Datenschutzrecht und DSGVO (I): Was sind personenbezogene Daten?

Datenschutzrecht – wer oder was wird geschützt?

Zweck des Datenschutzrechts ist nicht der Schutz von Daten. Es bezweckt nicht die Geheimhaltung von Daten von Unternehmen oder Organisationen, den Schutz vor Industriespionage o.ä. Dieser Schutz von Daten ist Gegenstand anderer Gesetze.

Das Datenschutzrecht schützt Menschen vor den Gefahren der modernen Datenverarbeitung.

So lautet der Titel der Datenschutz-Grundverordnung (DSGVO) vollständig: “Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG”. Oberster Erwägungsgrund der DSGVO ist folgender: “Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union sowie Artikel 16 Absatz 1 der des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Artikel 1 Abs. 2 der DSGVO lautet: “Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.”

In § 1 Absatz 1 Bundesdatenschutzgesetz (BDSG) heißt es: “Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Das Datenschutzrecht schützt also das Recht von Menschen auf Schutz von deren personenbezogenen Daten.

Was sind personenbezogene Daten?

“personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person”) beziehen; als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;” (Artikel 4 Ziffer 1 DSGVO). Es muss die Möglichkeit der Identifizierung der Person bestehen, was z.B bei einer IP-Adresse (Online-Kennung)  der Fall ist, da diese auf Anordnung eines Gerichts von einem Internet-Zugangsprovider einem Kunden zugewiesen werden kann.

Informationen, die sich auf eine Person beziehen sind z.B Name, Alter, Familienstand, Geburtsdatum, Anschrift, Telefonnummer, E-Mailadresse, IP-Adresse, Konto- und Kreditkartennummer, Kraftfahrzeugnummer, Kfz-Kennzeichen, Personalausweisnummer, Sozialversicherungsnummer, Vorstrafen, Werturteile wie z. B. Zeugnisse, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Informationen, die sich auf eine Person beziehen sind auch ein Werbe-Cookie auf einem Computer und die darin gespeicherten Daten. Die dahinterstehende Person kann über die IP-Adresse identifiziert werden.

Was sind keine personenbezogenen Daten?

Anonyme Daten, z. B. Statistiken über Besuche einer Webseite oder die Bonität einer Region lassen keine Rückschlüsse auf konkrete Personen zu und sind daher keine personenbezogenen Daten. Anonyme Daten können allerdings zu personenbezogenen Daten werden, wenn sie mit personenbezogenen Daten vermengt werden, z. B. wenn die Statistik über die Bonität einer Region mit Adressen von Personen verbunden wird.

Die Informationen müssen sich auf einen Menschen beziehen. Einzelangaben über juristische Personen sind keine personenbezogenen Daten. Als juristische Person wird eine Personenvereinigung oder ein Zweckvermögen mit anerkannter rechtlicher Selbständigkeit bezeichnet. Juristische Person des Privatrechts sind die Stiftung bürgerlichen Rechts und folgende Körperschaften des Privatrechts: Verein (eingetragener Verein, altrechtlicher Verein, rechtsfähiger wirtschaftlicher Verein), Aktiengesellschaft, Kommanditgesellschaft auf Aktien, Gesellschaft mit beschränkter Haftung einschließlich der Unternehmergesellschaft, eingetragene Genossenschaft und Europäische Gesellschaft. Juristische Personen des öffentlichen Rechts sind Körperschaften des öffentlichen Rechts, Anstalten des öffentlichen Rechts und Stiftungen des öffentlichen Rechts. Körperschaften des öffentlichen Rechts können Gebietskörperschaften (Bund, Länder, Landkreise und Gemeinden), Verbandskörperschaften (Gemeindeverbände) und Personal- und Realkörperschaften (Industrie- und Handelskammern, Handwerkskammern und Universitäten) sein.

Ändert sich der Schutzzweck und der Begriff “personenbezogene Daten” durch die DSGVO?

Der Schutzzweck des Datenschutzrechts und die Definition der “personenbezogen Daten” in der ab dem 25. Mai 2018 geltenden DSGVO entsprechen denen des bereits jetzt in Deutschland geltenden Bundesdatenschutzgesetzes (BDSG). Insoweit ändert sich durch die DSGVO nichts.