Was sind personenbezogene Daten?
Stand: 04.04.2023
Das ist die Frage, die sich beim Datenschutz immer zuerst stellt. Denn erst dann, wenn man es mit personenbezogenen Daten zu tun hat, stellen sich Fragen nach der Zulässigkeit der Datenerhebung oder deren Verarbeitung. Bei der Frage, welche Daten als personenbezogen gelten, ist eine pauschale Antwort nicht möglich. Vielmehr kommt es auf den Einzelfall an. Es kann vorkommen, dass einzelne Daten in einem Fall nicht personenbezogen sind, in einem anderen Fall jedoch durch die Kombination aus verschiedenen Daten ein Personenbezug möglich ist.
Definition "personenbezogene Daten"
In Artikel 4 Nr. 1 der Datenschutz-Grundverordnung (DS-GVO) heißt es:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Da die Verordnung selbst unmittelbar geltendes Recht darstellt, dieses also keines Umsetzungsaktes mehr bedarf, sehen bspw. sowohl das Bundesdatenschutzgesetz als auch das baden-württembergische Landesdatenschutzgesetz in den Fassungen nach Geltung der DS-GVO keine Begriffsdefinition mehr vor.
Mit dem in der DS-GVO definierten Begriff der personenbezogenen Daten sind alle Informationen umfasst, die über eine Person etwas aussagen. Diese Informationen müssen sich nicht zwingend auf eine bestimmte Person beziehen (wie bspw. beim Namen oder einem Foto des Betroffenen), ausreichend ist vielmehr, dass zu der jeweiligen Person ein Bezug hergestellt werden kann. So können - zumindest bei entsprechendem Zusatzwissen - auch Telefonnummer, Matrikelnummern, Sozialversicherungsnummern, persönlich zugeteilte Berechtigungskennzeichen und IP-Adressen personenbeziehbare und damit datenschutzrelevante Informationen sein.
Diese Aussage hat auch unter Geltung der DS-GVO inhaltlich Bestand.
Es gibt auch keine „wahren“ oder „unwahren“ personenbezogenen Daten. Falls eine Auswertung des Kaufverhaltens (Beispiel: Wegfall des Kaufs von entsprechenden Hygieneartikeln bei Käuferinnen in gebärfähigem Alter) bspw. in der Kundendatei zum Merkmal „schwanger“ führt, stellt dieses Merkmal ein personenbezogenes Datum dar, auch wenn die Kundin gar nicht schwanger ist.
Die gesetzliche Definition spricht von Daten "natürlicher Personen". Damit wird zugleich ausgesagt, dass der Schutz der Datenschutzgesetze mit dem Tod endet. Es greift dann jedoch das postmortale Persönlichkeitsrecht, das den Schutz der Daten Verstorbener in gewissem Umfang beinhaltet. Für die genaue Ausgestaltung kommt es auf den Einzelfall an, in dem für die weitere Auslegung wiederum auf die Datenschutzgesetze zurückgegriffen werden kann.
Beispiele personenbezogener Daten
Personenbezogene Daten können beispielsweise Adressdaten und Erreichbarkeitsdaten oder auch folgende Daten sein:
- Name und Adresse
- E-Mailadresse / Internet-Adresse
- Personalausweisnummer
- IP-Adresse
- Weitere Einzelangaben, wie z. B. Geschlecht, Titel, Größe, Haarfarbe, Telefonnummer, Kontodaten, Aufzeichnung der Arbeitszeiten, Standortdaten, Kfz-Kennzeichen, Audio-Aufnahmen der Stimme, Foto, Antworten eines Prüflings und Anmerkungen des Prüfers hierzu, Meinungen und Beurteilungen seitens des Betroffenen und über den Betroffenen (z. B. über dessen Kreditwürdigkeit, dessen sexueller Ausrichtung, dessen Arbeitsleistung).
Auch wenn ein einzelnes Datum keinen Rückschluss auf eine identifizierbare Person zulässt, kann dies sehr wohl durch eine Ansammlung von Daten möglich sein (z.B. verschiedene soziodemographische Daten bei einer wissenschaftlichen Umfrage).
Besondere Kategorien personenbezogener Daten
Neben den oben genannten Daten sieht die DS-GVO für besonders sensible Daten in Artikel 9 einen weitergehenden Schutz vor. Diese Daten nennt das Gesetz besondere Kategorien personenbezogener Daten.
Unter diese Gruppe der personenbezogenen Daten fallen:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Angaben zur Gesundheit, sowie genetische und biometrische Daten, die zu einer eindeutigen Identifikation einer natürlichen Person führen
- Angaben zum Sexualleben oder zur sexuellen Orientierung
Können auch Daten unter die besonderen Kategorien gemäß Art. 9 DS-GVO fallen, die ihrer Natur nach nicht direkt die dort genannten sensiblen Daten darstellen?
Mit dieser Frage hat sich der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsersuchens des litauischen Regionalverwaltungsgerichts Vilnius befasst (Urteil vom 01.08.2022 Az. C-184/20) - und sie bejaht.
Im Ausgangsfall verlangte ein litauisches Gesetz zwecks Korruptionsbekämpfung, dass Personen, die im öffentlichen Dienst bzw. in aus öffentlichen Mitteln finanzierten Einrichtungen arbeiten und denen administrative Befugnisse übertragen sind, eine Erklärung über private Interessen abgeben müssen. Die geforderten Angaben (u.a. Vor- und Nachname, arbeitgebende Stelle und Funktion) betrafen die erklärungspflichtige Person selbst, aber auch ihre Ehefrau/ihren Ehegatten, Lebensgefährtin/ Lebensgefährten oder Partnerin/Partner und wurden größtenteils auf der Webseite der betreffenden Behörde veröffentlicht. Dagegen wehrte sich eine erklärungspflichtige Person.
Das angerufene litauische Gericht hielt es für möglich, dass die abgefragten namensbezogenen Daten besonders sensible Informationen offenbaren könnten, wie etwa die Tatsache, dass die betroffene Person in einer eheähnlichen Lebensgemeinschaft oder mit einer Person gleichen Geschlechts lebe.
Es setzte das Verfahren aus und legte dem EuGH u.a. die Frage vor, ob die Veröffentlichung personenbezogener Daten, die geeignet sind, die politischen Meinungen, die Gewerkschaftszugehörigkeit oder die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DS-GVO darstellt.
Dazu führt der EuGH aus, die Begriffe „besondere Kategorien personenbezogener Daten“ und „sensible Daten“ (DS-GVO-Erwägungsgrund 51) seien angesichts des mit der DS-GVO bezweckten Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihres Privatlebens, weit auszulegen. Die Verwendung des Verbs „hervorgehen“ in Art. 9 DS-GVO spreche dafür, dass eine Verarbeitung erfasst sei, die sich nicht nur auf ihrem Wesen nach sensible Daten beziehe, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergäben.
Zudem liefe eine gegenteilige Auslegung dem Schutzzweck der Vorschrift zuwider. Die Bestimmung könne nicht dahin ausgelegt werden, dass die Verarbeitung personenbezogener Daten, die indirekt sensible Informationen über eine natürliche Person offenbaren können, von der verstärkten Schutzregelung für besondere Kategorien von personenbezogenen Daten ausgenommen ist. Andernfalls werde die praktische Wirksamkeit dieser Regelung und der von ihr bezweckte Schutz vor solchen Datenverarbeitungen, die aufgrund der besonderen Sensibilität der betreffenden Daten einen besonders schweren Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen könnten, beeinträchtigt.
Für Hochschulen ist dieses Thema relevant, wenn beispielsweise Lebensläufe auf der Hochschul-Webseite veröffentlicht werden. Je nachdem welche Angaben darin z.B. zum Familienstand und zu Kindern oder auch zum Geburtsort gemacht werden, könnten daraus gegebenenfalls Rückschlüsse auf sensible Daten, wie die sexuelle Orientierung oder auf die ethnische Herkunft, gezogen werden. Im Kurzpapier Nr. 17 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK), Stand 27.03.20218
DSK-Kurzpapier Nr. 17 heißt es zu diesem Thema: „Andererseits wird auch künftig nicht jede mittelbare Angabe zu den besonderen Kategorien personenbezogener Daten die Anwendung der speziellen (strengen) Verarbeitungsbestimmungen nach sich ziehen – z.B. ist [ …] der rein geographische Geburtsort keine Angabe über die rassische oder ethnische Herkunft …“
Die Abgrenzung, wann im konkreten Fall aus „nicht sensiblen“ Daten mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen hervorgehen und damit indirekt offengelegt werden, könnte im Einzelfall also schwierig sein, wie das Beispiel Geburtsort zeigt. In jedem Fall ist es aber ratsam, genau abzuwägen, welche Informationen überhaupt veröffentlicht werden sollen und dies gegebenenfalls mit den betroffenen Mitarbeitenden abzustimmen. Da laut EuGH auch bei einer möglichen indirekten Offenlegung von sensiblen Daten der Anwendungsbereich von Art. 9 DS-GVO eröffnet ist, würden in einem solchen Fall die strengeren Rechtmäßigkeitsvoraussetzungen gelten. Zum Beispiel müsste eine Einwilligung in die Verarbeitung der sensiblen Daten dann ausdrücklich erfolgen, Art. 9 Abs. 2 lit. a DS-GVO.