Personenbezogene Daten: Definition, DSGVO und Schutz

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 46 Abs. 1 Bundesdatenschutzgesetz [BDSG]). Dazu gehören unter anderem Kontaktdaten, Bankdaten, Daten zur Internetnutzung oder Informationen zum Aussehen.

Solche Daten genießen durch die DSGVO besonderen Schutz. Sie garantiert EU-Bürger:innen das Recht auf informationelle Selbstbestimmung: Jede:r einzelne darf selbst entscheiden, welche Daten er oder sie wem preisgeben möchte und zu welchem Zweck.

Die Erklärung von zwei Begriffen im Gesetzestext hilft, näher zu bestimmen, welche Daten personenbezogen sind und welche nicht:

Bestimmte oder bestimmbare Personen (DSGVO-Definition: identifiziert oder identifizierbar): Die Daten müssen entweder direkt einer konkreten oder bestimmten Person zuordenbar sein; oder sie müssen sich durch zusätzliches Wissen oder zusätzlichen Aufwand einer bestimmbaren Person zuordnen lassen. Dieses Wissen kann auch von Dritten stammen.

Natürliche Personen: Die Person, auf die sich die Daten beziehen, muss ein lebender Mensch sein. Daten zu sogenannten juristischen Personen – wie Unternehmen und andere Organisationen – sowie zu verstorbenen Personen gelten nicht als personenbezogen.

Zusammengefasst: Informationen, die sich direkt oder indirekt einem bestimmten lebenden Mensch zuordnen lassen, sind personenbezogene Daten. Der Schutz der DSGVO gilt grundsätzlich weltweit; er bezieht die Daten aller EU-Bürger:innen mit ein, unabhängig von deren Wohn- oder Aufenthaltsort. (Außerhalb der EU dürfte der Schutz natürlich schwer durchsetzbar sein.)

Im Umkehrschluss sind Daten nicht personenbezogen, wenn sie nicht einer einzelnen, natürlichen, lebenden Person zuordenbar sind: etwa anonymisierte Daten (wie bei einer Wahl oder Umfrage), Daten, die zu Unternehmen und anderen Organisationen gehören, oder Daten mit Bezug zu nicht mehr lebenden Personen.

Ist Ihre Personalabteilung DSGVO-konform aufgestellt?

Unsichere Tools oder keine Kontrolle über Excel-Dateien: Manchmal tappt selbst die beste HR-Abteilung in eine Datenschutzlücke. Mit Personios HR Software kann Ihnen das nicht passieren.

Personio kostenlos testen

Welche Daten sind alles personenbezogene Daten? Prinzipiell gehören alle Daten dazu, auf die die oben genannten Kriterien zutreffen. Die folgende Liste ist eine Auswahl der am häufigsten verwendeten Personendaten:

• Namen

• Kontaktdaten: Adresse, Telefonnummer, E-Mail-Adresse

• Geburtsdatum, Alter, Geburtsort, Staatsangehörigkeit, Familienstand

Oft gefragt: Gehört der Name zu den personenbezogenen Daten? Ja, ganz eindeutig. Lebende Personen sind über ihren Namen identifizierbar, deshalb gehört er zu den personenbezogenen Daten.

• Geschlecht

• Haar-, Augen- und Hautfarbe

• Größe, Gewicht, Körperbau

• besondere Merkmale

• Konto- und Kreditkartennummern

• Kontostände und Transaktionen

• Angaben zu Krediten/Schulden oder Anlagen/Vermögen

• Angaben zum Einkommen

• Angaben zu Immobilienbesitz

• Kunden-, Mitglieds-, Personal-, Ausweisnummern usw.

• Autokennzeichen

• IP-Adresse

• Standorte

• Bestellungen, Retouren

• Zahlungen

• Angaben zu Ausbildung und beruflichem Werdegang

• Zeugnisse und Zertifikate

• Leistungsbewertungen

• Urlaubs- und Krankheitszeiten

• Höhe und Zusammensetzung von Lohn oder Gehalt

Unter „besondere Arten personenbezogener Daten“ nennt § 9 DSGVO sensible Daten, die besonders schützenswert sind. Dazu gehören:

• Angaben zu rassischer und ethnischer Herkunft

• Angaben zu politischen, religiösen oder weltanschaulichen Überzeugungen

• Angaben zur Gewerkschaftszugehörigkeit

• Genetische Daten

• Biometrische Daten, wie Fingerabdrücke oder Netzhaut-Scans

• Gesundheitsdaten

• Angaben zum Sexualleben oder zur sexuellen Orientierung

Sobald personenbezogener Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten dafür die Vorschriften der DSGVO. Was muss im Umgang mit den Daten beachtet werden?

Personendaten zu speichern und zu verarbeiten ist grundsätzlich verboten – es sei denn, es liegt ein Fall vor, in dem es ausdrücklich erlaubt ist. Auch dann gilt das Gebot der Datensparsamkeit: Es dürfen nur die Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind, also so wenig wie möglich.

§ 6 DSGVO definiert vier Fälle oder Rechtsgrundlagen für die Datenverarbeitung:

Eine Person kann freiwillig zustimmen, dass ihre Daten verarbeitet werden dürfen. Zuvor muss die Person jedoch informiert worden sein, welche Daten für welchen Zweck verwendet werden sollen. Die Einwilligung ist jederzeit widerrufbar.

Beispiel: Eine Person akzeptiert Cookies für die Nutzungsanalyse auf einer Website und willigt ein, dass die Nutzungsdaten für die Marktforschung verwendet werden dürfen.

Um einen Vertrag zu schließen und zu erfüllen, dürfen personenbezogene Daten verarbeitet werden.

Beispiel: Ein Arbeitgeber speichert Daten über seine Arbeitnehmer:innen in seiner Personalsoftware, um das im Arbeitsvertrag vereinbarte Arbeitsverhältnis ausführen zu können. Oder ein Unternehmen speichert die Adresse von Kund:innen für die Lieferung.

Personendaten dürfen verarbeitet werden, wenn ein berechtigtes Interesse daran stärker wiegt als der Schutz der Freiheit der Betroffenen und eine Einschränkung rechtfertigt.

Beispiel: Ein Unternehmen überwacht die Internetnutzung seiner Beschäftigten, um die IT-Sicherheit sicherzustellen und Betrug zu verhindern.

Die Datenverarbeitung ist ebenfalls zulässig, wenn sie erforderlich ist, um gesetzliche Pflichten zu erfüllen.

Beispiel: Das Finanzamt verarbeitet die Finanzdaten aller Bürger:innen, um die gesetzlich festgelegten Steuern einziehen zu können.

DSGVO-konform als Arbeitgeber

Wie stellen Arbeitgeber sicher, dass sie mit Personaldaten datenschutzkonform umgehen? Welche organisatorischen und technischen Vorkehrungen müssen sie treffen? Die kostenlose Checkliste für HR-Verantwortliche listet alles Wichtige auf.

Checkliste kostenlos herunterladen

Personenbezogene Daten dürfen nur zweckgebunden verarbeitet werden; also jeweils nur für den Zweck, für den eine Rechtsgrundlage vorliegt. Die Daten dürfen nicht einfach für weitere Zwecke verwendet werden.

Beispiel: Eine Kundin hat bei einer Bestellung im Online-Shop Ihre E-Mail-Adresse angegeben, um Informationen zur Lieferung zu erhalten. Das Unternehmen darf die Adresse nicht (ohne zusätzliche Einwilligung) nutzen, um ihr einen Newsletter zuzusenden.

Wer personenbezogene Daten speichert und verarbeitet, muss die Betroffenen darüber transparent und vollständig informieren: welche Daten verarbeitet werden und zu welchen Zwecken, und welche Rechte Betroffene in Verbindung mit der Datenverarbeitung haben. (§ 12-14 DSGVO)

Damit Menschen ihr Recht auf informationelle Selbstbestimmung wahrnehmen können, müssen sie wissen, wer welche Daten von ihnen verarbeitet. Daher gewährt ihnen § 15 das Recht, darüber jederzeit Auskunft von den Verantwortlichen zu verlangen.

Laut § 17 DSGVO müssen personenbezogene Daten unter anderem gelöscht werden, wenn

• sie für den vorgesehenen Zweck nicht mehr benötigt werden,

• die Einwilligung zur Verarbeitung widerrufen wird, oder

• die Daten unrechtmäßig erhoben wurden.

Wenn es gesetzliche Vorschriften gibt, dass die Daten länger aufbewahrt werden müssen, setzen diese das Recht auf Löschung außer Kraft.

Datenschutzgesetze in Deutschland gibt es seit den 1970-er Jahren. Durch die Digitalisierung hat das Thema nochmals eine ganz neue Bedeutung bekommen: heute lassen sich mühelos Milliarden an Datensätzen zu jeder einzelnen Person erfassen, verarbeiten und analysieren. Es ist kaum möglich, zu kontrollieren, wer die Daten nutzt und zu welchen Zwecken. Gleichzeitig steigt das Risiko von IT-Sicherheitslücken und Cyberangriffen, bei denen Daten gestohlen und später missbraucht werden.

Unsere Daten verraten viel über uns und bieten Angriffsflächen, um uns zu schaden oder zu manipulieren. Mögliche Risiken sind etwa:

• Identitätsdiebstahl, Betrug: Kriminelle nutzen die persönlichen Daten anderer Personen, um online Waren einzukaufen oder Zugang zu bestimmten Diensten zu erhalten

• Diskriminierung: Aufgrund von Daten zur Gesundheit lehnen Arbeitgeber bestimmte Kandidat:innen von vornherein ab.

• Meinungsmanipulation: Politische Parteien spielen gezielte Wahlwerbung an Menschen mit einer bestimmten Weltanschauung aus.

• Überwachung: Ein Staat kontrolliert die Bewegungen seiner Bürger:innen mithilfe von Videoüberwachung und Software zur Gesichtserkennung.

Es ist meist unproblematisch, wenn Personendaten für den ursprünglichen Zweck verwendet werden. Das Risiko besteht darin, dass gespeicherte Daten leicht missbraucht werden können; Gesetze drohen zwar Strafen an, können Missbrauch aber letztlich nicht verhindern. Daher sollte alle von uns darauf bedacht sein, verantwortungsvoll mit unseren Daten und denen von anderen umzugehen.