Facebook, Instagram, Twitter und sämtliche soziale Netzwerke und zahlreiche Unternehmen sammeln und speichern personenbezogene Daten. Ziel der DSGVO (Datenschutz Grundverordnung), deren Übergangsfrist am 25. Mai 2018 endet, ist es, personenbezogene Daten besser zu schützen und für den Umgang mit personenbezogenen Daten zu sensibilisieren. Doch welche Daten gelten eigentlich alles als personenbezogen? In unserem Blog widmen wir uns der Frage: Was sind personenbezogene Daten?
DEFINITION PERSONENBEZOGENE DATEN
Der Begriff der „personenbezogene Daten“ ist gesetzlich definiert in Art. 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO) als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Diese etwas sperrige juristische Formulierung bietet, bei näherer Betrachtung, einen deutlich weiteren Auslegungsspielraum, als man zunächst vielleicht vermuten würde.
Zu den offensichtlichen personenbezogenen Daten zählen natürlich Namensangaben, Geburtsdaten und Adressen, aber auch Kennnummern, wie Kontoangaben, Kunden- oder Mitgliedsnummern. Über den numerischen Bereich hinaus zählen auch reine Sachverhalte zu den personenbezogenen Daten, wenn sie in einem eindeutigen Bezug zu der natürlichen Person stehen. Die Staatszugehörigkeit wäre ein solcher Sachverhalt, ebenso wie die Religionsangehörigkeit aber auch banalere Angaben, wie die Mitgliedschaft in einem Fitnessstudio. Darüber hinaus sind alle charakteristischen und äußerlichen Eigenschaften einer Person speziell auf diese bezogene Daten.
Das naheliegendste Beispiel sind Augen- und Haarfarbe, tatsächlich greift die Definition aber noch viel weiter und beinhaltet z.B. auch den persönlichen Gang einer Person. Bedenken Sie dies, wenn Sie Ihrem Kollegen lapidar mitteilen: „Ach übrigens: Der Meier aus der Buchhaltung humpelt seit neuestem…“. Der Begriff „personenbezogene Daten“ ist vom Gesetzgeber also bewusst sehr weit gefasst.
Natürliche Personen
Personenbezogen sind Daten nur dann, wenn sie sich auf eine natürliche Person im Rechtssinn beziehen, das heißt auf einen lebenden Menschen, unabhängig seiner Herkunft.
Auch, wenn es sich bei der DSGVO, der Datenschutz-Grundverordnung, um eine Richtlinie der EU handelt, gelten ihre Bestimmungen auch für die Daten von Personen aus dem Nicht-EU-Ausland und unabhängig vom Alter der Person. Anders als beispielsweise in der Schweiz oder in Österreich, gilt die Bezeichnung „personenbezogen“ in Deutschland nur für natürliche, nicht aber für juristische Personen, wie Gesellschaften, Stiftungen oder Vereine. Angaben über juristische Personen sind demnach nicht durch das Datenschutzrecht geschützt.
Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist.
Identifizierte oder identifizierbare Personen
Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen. Die Fragestellung lautet also: Genügt die gegebene Information, um sie einer bestimmten Person zuzuordnen? Oder ist dies mithilfe bestimmter Zusatzinformationen möglich?
Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt. Die Information: „Der Direktor hat am 02.08. Geburtstag.“ stellt einen direkten Bezug zu einer lebenden Person dar. Tummeln sich an der Schule des gefeierten Rektors beispielsweise gleich drei Lehrer mit dem Namen Müller, lassen diese sich leicht anhand ihrer Unterrichtsfächer unterscheiden. Müller 1 gibt Mathe und Physik, sein Kollege Müller 2 quält seine Schüler mit Latein, der entspannte Müller 3 unterrichtet Sport und Erdkunde. Der Datensatz „Müller 3: Sport-Erdkunde“ liefert also einen klaren Personenbezug.
Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ ist. Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen, aber mit Hilfe von Zusatzwissen kann die Person ausfindig gemacht werden. Im Falle der besagten Herren Müller, würde nur das Sekretariat weiterhelfen können. Das nötige Zusatzwissen wäre in diesem Fall beispielsweise die Personalnummer.
Zusatzwissen
Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat. Herauszufinden, welcher Lehrer welches Fach unterrichtet wäre z.B. leicht über das schwarze Brett der Schule möglich. Die Personalnummern der Lehrer hingegen kennt nur das Sekretariat.
Der Europäische Gerichtshof stellte klar: Ein Datum (Eine Information, Anm.) gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49). Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).
Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist. Man denke an Personen in sensiblen Ämtern, die ärztliche Schweigepflicht oder die Verschwiegenheitspflicht von Anwälten.
Beispiel: IP-Adressen
Der Europäische Gerichtshof entschied über das Thema Zusatzwissen im Zusammenhang mit IP-Adressen.
Da der Telekommunikationsanbieter über die von ihm bereitgestellte IP-Adresse einen klaren Bezug zum jeweiligen Kunden herstellen kann, gilt diese als personenbezogenes Datum. Der Anbieter besitzt das Zusatzwissen, um eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.
Für einen Webseitenbetreiber besitzt die IP-Adresse ebenfalls einen Personenbezug. Wenn User ihre Daten in das Kontaktformular der Website eintragen, stellen diese für den Betreiber ein internes Zusatzwissen dar. Username, Klarname und IP-Adresse lassen sich einander zuordnen. Selbst, falls dies nicht der Fall sein sollte, besteht für den Webseitenbetreiber rechtlich die Möglichkeit, die zugehörigen Daten einer IP-Adresse beim jeweiligen Internetanbieter zu erfragen. Auch, wenn diese Option hauptsächlich zur Abwehr möglicher Cyberattacken gedacht war, besteht sie defacto jederzeit, so der EUGH. Aus diesem Grund stellt die IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum dar.
Anonymisierte und pseudonymisierte Daten
Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist. Das beste Beispiel für anonymisierte Daten ist der Ablauf bei Wahlen, bspw. bei der Bundestagswahl. Es wird zwar erfasst, dass ein bestimmter Bürger seinen Wahlzettel abgegeben hat, der Inhalt desselben kann aber dieser konkreten Person nicht mehr zugeordnet werden.
Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Pseudonyme beinhalten mitunter deutbare Daten, Initialen zum Beispiel oder Geburtsjahre. Folgen von deutbaren Zahlen und Buchstaben finden auch bei den verschiedensten Institutionen Verwendung. Die Mitgliedsnummer im Fitnesscenter könnte aus den Initialen des Kunden, dessen Geburtstag und einer internen Kennung bestehen. Ein solche Folge wäre ein Pseudonym - und dazu sehr leicht zu entschlüsseln. Auch Usernamen oder Nicknames, sind letztlich nichts anderes als pseudonymisierte Daten. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogene Daten, und das Datenschutzrecht kommt zur Anwendung.
Personenbezogene Daten sind:
- Name
- Alter
- Familienstand
- Geburtsdatum
- Anschrift
- Telefonnummer
- E-Mail Adresse
- Konto- / Kreditkartennummer
- Kfz-Kennzeichen
- Personalausweisnummer
- Sozialversicherungsnummer
- Vorstrafen
- Genetische Daten
- Krankendaten
- Werturteile (z. B. Zeugnisse)
- IP-Adressen
- ...
FAZIT:
Anstatt Interessenten mit plakativen Werbebotschaften zu belagern (Outbound Marketing) zielt Inbound Marketing darauf ab, mit lehrreichen und informativen Content, Interessenten bei der Lösung individueller Probleme zu helfen. Die DSGVO zielt darauf ab unsere personenbezogenen Daten zu schützen. Somit ist die DSGVO die rechtliche Grundlage für dass, was Inbound Marketing im Kern ausmacht: Kommunikation mit den Leuten, die ein wirkliches Interesse daran haben, mit dir zu kommunizieren und die somit auch Interesse an deinen Produkten und/oder Dienstleistungen haben.
Noch mehr zum Thema Inbound Marketing erfahren Sie hier:
