehen betroffenen Personen zivilrechtliche Ansprüche zu, etwa auf Unterlassung, auf Schadensersatz oder auf Löschung der betreffenden Daten.
Aufsichtsbehörden
Datenschutzaufsichtsbehörden überwachen die Einhaltung der datenschutzrechtlichen Vorgaben und sind Ansprechpartner für Beschwerden und Fragen zum Datenschutz. In Deutschland gibt es sowohl auf Bundes- als auch auf Landesebene eigenständige Aufsichtsbehörden.
Bedeutung und Herausforderungen in der Praxis
Bedeutung für Unternehmen und öffentliche Stellen
Der Schutz personenbezogener Daten ist für Unternehmen und öffentliche Institutionen von zentraler Bedeutung. Neben der Vermeidung von Rechts- und Reputationsrisiken besteht die Notwendigkeit, den technischen Entwicklungen wie Big Data, Cloud Computing, künstlicher Intelligenz und internationalem Datentransfer Rechnung zu tragen.
Herausforderungen der Digitalisierung
Die fortschreitende Digitalisierung, insbesondere durch Internet, mobile Anwendungen und soziale Medien, lässt die Zahl und Art der verarbeiteten personenbezogenen Daten stetig wachsen. Daraus resultieren hohe Anforderungen an den Datenschutz, die Nachvollziehbarkeit der Verarbeitungsprozesse und an den internationalen Datentransfer.
Fazit
Personenbezogene Daten sind Informationen, die den Rückschluss auf eine bestimmte oder bestimmbare natürliche Person ermöglichen. Sie unterliegen in Deutschland und der Europäischen Union einem umfassenden, detailreichen Schutz. Unternehmen, Verwaltungen und jede andere datenverarbeitende Stelle müssen eine Vielzahl rechtlicher Anforderungen beachten, um die Privatsphäre und Rechte Einzelner zu wahren und Verstöße sowie deren weitreichende Konsequenzen zu vermeiden. Die Dynamik technischer Entwicklungen und die zunehmende Internationalisierung der Datenverarbeitung stellen kontinuierlich neue Herausforderungen für anwendbares Datenschutzrecht dar.
Häufig gestellte Fragen
Wann dürfen personenbezogene Daten rechtmäßig verarbeitet werden?
Personenbezogene Daten dürfen nur unter den gesetzlich festgelegten Voraussetzungen verarbeitet werden. Gemäß Art. 6 der Datenschutz-Grundverordnung (DSGVO) ist die Verarbeitung dann rechtmäßig, wenn mindestens eine der dort aufgeführten Bedingungen erfüllt ist. Dazu zählen insbesondere die Einwilligung der betroffenen Person, die Erforderlichkeit zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen, die Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, der Schutz lebenswichtiger Interessen, die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sowie das berechtigte Interesse des Datenverarbeiters oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Vor einer Verarbeitung ist daher stets sorgfältig zu prüfen, ob und welche Rechtsgrundlage einschlägig ist und ob zusätzliche Anforderungen – wie eine transparente Information der Betroffenen und die Einhaltung der Prinzipien der Datenminimierung oder Zweckbindung – zu berücksichtigen sind.
Welche Pflichten haben Verantwortliche beim Umgang mit personenbezogenen Daten?
Verantwortliche, also juristische oder natürliche Personen oder Stellen, die über die Zwecke und Mittel der Verarbeitung entscheiden, haben eine Vielzahl von gesetzlichen Pflichten. Sie müssen für Rechtmäßigkeit, Transparenz und Nachvollziehbarkeit der Verarbeitung sorgen (Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO). Hierzu zählt unter anderem die Verpflichtung, technisch und organisatorisch geeignete Maßnahmen zum Schutz der Daten zu treffen (Art. 32 DSGVO), ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO) und eine Datenschutz-Folgenabschätzung durchzuführen, sofern mit der Verarbeitung ein hohes Risiko für Rechte und Freiheiten der Betroffenen verbunden ist (Art. 35 DSGVO). Zudem müssen sie betroffene Personen umfassend über die Datenverarbeitung informieren (Art. 13, 14 DSGVO), und ihnen die Ausübung ihrer Rechte – wie Auskunft, Berichtigung oder Löschung – ermöglichen.
Was sind die wichtigsten Rechte der von der Datenverarbeitung betroffenen Personen?
Betroffene Personen besitzen nach der DSGVO umfangreiche datenschutzrechtliche Ansprüche gegenüber dem Verantwortlichen. Hierzu zählen insbesondere das Recht auf Auskunft über die verarbeiteten personenbezogenen Daten sowie die Verarbeitungszwecke (Art. 15 DSGVO), das Recht auf Berichtigung unzutreffender oder unvollständiger Daten (Art. 16 DSGVO), das Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und das Recht, einer Verarbeitung zu widersprechen (Art. 21 DSGVO). Darüber hinaus besteht ein Beschwerderecht bei der Aufsichtsbehörde sowie das Recht auf wirksamen gerichtlichen Rechtsbehelf bei Datenschutzverstößen.
Wann ist eine Datenübermittlung an Dritte oder in Drittländer erlaubt?
Die Weitergabe personenbezogener Daten an Dritte ist nur zulässig, wenn hierfür eine Rechtsgrundlage besteht und keine schutzwürdigen Interessen der betroffenen Person entgegenstehen. Das gilt auch für Auftragsverarbeiter: Mit diesen ist ein Vertrag zur Auftragsverarbeitung abzuschließen (Art. 28 DSGVO). Bei Übermittlungen in Staaten außerhalb der EU bzw. des Europäischen Wirtschaftsraums (sog. Drittländer) gelten die besonderen Anforderungen der Art. 44 ff. DSGVO. Hier muss ein angemessenes Datenschutzniveau im Zielland sichergestellt sein, z.B. durch einen Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklauseln oder – in Ausnahmefällen – durch die ausdrückliche Einwilligung der betroffenen Person, nachdem sie über die Risiken aufgeklärt wurde.
Welche Konsequenzen drohen bei Verstößen gegen die datenschutzrechtlichen Vorschriften?
Verstöße gegen datenschutzrechtliche Bestimmungen können schwerwiegende Folgen nach sich ziehen. Die DSGVO sieht bei Verstößen gegen bestimmte Pflichten Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des betreffenden Unternehmens (je nachdem, welcher Betrag höher ist) vor (Art. 83 DSGVO). Zusätzlich können zivilrechtliche Schadensersatzansprüche entstehen, wenn betroffene Personen durch den Verstoß einen materiellen oder immateriellen Schaden erleiden (Art. 82 DSGVO). Weiterhin haben Aufsichtsbehörden umfangreiche Befugnisse, etwa Anordnungen zur Beendigung oder Einschränkung der Verarbeitung, zur Löschung von Daten oder zur Veröffentlichung der Verstöße zu erlassen.
Welche Rolle spielt der Datenschutzbeauftragte im Unternehmen?
Unternehmen und öffentliche Stellen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten bestellen (Art. 37 DSGVO, § 38 BDSG). Er ist insbesondere dann verpflichtend, wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht oder die Überwachung von Personen erforderlich macht. Der Datenschutzbeauftragte berät und überwacht die Einhaltung der datenschutzrechtlichen Vorgaben, fungiert als Ansprechpartner für betroffene Personen und die Aufsichtsbehörde und unterstützt bei der Durchführung von Datenschutz-Folgenabschätzungen. Die Unabhängigkeit und fachliche Qualifikation des Datenschutzbeauftragten sind gesetzlich vorgeschrieben.
Wann ist die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig?
Besondere Kategorien personenbezogener Daten, etwa zur rassischen oder ethnischen Herkunft, zu politischen Meinungen, religiösen Überzeugungen, Gewerkschaftszugehörigkeit, genetischen oder biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben, sind nach Art. 9 DSGVO grundsätzlich besonders geschützt. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es greift eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen, wie die ausdrückliche Einwilligung der betroffenen Person, die Erfüllung arbeits-, sozial- oder sozialschutzrechtlicher Pflichten, der Schutz lebenswichtiger Interessen oder erhebliche öffentliche Interessen auf Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten. Die Anforderungen an Transparenz, Verhältnismäßigkeit und Sicherheit sind hier besonders streng.
