Personenbezogene Daten
Personenbezogene Daten
Damit die richtigen datenschutzrechtlichen Maßnahmen ergriffen werden können, muss zunächst die Frage gestellt werden, ob bei dem geplanten Vorhaben überhaupt sog. "personenbezogene Daten" erhoben werden.
Denn wenn personenbezogene Daten erhoben werden, haben die betroffenen Personen, also diejenigen, deren personenbezogene Daten verarbeitet werden, bestimmte Rechte und der/die Verantwortliche/n bestimmte Pflichten.
Der Begriff der "Verarbeitung" umfasst dabei
- das Erheben,
- das Erfassen,
- die Organisation,
- das Ordnen,
- die Speicherung,
- die Anpassung oder Veränderung,
- das Auslesen,
- das Abfragen,
- die Verwendung,
- die Offenlegung durch Übermittlung,
- Verbreitung oder eine andere Form der Bereitstellung,
- den Abgleich oder die Verknüpfung,
- die Einschränkung,
- das Löschen oder die Vernichtung
von Daten.
Im Folgenden wird unter Aufzeigung einiger Beispiele erläutert, welche Kategorien personenbezogener Daten existieren und wie diese gesetzlich definiert sind.
Personenbezogene Daten im Allgemeinen
Der Begriff der personenbezogenen Daten wird in der Datenschutzgrundverordnung (DSGVO) im Artikel 4 Nr. 1 gesetzlich definiert.
Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten
- alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen
(als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt - insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann)
- die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind."
Da die DSGVO von "allen Informationen" über eine Person spricht, ist der Begriff "personenbezogene Daten" sehr weit auszulegen.
Beispielsweise sind auch schriftliche Leistungen von Prüflingen dann personenbezogene Daten, wenn anhand der weiteren Angaben, die im Rahmen der Prüfung abgegeben wurden (bspw. über die Matrikelnummer), ein Rückschluss auf die Identität des Prüflings gezogen werden kann (Urteil des Europäischen Gerichtshofs vom 20.12.2017, Az.: C-434/16).
Somit ist auch eine indirekte Zuordnung kein Ausschluss des Merkmals der "Personenbezogenheit". Aus diesem Grunde führt auch eine sog. "Pseudonymisierung" nicht zum Wegfall des Personenbezugs.
Personenbezug kann auch mittels einer Kombination verschiedener Daten, die an sich keinen Personenbezug aufweisen würden, bestehen.
Beispielsweise ist beim Datum "Präsident" noch kein Personenbezug möglich, da es mehr als eine Person gibt, die diese Funktion oder Amtsbezeichnung innehat. Fügt man jedoch die jeweilige Institution hinzu, in diesem Beispiel "Carl von Ossietzky Universität Oldenburg", ergibt sich die Datenkombination "Präsident, Carl von Ossietzky Universität Oldenburg". Es liegt also aufgrund der Kombination der Datensätze ein Personenbezug vor. Denn nun kann aus den Daten eine Person identifiziert werden. Sie ist identifizierbar durch bloßes googlen oder das eigene Wissen. Daher würde in diesem Beispiel die DSGVO und das Niedersächsische Datenschutzgesetz (NDSG) zu beachten und einzuhalten sein.
Zu den typischen personenbezogenen Daten zählen
- Name
- Anschrift
- Telefonnummer
- Geburtsdatum
- Geschlecht
- E-Mail-Kontaktdaten
- Personalnummer
- Patientennummer
- Matrikelnummer
- Steueridentifikationsnummer
- Kontodaten
- Lichtbilder
- Videoaufnahmen
- Röntgenbilder
- Tonbandaufnahmen
- IP-Adressen
- Standortdaten
- Zeugnisse
Datenkategorien können z.B. sein:
- Kontaktdaten (Name, Anschrift, E-Mail-Adresse, Telefonnummern)
- allgemeine Personendaten (Name, Geburtsdatum, Alter, Geburtsort, Anschrift, Emailadresse, Telefonnummer, Foto, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, Urlaubsplanung, etc.)
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, etc.)
- demografische Daten (Alter, Geschlecht)
- Bankverbindung
- Studierendendaten (Teilnahme an Veranstaltungen, Noten)
- Onlinedaten (IP-Adresse, aufgerufenen Webseiten, heruntergeladenen Dokumente, Zeit des Zugriffs, Zugriffsdauer, verwendetes Endgerät, Betriebssystem, Browser, etc.)
- Besitzmerkmale (Eigentum an einer Immobilie, Fahrzeugeigentümer /- Halter, Kfz-Kennzeichen, Fahrgestell-Nr., etc.)
- Werturteile (Schulzeugnis, Arbeitszeugnis, etc.)
- sachliche Verhältnisse (Einkommen, Entgeltgruppe, Vermögen, Schulden, etc.)
Besondere Kategorien personenbezogener Daten
Weiterhin spricht die DSGVO im Artikel 9 noch von den sog. "besonderen Kategorien" personenbezogener Daten. Diese besonderen Kategorien personenbezogener Daten sind besonders sensibel und daher unter einen sehr viel strengeren Schutz als die "allgemeinen" personenbezogenen Daten gestellt.
Hierzu gehören Daten über:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder Weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
Besonders hervorzuheben, weil deutliche Steigerung der Sensibilität:
- Daten zum Sexualleben oder der sexuellen Orientierung
Diese Daten betreffen Informationen über die Sexualität der betroffenen Person. Also ob eine Person hetero-, homo-, bi-, trans-, oder asexuell ausgerichtet ist. Ebenfalls fällt hierunter die Frage nach der Häufigkeit des Geschlechtsverkehrs der betroffenen Person, ob und welche Verhütungsmittel die betroffene Person einsetzt oder auch etwa nach dem Familienstand der betroffenen Person.
- genetische Daten
Darunter versteht die DSGVO nach Art. 4 Nr. 13 personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
- biometrische Daten
Hierunter versteht die DSGVO nach Art. 4 Nr. 14 personenbezogene Daten, die mit speziellen technischen Verfahren gewonnen wurden und eine eindeutige Identifizierung der Person durch physische, physiologische oder verhaltenstypische Merkmale dieser Person ermöglichen oder bestätigen.
Hierzu zählen insbesondere Gesichtsbilder oder daktyloskopische Daten.
- Gesundheitsdaten
Das sind nach Art. 4 Nr. 15 DSGVO solche personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person - einschließlich der Erbringung von Gesundheitsdienstleistungen - beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Zu diesen Gesundheitsdaten gehören insbesondere Informationen über:
- Erkrankungen
- chronische Erkrankungen
- Vorerkrankungen
- Gewicht
- Körperfettwerte
- Blutzuckerwerte
- Allergien
- Unverträglichkeiten
- Diagnosen
- Therapien und deren Verlauf
- Eingriffe
- Impfstatus
- Medikamentierung
- Röntgenbilder
- Notfalldaten
- Patientenverfügung
- Arztrechnungen, Arzttermine, Versichertenstatus
Umgang mit besonderen Kategorien personenbezogener Daten
Die Verarbeitung dieser besonderen Kategorien personenbezogener Daten ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt.
Ausnahmen dazu sieht der Katalog des Art. 9 Abs. 2 DSGVO vor. Danach dürfen diese besonderen personenbezogenen Daten insbesondere dann verarbeitet werden, wenn
- eine ausdrückliche Einwilligungserklärung abgegeben worden ist
- die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich ist
- die verarbeiteten personenbezogenen Daten von der betroffenen Person offensichtlich öffentlich gemacht wurden
Weiterhin sieht § 13 NDSG, welcher über Art. 6 Abs. 1 lit. e / Art. 9 Abs. 2 lit. j DSGVO i.V.m. § 3 NDSG anwendbar ist, eine Ausnahme für den Fall vor, dass der Zweck der Datenverarbeitung ein bestimmtes wissenschaftliches oder historisches Forschungsvorhaben ist.