Was sind personenbezogene Daten (DSGVO)?

Bei der DSGVO geht es um den Schutz der personenbezogenen Daten von EU-Bürgern und -Einwohnern. Wenn Sie verstehen, was dies bedeutet, kann Ihr Unternehmen die DSGVO-Anforderungen in den Griff bekommen. Die DSGVO gilt nämlich nur für personenbezogene Daten. Aber was genau sind personenbezogene Daten? In diesem Artikel helfen wir Ihnen, herauszufinden, welche Ihrer Daten unter die DSGVO-Vorschriften fallen, und verhindern so hoffentlich, dass Sie unnötigerweise nützliche Informationen löschen.

Wir werden auch den Unterschied zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten erklären - eine wichtige Unterscheidung im Rahmen der DSGVO, die Auswirkungen darauf hat, wie sie erhoben, gespeichert und verarbeitet werden.

Was genau sind personenbezogene Daten?

Leider enthält die DSGVO keine umfassende Liste dessen, was sie als personenbezogene Daten betrachtet. In den Vorschriften heißt es, dass personenbezogene Daten "alle Informationen über eine bestimmbare natürliche Person" sind.

Für den Laien bedeutet dies jede Information, die - allein oder in Kombination mit anderen Informationen - zur Identifizierung einer lebenden betroffenen Person verwendet werden kann. Personenbezogene Daten können etwas Offensichtliches sein, wie ein Name oder ein Benutzername, oder etwas weniger Offensichtliches, wie Sitzungsaufzeichnungen.

Der Grund dafür ist, dass solche Daten verwendet werden können, um Ihre physische Anwesenheit irgendwo zu bestätigen. Dazu gehören auch Telefonstandortdaten, IP-Adressen und Cookie-Daten sowie E-Mail- und Privatadressen.

Es ist jedoch wichtig, sich daran zu erinnern, dass diese Dinge für sich genommen nicht notwendigerweise personenbezogene Daten im Sinne der DSGVO darstellen - es hängt alles von den jeweiligen Umständen ab.

Was hat der Umstand damit zu tun?

Nehmen wir zum Beispiel den Namen einer Person.

Man könnte annehmen, dass dieser im Rahmen der DSGVO immer als personenbezogene Daten eingestuft wird, aber das wäre falsch. Da es in den USA 48.532 John Smiths gibt, kann dieser Name allein nicht zur Identifizierung einer bestimmten Person verwendet werden (US Census Bureau). Im Vergleich dazu kann man wahrscheinlich sagen, dass der Sohn von Elon Musk die einzige Person auf dem Planeten ist, die X Æ A-12 Musk heißt (im Moment).

Es liegt daher auf der Hand, dass die Datenschutz-Grundverordnung seinen Namen als personenbezogene Daten betrachtet, da diese Information allein ausreicht, um seine individuelle Identität festzustellen. Dies ändert sich jedoch, wenn sie mit anderen gespeicherten Informationen kombiniert wird. Die E-Mail-Adresse johnsmith@businessx.com würde als personenbezogene Daten betrachtet werden, da sie darauf hinweist, dass es nur einen John Smith gibt, der für dieses Unternehmen arbeitet.

Gilt etwas nicht als personenbezogene Daten?

In den meisten Fällen gelten die Daten von Verstorbenen nicht als personenbezogene Daten im Sinne der DSGVO. Im Erwägungsgrund 26 heißt es außerdem, dass anonyme Daten nicht unter die Vorschriften der DSGVO fallen. Unter Anonymisierung versteht man das Entfernen aller persönlichen Identifikatoren aus Daten. Sie ist nicht zu verwechseln mit pseudonymisierten oder verschlüsselten Daten, die immer noch zur Identifizierung von Personen weiterverarbeitet werden können. Die DSGVO fördert jedoch aktiv die Pseudonymisierung personenbezogener Daten, da sie ein zusätzliches Maß an Sicherheit für die betroffenen Personen bietet. Denn auf pseudonymisierte Daten können nur autorisierte Mitarbeiter zugreifen, wodurch die Risiken für die Privatsphäre von Personen, die ihre Daten an Unternehmen weitergegeben haben, verringert werden.

Was ist mit den sensiblen personenbezogenen Daten der DSGVO?

Sensible personenbezogene Daten - oder "Daten einer besonderen Kategorie" im offiziellen Jargon von Artikel 9 - wurden von der DSGVO als etwas hervorgehoben, das mit besonderer Sicherheit behandelt werden muss. Hier sind alle Beispiele für sensible personenbezogene Daten:

• Rasse oder ethnische Herkunft
• Politische Ansichten
• Religiöse oder philosophische Überzeugungen
• Mitgliedschaft in einer Gewerkschaft
• Strafregister
• Vertrauliche Daten
• Genetische Daten
• Finanzielle Daten
• Biometrische Daten
• Gesundheitliche Daten
• Sexualleben oder sexuelle Orientierung
• Geschäftliche oder berufliche Informationen

Diese Unterscheidung zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten ist wichtig. Gemäß der DSGVO dürfen sensible Daten nur verarbeitet werden, wenn sie eine oder mehrere der folgenden Bedingungen erfüllen:

• Wenn die Person ausdrücklich zugestimmt hat oder die Daten bereits veröffentlicht wurden
• Wenn die Daten erforderlich sind, um die Interessen der betroffenen Personen zu schützen, die physisch nicht in der Lage sind, ihre Zustimmung zu geben
• Die Daten sind für die Erfüllung der gesetzlichen Anforderungen in den Bereichen Beschäftigung, soziale Sicherheit oder Sozialschutz erforderlich.
• Wenn die Daten von einer gemeinnützigen Organisation für die Durchführung legitimer Aktivitäten benötigt werden
• wenn die Daten für Tätigkeiten im Zusammenhang mit einem erheblichen öffentlichen Interesse im Bereich Gesundheit oder Medizin benötigt werden

Sie sind bereit für Daten

Hoffentlich haben Sie jetzt eine bessere Vorstellung davon, welche personenbezogenen und sensiblen Daten Sie gespeichert haben. Dies ist der erste Schritt zur Identifizierung und Klassifizierung von Daten und zur Sicherstellung, dass die Art und Weise, wie Sie personenbezogene Daten speichern, die Rechte von EU-Internetnutzern im Rahmen der DSGVO respektiert. Die Verbesserung der Sicherheit dieser sensiblen Informationen wird Sie auch im unglücklichen Fall einer Datenschutzverletzung besser schützen und die Geldstrafen, die Ihr Unternehmen von den Datenschutzbehörden erhalten würde, verringern.

Mehr über die DSGVO und den Datenschutz erfahren Sie in unserem umfassenden Leitfaden.