Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Personenbezogene Daten

Der Begriff „personenbezogene Daten“ ist gesetzlich definiert in Art. 4 Nr. 1 EU-Datenschutz-Grundverordnung (DSGVO) als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

„Personenbezogene Daten“ in der DSGVO

Als identifizierbar bezeichnet die DSGVO eine natürliche Person, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

➜ Was heißt das konkret für den Umgang mit personenbezogenen Daten?

Personenbezogene Daten
Bild: ©NicoElNino / iStock / Getty Images Plus
Klarstellungen des BGH

Jemand verlangt von seinem Finanzberater eine Kopie aller seiner personenbezogenen Daten, die dort vorhanden sind. Es geht um Daten aus einem Zeitraum von etwa 17 Jahren. Für welche Unterlagen besteht ein solcher Anspruch, für welche nicht? Der Bundesgerichtshof (BGH) trifft eine bemerkenswerte Unterscheidung.

IP-Adressen: So prüfen Sie die Speicherpraxis
Bild: popba / iStock / Thinkstock
Datenschutz für IP-Adressen

Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?

Im Gespräch mit Thomas Fuchs

Meta hatte Mitte Juni 2024 angekündigt, seine KI (Künstliche Intelligenz) mit den Daten der Nutzerinnen und Nutzer von Facebook und Instagram zu trainieren. Wer das nicht wollte, musste widersprechen. Nach Intervention der Datenschutzaufsichtsbehörden verzichtet Meta in Europa vorerst auf das KI-Training. Wir haben Thomas Fuchs, den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, dazu befragt.

EuGH zu personenbezogenen Daten

Ohne Tests geht in der IT kaum etwas. Denn wie soll man sonst wissen, ob eine Anwendung funktioniert? Für Tests braucht man Daten. Manchmal genügen fiktive Daten. Manchmal müssen die Daten aber auch echt sein. Was sind jeweils die Vorgaben der DSGVO?

Klarheit durch den EuG

Wann eine Information personenbezogen ist, ist eine grundlegende Frage für die Anwendbarkeit der DSGVO. Gerade mit Blick auf KI & Co. ist sie entscheidend dafür, ob die Grundsätze der DSGVO zu beachten sind. Aber die Frage stellt sich – wenngleich mit leicht geänderter Perspektive – auch z.B. bei einer Kopie im Rahmen des Auskunftsanspruchs.

Wann ist die Fahrzeug-Identifikationsnummer personenbezogen?
Bild: iStock.com / Nataliya Dmytrenko
Wann haben Daten diese Eigenschaft, wann nicht?

Die DSGVO gilt nur für personenbezogene Daten. Wann aber sind Daten personenbezogen? Steht der Name der betroffenen Person direkt dabei, ist der Personenbezug klar. Was, wenn das nicht der Fall ist? Der Europäische Gerichtshof (EuGH) hat sich dazu geäußert. Seine Antwort fällt differenziert aus. Mit der „typisch deutschen“ Diskussion, ob der Personenbezug „absolut“ oder „relativ“ zu verstehen ist, hält er sich dabei nicht auf.

Video- und Fotoaufnahmen

Im Hof einer Wohnanlage toben sich Kinder und Jugendliche fast jeden Tag aus. Irgendwann wird einer Bewohnerin der Lärm zu viel. Sie will das Ganze für eine Beschwerde bei der Hausverwaltung dokumentieren. Deshalb filmt und fotografiert sie einige der Kinder. Ist das o.k. oder geht das zu weit?

Was Sie über das Ausspähen von Daten wissen sollten
Bild: MicrovOne / iStock / Getty Images
Ausspähung von Daten und Datendiebstahl

Auch wenn viel von Datendiebstahl die Rede ist: Eigentlich gibt es keinen Diebstahl von Daten. Wohl aber die Ausspähung von Daten, die unter Strafe steht. Neben dem Datenschutzrecht greift hier das Strafrecht.

Im Gespräch mit Dr. Imke Sommer

Zwei Fälle von Veröffentlichungen personenbezogener Daten haben die Aufmerksamkeit der bremischen Datenschutzaufsicht auf sich gezogen. Die Vorgänge erscheinen nochmal kritischer vor dem Hintergrund lernender KI-Systeme, die sich ihre Wissensbasis aus frei verfügbaren Daten anhäufen. Ein spannendes Interview mit Dr. Imke Sommer, der bremischen Beauftragten für Datenschutz und Informationsfreiheit.

Experten und Datenschutzbeauftragte aus ganz Europa beschäftigten sich am „Europäischen Datenschutztag“ mit dem Data Act .
Bild: http://www.fotogestoeber.de / iStock / Getty Images Plus
Europäischer Datenschutztag

Was bedeutet der geplante Data Act der Europäischen Union für die Zukunft des Datenschutzes? Mit dieser Frage beschäftigten sich am „Europäischen Datenschutztag“ Experten und Datenschutzbeauftragte aus ganz Europa.

1 von 3

Weitere rechtliche Definitionen findet man in Gesetzen, Vorschriften und Rechtsprechungen wie

  • § 67 SGB-X (Definition von Sozialdaten als Unterfall der personenbezogenen Daten)
  • Urteil des Europäischen Gerichtshofs (EuGH) vom 19.10.2016 (Rs. C–582/14) über den Personenbezug von IP-Adressen (Breyer-Urteil)
  • Urteil des Bundesgerichtshofs (BGH) vom 16.05.2017 (Az. VI ZR 135/13) über den Personenbezug von dynamischen IP-Adressen

Angaben über eine Person

Vom Datenschutz umfasst sind „alle Informationen“, die sich direkt oder indirekt auf einen Menschen beziehen.

Das ist weit auszulegen. Einzelangaben mit Personenbezug sind beispielsweise:

  • Name und Identifikationsmerkmale (z.B. Geburtsdatum, Namenszusätze, Ausweisnummer)
  • Kontaktdaten (z.B. Postanschrift, E-Mail-Adresse, Telefonnummer)
  • körperliche Merkmale (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck)
  • geistige Zustände (z.B. Einstellungen, Überzeugungen, Geschäftsfähigkeit)
  • Verbindungen und Beziehungen (z.B. Verwandtschafts- und Freundschaftsbeziehungen, Arbeitgeber)
  • weitere Daten (z.B. Standortdaten, Nutzungsdaten, Handlungen, Äußerungen, Werturteile, beruflicher Werdegang, Bankverbindungen etc.)

Es geht nur um natürliche Personen

Personenbezogen sind Daten nur dann, wenn sie sich auf eine „natürliche Person“ im Rechtssinn beziehen. Gemeint ist damit ein lebender Mensch.

Für Verstorbene dagegen fehlt eine ausdrückliche Regelung, weshalb das Datenschutzrecht im engen Sinn für sie nicht unmittelbar anwendbar ist.

Die Erwägungsgründe zur DSGVO besagen hierzu: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.“

Angaben über „juristische Personen“ (GmbH, AG, Vereine, Stiftungen etc.) sind nicht personenbezogen und deshalb nicht durch das Datenschutzrecht geschützt.

Informationen, die sich zwar auf eine juristische Person beziehen, jedoch automatisch auch Aussagen über die dahinterstehende Person treffen, sind ebenfalls als personenbezogene bzw. -beziehbare Daten zu behandeln. Das betrifft zum Beispiel Einpersonengesellschaften oder Einzelkaufleute.

Identifizierte oder identifizierbare Personen

Personenbezogen sind Daten nur, wenn sie sich auf eine identifizierte (bestimmte) oder identifizierbare (bestimmbare) natürliche Person beziehen.

Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt.

Beispiel für eine bestimmte Person: „Herr Schmidt arbeitet bei der Firma XY.“

Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen. Aber mithilfe von Zusatzwissen lässt sich die Person ausfindig machen.

Beispiel für eine identifizierbare Personen: „Der Mitarbeiter mit der Personalnummer 1234 hat im letzten Monat zehn Überstunden angesammelt.“

Zumindest für Mitarbeiter der Personalabteilung ist es möglich, die Personalnummer und damit die gesamte Aussage einem konkreten Menschen zuordnen.

Die Bedeutung von Zusatzwissen

Die entscheidende Frage ist, ob man das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es genügt, wenn irgendein anderer es hat.

Der Europäische Gerichtshof stellte klar: Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es [ihr] erlauben, die betreffende Person anhand der Zusatzinformationen […] bestimmen zu lassen“ (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49).

Die „rechtlichen Mittel“ sind auch gegeben, wenn man Dritte einschalten kann und diese rechtlich gezwungen sind, Auskünfte zur Identität zu geben (BGH, Urteil vom 16.05.2017, Az. VI ZR 135/13).

Somit liegt ein Personenbezug nur dann nicht vor, wenn die Identifizierung der betreffenden Person praktisch nicht durchführbar oder gesetzlich verboten ist.

Beispiel: IP-Adressen können personenbezogene Daten sein!

Die Frage nach dem Zusatzwissen war anhand von IP-Adressen durch EuGH und BGH entschieden worden.

Für den Telekommunikationsanbieter stellt die IP-Adresse, die er einem Internetnutzer (Kunden) zuweist, ein personenbezogenes Datum dar.

Er besitzt die tatsächliche Möglichkeit, eine Verbindung zwischen IP-Adresse und Nutzernamen herzustellen.

Für einen Webseiten-Betreiber besitzt die IP-Adresse einen Personenbezug, weil er entweder eigenes Zusatzwissen nutzen kann (z.B. wenn ein Seitennutzer das Kontaktformular nutzt und dort personenbezogene Daten einträgt) oder weil er rechtliche Möglichkeiten besitzt, die Angabe beim Telekommunikations-Anbieter nachzufragen.

Das ist grundsätzlich immer der Fall, so der BGH. Denn er kann sich etwa bei Cyberattacken an die zuständige Behörde wenden. Er besitzt deshalb stets die rechtliche Möglichkeit, den Nutzer identifizieren zu lassen.

Aus diesem Grund stellt die IP-Adresse für einen Webseiten-Betreiber ein personenbezogenes Datum dar.

Anonymisierte und pseudonymisierte Daten

Liegen anonymisierte Daten vor, handelt es sich nicht um personenbezogene Daten, weil die Bezugsperson weder identifiziert noch identifizierbar ist.

Bei pseudonymisierten Daten ist das anders: Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen zugreifen kann, handelt es sich um ein personenbezogenes Datum, und das Datenschutzrecht kommt zur Anwendung.

Lesen Sie dazu auch den Beitrag Anonymisierung und Pseudonymisierung von Kundendaten

Was sind besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.

Wie definiert die DSGVO besondere Kategorien personenbezogener Daten?

Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als solche besonderer Kategorien, wenn sie besonders sensibel und schutzbedürftig sind, weil ihre Verarbeitung erhebliche Risiken für die betroffenen Personen mit sich bringen kann. Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) nennt als entsprechende personenbezogene Daten solche,

  • aus denen die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen, sowie
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Welche weiteren Beispiele gibt es?

Besonders schutzbedürftig sind alle Angaben, die direkt oder indirekt Informationen zu diesen Datenkategorien vermitteln.

Die Aufsichtsbehörden für den Datenschutz nennen als Beispiele

  • die Einnahme von Medikamenten,
  • die körperliche oder geistige Verfassung oder
  • den regelmäßigen Besuch einer bestimmten Kirche.

Was müssen Verantwortliche beachten, wenn sie solche Daten verarbeiten?

Verantwortliche dürfen personenbezogene Daten besonderer Kategorien nicht verarbeiten. Es sei denn, die Verarbeitung ist in den besonderen Fällen, die Art. 9 DSGVO nennt, zulässig.

Ausnahmen vom allgemeinen Verbot, diese besonderen Kategorien personenbezogener Daten zu verarbeiten, bestehen unter anderem,

  • wenn die betroffene Person für einen oder mehrere festgelegte Zwecke eindeutig eingewilligt hat, oder
  • bei bestimmten Notwendigkeiten, die Art. 9 DSGVO nennt. Dazu gehört unter anderem der Schutz lebenswichtiger Interessen.

Automatisierte Entscheidungen, die auf Kategorien besonderer Daten beruhen, sind nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat. Oder die Verarbeitung erfolgt auf einer speziellen Rechtsgrundlage und ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Verantwortliche, die besondere Datenkategorien verarbeiten, haben in jedem Fall ein Verzeichnis aller ihrer Zuständigkeit unterliegenden Verarbeitungstätigkeiten zu führen.

Ist die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich, müssen Verantwortliche eine Datenschutz-Folgenabschätzung durchführen.

Zudem müssen sie einen Datenschutzbeauftragten benennen, wenn in dieser umfangreichen Datenverarbeitung die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt.

Was gehört nicht zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO?

Die Erwägungsgründe zur DSGVO nennen auch Fälle, in denen man fälschlich davon ausgehen könnte, dass personenbezogene Daten besonderer Kategorie vorliegen. So soll die Verarbeitung von Lichtbildern nicht grundsätzlich eine Verarbeitung besonderer Kategorien von personenbezogenen Daten sein.

Denn Lichtbilder sind nur dann von der Definition des Begriffs „biometrische Daten“ erfasst, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die es ermöglichen, eine natürliche Person eindeutig zu identifizieren oder zu authentifizieren.

Die Datenschutz-Aufsichtsbehörden nennen zudem Beispiele, wann Angaben zu personenbezogenen Daten besonderer Kategorie nicht automatisch die strengeren Vorgaben für die Verarbeitung mit sich bringen:

  • Demnach ist bloßer Alkoholkonsum im Gegensatz zu einer Alkoholabhängigkeit kein Gesundheitsdatum.
  • Der rein geographische Geburtsort ist keine Angabe über die rassische oder ethnische Herkunft.
  • Und der einmalige Besuch eines Sakralbaus ist keine Aussage über eine religiöse Überzeugung.

Weitere Beispiele für personenbezogene Daten

Fotos von Personen: Jede Fotografie, auf der ein Mensch abgebildet ist, stellt ein personenbezogenes Datum dar.

Jedoch fallen solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ gemacht werden, nicht in den Anwendungsbereich der DSGVO.

Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Anderes gilt, wenn Fotos einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann.

So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DSGVO in diesen Fällen Anwendung findet.

Fahrzeugdaten: Jedes Fahrzeug ist mit einer eindeutigen Fahrgestellnummer gekennzeichnet. Diese Fahrzeug-Identifizierungsnummer ist in Deutschland über eine Auskunft beim Kraftfahrtbundesamt auf den gegenwärtigen und ehemaligen Halter des Fahrzeugs rückführbar.

Es gibt auch weitere Möglichkeiten, aus einem Fahrzeug erhobene Daten auf den Halter oder Fahrer zurückzuführen, z.B. über das Kfz-Kennzeichen.

Die bei vernetzten Fahrzeugen von Steuergeräten generierten oder verarbeiteten Daten können daher personenbezogen sein oder unter bestimmten Voraussetzungen personenbezogen werden.

Je nachdem, welche Fahrzeugdaten vorliegen, sind gegebenenfalls Rückschlüsse z.B. auf Fahrverhalten, Standort oder Fahrtroute bzw. auf das Nutzungsverhalten möglich.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.