Personenbezogene Daten – die wichtigsten Fragen und Antworten zum Datenschutz
Egal, ob es um staatliche Institutionen, private Unternehmen, Arztpraxen oder soziale Medien geht: bei all diesen Organisationen werden personenbezogene Daten gesammelt und gespeichert. Die Menge der Daten kann dabei gross sein. Die Datenschutzgrundverordnung versucht diese daher so gut wie möglich zu schützen. Aus diesem Grund ist es für jedes Unternehmen unerlässlich, sich genau darüber zu informieren, welche Aspekte bei personenbezogenen Daten zu beachten sind. Zwar sind die Gesetze theoretisch genau definiert, jedoch ist die Umsetzung in der Praxis häufig mit Schwierigkeiten verbunden. In diesem Artikel findest du Antworten auf die wichtigsten Fragen rund um das Thema personenbezogene Daten.
Was versteht man unter der DSGVO und welche Grundsätze gelten im Datenschutz?
Die Datenschutzgrundverordnung (kurz: DSGVO) ist im Mai 2018 in Kraft getreten und geht gegen Verstösse gegen die Datensicherheit mit teils hohen Sanktionen vor. Sie gibt detaillierte Richtlinien zur Datenverarbeitung und -erhebung vor. Darüber hinaus kontrolliert sie die Einzelangaben von Firmen und prüft, ob Unternehmen ihre Nutzer in Bezug auf die Weiterverarbeitung persönlicher Angaben ausreichend aufklären.
Wie ist der Begriff „personenbezogene Daten“ definiert?
In der DSGVO ist der Begriff „personenbezogene Daten“ in Art. 4 gesetzlich festgelegt. Einfach ausgedrückt, sind personenbezogene Daten schlicht Angaben über die persönlichen oder sachlichen Verhältnisse einer Person. Fachlich ausgedrückt, geht es um eine „bestimmte“ oder „bestimmbare natürliche Person“, also den Betroffenen. Hier stellt sich jedoch schnell die Frage, welche Kriterien erfüllt sein müssen, damit eine Person als „bestimmt“ oder „bestimmbar“ bezeichnet werden kann. Wenn es um personenbezogene Daten geht, spielt also die Identifizierbarkeit eine grundlegende Rolle.
Was versteht man unter „natürlichen Personen"?
Man spricht dann von personenbezogenen Daten, wenn diese sich auf eine natürliche Person beziehen. Natürlich beschreibt dabei schlicht eine lebende Person. Weitere Einschränkungen macht die Klassifikation nicht: Es geht bei den in der Datenschutzverordnung genannten Personendaten um die Bestimmung von Personen weltweit. Für die Verarbeitung von Daten ist jedoch die Erfassung der personenbezogenen Daten von EU Bürgern ausschlaggebend.
Was sind im Bezug auf Datenschutz „identifizierte“ oder „identifizierbare Personen“?
Identifizierbar bedeutet im Grunde genommen nichts anderes als „bestimmbar“ und „identifiziert“ meint „bestimmt“. Im Zusammenhang mit der Datenschutzverordnung stellt sich die Frage, ob eine Information einer konkreten Person zugeordnet werden kann oder ob hierfür weitere Informationen notwendig wären. Die Identifizierung gilt dann, wenn die Zuordnung ohne weitere Informationen möglich ist. In diesem Fall kann also ein direkter Bezug zur betroffenen Person hergestellt werden. Sofern dies jedoch nicht der Fall sein sollte, mit zusätzlichen Informationen aber möglich ist, dann spricht man von einer identifizierbaren Person. Informationen können zudem auch von dritten Personen stammen.
Top Anwälte in Zurich und in der Nähe
Welche Personen oder Unternehmen müssen keine Einwilligung zur Sammlung ihrer Daten geben?
Juristische Personen wie beispielsweise Stiftungen, Gesellschaften, grosse Unternehmen oder Vereine gehören nicht zu den natürlichen Personen und sind deshalb nicht von der DSGVO geschützt. Eine genaue Regelung, wie mit verstorbenen natürlichen Personen umgegangen werden soll, gibt es in der DSGVO (Stand 2020) bisher nicht.
Welche Angaben zählen zu den personenbezogenenn Daten?
Ganz allgemein lässt sich sagen, dass alle Daten, mit denen ein Bezug zu einer Person hergestellt werden kann, zu den personenbezogenen Daten zählen. Laut der Datenschutzgrundverordnung geht es um die Zuordnung einer bestimmten Person zu einer Kennung, etwa über Namen, Kennnummer, Standort, Onlinekennung oder andere besonderen Merkmale, wie beispielsweise den Ausdruck der physischen, psychischen, wirtschaftlichen, kulturellen, genetischen oder sozialen Identität.
Klassische Beispiele für personenbezogene Daten sind:
- Name
- Anschrift
- Telefonnummer
- Handynummer
- E-Mail-Adresse
- Personalnummer
- Kreditkartennummer
- Kontodaten
- Online Daten wie IP-Adresse
- Standortdaten
- Autokennzeichen
Übrigens: Auch physische Daten, also die äussere Erscheinung gehört zu den personenbezogenen Daten. Ebenso zählen Sachverhalte wie Religionszugehörigkeit oder Staatszugehörigkeit oder Mitgliedschaften in Sportvereinen und anderen Organisationen zu den Personendaten.
Welche Grundsätze gibt es für anonymisierte und pseudonymisierte Daten?
- Anonymisierte Daten: Wenn die Daten anonymisiert sind, kann die Person nicht identifiziert werden und somit geht es bei den Daten nicht um personenbezogene Daten. Wird beispielsweise in der Politik oder in einem Unternehmen anonym abgestimmt, können keine Rückschlüsse auf einzelne Personen gezogen werden. Deshalb handelt es sich in diesem Fall nicht um personenbezogene Daten.
- Pseudonymisierte Daten: Diese Daten gehören zu den personenbezogenen Daten. Sobald zusätzliche Informationen vorliegen, kann mithilfe der pseudonymisierten Daten ein Rückschluss auf die ursprüngliche Person gezogen werden. Deshalb gelten diese Daten als personenbezogen.
Die Grundsätze der DSGVO sind also immer dann gültig sind, wenn Personendaten nach der Definition der Verordnung erhoben und verarbeitet werden (können). Auch wenn es bestimmte Erwägungsgründe gibt, die darauf hinweisen, dass die Zuordnung nicht eindeutig oder einfach ist, handelt es sich dabei um Personendaten. Für die Verarbeitung und Erhebung wird deshalb stets die Einwilligung der betroffenen Person vorausgesetzt.
Erstellt: 08.12.2020 - Copyright: 2020 Swisscom Directories AG