Direkt zum Inhalt

Personenbezogene Daten

Kategorien personenbezogener Daten, Verbot mit Erlaubnisvorbehalt, Verarbeitung von Daten besonderer Kategorie

 

Stand: Februar 2024

Links

Was sind personenbezogene Daten?

Was sind eigentlich „personenbezogene Daten“? Personenbezogene Daten beziehen sich grundlegend auf Betroffene, also natürliche Personen – Menschen. Juristische Personen (GmbH, AG etc.). Personenmehrheiten- und Gruppen sind nicht gemeint.

Die DSGVO versteht darunter einen sehr weiten Bereich an Daten, etwa:

  • Telefonnummer,
  • Anschrift,
  • E-Mailadresse,
  • Vorname,
  • Nachname,
  • IP-Adresse,
  • Gesundheitsdaten,
  • Autokennzeichen,
  • Daten zur Religionszugehörigkeit

und viele weitere.

Zu Missverständnissen führt oft der Umstand, dass die DSGVO zwischen identifizierten und identifizierbaren Personen unterscheidet. Wenn die Daten einer Person direkt zugeordnet werden können, also z.B. Name, Anschrift, Telefonnummer, spricht man von einer identifizierten Person. Identifizierbar ist eine Person dann, wenn „zusätzliches Wissen“, quasi ein Schlüssel notwendig ist, um aus der identifizierbaren Person eine identifizierte Person zu machen.

Aus diesen Unterscheidungen resultieren auch verschiedene Kategorien personenbezogener Daten, nämlich „personenbezogene Daten“, „pseudonymisierte Daten“ und „anonymisierte Daten“.

Pseudonymisierte Daten

Pseudonymisierte Daten sind die Kategorie von Daten, die zu identifizierbaren Personen gehören. Beispiele wären KFZ-Kennzeichen, IP-Adresse und Kreditkartennummer. Also Daten, zu denen „zusätzliches Wissen“ bzw. „Schlüssel“ benötigt werden, um eine Person zu identifizieren. Relevant ist übrigens nicht, ob der Schlüssel unmittelbar zur Verfügung steht, sondern vielmehr, ob er zur Verfügung stehen kann.

Anonymisierte Daten

Anonymisierte Daten fallen nicht unter die DSGVO. Diese Gruppe an Daten sind von jedem Bezug auf eine identifizierte oder identifizierbare Person befreit.

Personenbezogene Daten besonderer Kategorie (Art. 9, DSGVO)

Dies sind die „Trouble Maker“ unter den personenbezogenen Daten. Sprachlich findest du hier verschiedene Formulierungen, etwa „personenbezogene Daten besonderer Kategorie“ oder auch „sensitive Kategorien personenbezogener Daten“. Gemeint ist immer die gleiche Art von Daten, nämlich

  • Daten, aus denen die „rassische und ethnische Herkunft“
    (Anmerkung der Redaktion/des Autors: Wir möchten uns hier klar vom Ausdruck „rassisch“ distanzieren. Der Rechtstext sieht die Begrifflichkeiten so vor, unserer Meinung nach gibt es so etwas wie „Rassen“ nicht.),
  • Daten zur politischen Meinung,
  • Daten zu religiösen Meinungen,
  • Daten zu weltanschaulichen Überzeugungen,
  • Daten zu Gewerkschaftszugehörigkeiten,
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person (biometrische Daten sind etwa Fingerabdruck, Körpergröße, Zahnabdruck oder Irisscans),
  • Gesundheitsdaten,
  • Daten zum Sexualleben,
  • Daten zur sexuellen Orientierung,

für die die DSGVO unter Art. 9 (1) ganz klar ein Verbot der Verarbeitung ausspricht.

Aber wenn Arbeitgebende (biometrische Daten, Gesundheitsdaten), Vereine (Daten zur Weltanschauung oder zur politischen Meinung) oder Betreiber einer Erotikplattform (Daten zur sexuellen Orientierung) diese Daten dennoch verarbeiten wollen bzw. müssen, was sieht die DSGVO hier vor?


In tabellarischer Form ist dargestellt, bei welchen personenbezogenen Daten die DSGVO gilt.

Verbot mit Erlaubnisvorbehalt

An dieser Stelle passt es prima, auf einen grundsätzlichen Ansatz der DSGVO einzugehen, dem „Verbot mit Erlaubnisvorbehalt“. Das bedeutet: Die Verarbeitung von Daten ist grundsätzlich verboten, außer es findet sich eine Ausnahmeregel, die die Verarbeitung zulässt. Genau diese Herangehensweise haben wir im Abschnitt Rechtsgrundlagen schon aus der anderen Richtung beleuchtet.

Wann darf ich Daten besonderer Kategorie verarbeiten?

Es gibt eine ganze Menge Ausnahmen, die uns die Verarbeitung personenbezogener Daten besonderer Kategorie ermöglichen. An dieser Stelle besonders wichtig: Ich formuliere wieder nur eine möglichst knappe Zusammenfassung für dich – für die Details wirf einen Blick auf DSGVO, Art. 9 (2).

  1. Eine Einwilligung liegt vor.
  2. Die Verarbeitung ist erforderlich, um meinen Pflichten aus Arbeitsrecht oder Sozialrecht nachzukommen.
  3. Die Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig, die/der Betroffene ist aber nicht in der Lage, seine Einwilligung zu erteilen.
  4. Die Verarbeitung erfolgt durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Gewinnerzielungsabsicht und bezieht sich nur auf (ehemalige) Mitglieder.
  5. Wir verarbeiten nur Daten, die durch den/die Betroffene*n öffentlich gemacht wurden.
  6. Die Verarbeitung ist im Rahmen von Rechtsansprüchen oder für die Arbeit von Gerichten notwendig.
  7. Die Verarbeitung ist Grundlage des Unionsrechts bzw. Grundlage des Rechts eines Mitgliedstaates.
  8. Die Verarbeitung ist zur Gesundheitsvorsorge oder Arbeitsmedizin und ähnliche Bereiche erforderlich.
  9. Die Verarbeitung ist auf Grund öffentlichen Interesses erforderlich.
  10. Die Verarbeitung ist für Archivzwecke (mit öffentlichem Interesse), wissenschaftliche, historische oder statistische Zwecke erforderlich.

Alle Ausnahmen setzen aber gewisse Bedingungen voraus, u.a. müssen besondere Sicherheitsmaßnahmen ergriffen werden, die Verarbeitungen dürfen nur durch Fachpersonal vorgenommen werden, geltendes staatliches Recht muss mit in Betracht gezogen werden und die Rechte und Freiheiten der Betroffenen müssen gewahrt bleiben.

Wichtig: Das Verarbeiten personenbezogener Daten besonderer Kategorie erfordert Umsicht, ein ausreichend hohes Schutzniveau, Sensibilisierung der mit der Verarbeitung betrauten Personen und idealerweise einen Blick in die entsprechenden, rechtlichen Vorschriften. Alle diese Aspekte sollten vor Beginn der Verarbeitung geklärt sein!