BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

§ 3 Weitere Begriffsbestimmungen

Absatz 1 Text

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Beispiele für personenbezogene Daten

Namen, Personennummern und -kennzeichen

Namen, Personennummern und -kennzeichen, die isoliert vorliegen, vermitteln Informationen über persönliche Verhältnisse nur, wenn sie „sprechend“ sind (Vorname kann Geschlecht angeben; einige Personennummern enthalten das Geburtsdatum). In der Praxis werden sie über ihren regelmäßig vorliegenden Kontext mit weiteren Daten zu personenbezogenen Daten. Eine Kontonummer mit Bankleitzahl sagt aus, dass der Inhaber ein Konto bei dem Kreditinstitut hat oder hatte; der Betroffene ist infolge der vielfachen Verwendung oft bestimmbar.

E-Mail-Adressen

E-Mail-Adressen vermitteln, wenn der Inhaber eine natürliche Person ist, in der Regel den Personenbezug. Durch ihre bisherige Verwendung im Rahmen der E-Mail-Kommunikation und durch Bekanntgabe auf Briefbögen, Visitenkarten etc. ist der Inhaber einer gegebenen E-Mail-Adresse oft vielen Personen bekannt. Auch bei Verwendung einer falschen, fremden E-Mail-Adresse („Maskerade“) kann der Absender mit Hilfe der IP-Nummer des absendenden Rechners bestimmbar sein). Bei Absendung in einem Internet-Café oder über ein Remailing-System kann die Zuordnung zu einem bestimmtem Nutzer allenfalls über bei diesen vorhandene Daten erfolgen; für Dritte fehlt in der Regel der Personenbezug. Inhaltsinformationen aus E-Mails können über die E-Mail-Adressen den Beteiligten zugeordnet werden. Hat der Inhaber seinen E-Mail-Account einer anderen Person überlassen, etwa Bekannten oder mehreren Mitarbeitern, so sind die Daten dem Inhaber zuzurechnen; dem tatsächlichen Benutzer nur, soweit der Inhaber die Zuordnung tatsächlich vornehmen kann und rechtmäßig mitteilen darf, oder an Hand identifizierender Inhaltsdaten.

IP-Adressen

Werden IP-Adressen an Rechner im Netzwerk vergeben und von einer Vielzahl natürlicher Personen genutzt, dann können zwar die Aktivitäten der einzelnen Benutzer nicht unbedingt mittels IP-Adresse, ggf. aber mit Hilfe von geführten Log-Dateien auf den beteiligten Systemen bestimmt werden. Durch Zwischenschaltung von Anonymisierungsdiensten kann der Personenbezug aufgehoben werden, soweit rechtlich und faktisch die Anonymität gewährleistet ist und keine anderen Daten für eine Personenbestimmung zur Verfügung stehen (Zusatzwissen durch Protokollierung von Accounts und ähnlichem). Lassen Strafverfolgungsorgane die Anonymität aufheben, wird dadurch der bis dahin für Außenstehende nicht vorhandene Personenbezug für diejenigen wiederhergestellt, denen die Identität ggf. im Verlauf des Ermittlungs- und Strafverfahrens offen gelegt wird (relativer Personenbezug).

Domain-Inhaber

Die Inhaber von Internet-Domain-Namen sind nach dem Registrar Registration Agreement (RAA) in den WHOIS-Datenbanken des ICANN und der regionalen Vergabeorganisationen verzeichnet, in der Regel mit Namen, Anschrift, Telefonnummer, Faxnummer und E-Mail- Adresse; damit ist der Internet-Domain-Namen regelmäßig personenbezogen, wenn der Inhaber eine natürliche Person ist. Allerdings erlangt damit nicht per se der gesamte Inhalt der Domain ebenfalls diese Qualität; vielmehr kommt es auf den direkten Bezug an.

Cookies

Cookies (auch HTTP Cookies genannt) sind kleine Dateien, die durch die Webseite des Anbieters erzeugt werden. Der die Seite aufrufende Web-Browser speichert diese Dateien auf der Festplatte des Rechners des Nutzers meist ohne dessen Wissen. Cookies enthalten zumeist keine identifizierenden Merkmale, werden vom Anbieter beim ersten Besuch einer Webseite gesetzt („first party cookie“) und wenn nicht gelöscht fortgeschrieben. Sie dienen bei späteren Besuchen zur Wiedererkennung, ggf. auch der Verknüpfung von Daten und eignen sich dadurch zur Profilbildung. Soweit der Nutzer nicht bekannt ist, fungiert das Cookie als Pseudonym. Damit kann auch ein in den Dateien des Anbieters bereits vorhandener oder ein bei einer künftigen Verbindung vom Benutzer – etwa anlässlich eines Vertragsschusses – gelieferter Personenbezug genutzt werden. Cookies liefern also durch ihre verknüpfende Eigenschaft in manchen Situationen aktuell (zusätzliche) personenbezogene Daten, in anderen solche, die zunächst anonym sind, im üblichen weiteren Verlauf aber Personenbezug erhalten können, ohne dass der Nutzer sich dessen bewusst ist. Potentiell personenbezogene Daten müssen von Anfang an wie personenbezogene Daten behandelt werden.

Bild und Ton

Darstellungen in Bild und Ton werden vom Datenschutz ebenso umfasst wie sprachlich vermittelte Angaben.

Pseudonyme

Pseudonyme, d.h. Namen und Zeichenfolgen mit Namensersatzfunktion, sind personenbezogen bzw. vermitteln Personenbezug, wenn bekannt ist oder mit zugänglichem Zusatzwissen festgestellt werden kann, auf welche Person sie sich beziehen. Daten über Avatare und andere virtuelle Persönlichkeiten sind als solche keine personenbezogenen Daten, können aber personenbezogene Daten des Autors oder einer sonstigen repräsentierten natürlichen Person sein, wenn er/sie bestimmbar ist.

Spuren

Blutproben und aufgenommene Spuren sind (im Gegensatz zu den Gegenständen der Außenwelt selbst) als Angaben einzustufen.

Zeitangaben oder Zeitstempel

Zeitangaben oder Zeitstempel sind zwar nicht als isolierte Daten personenbezogene Daten, wohl aber in Verbindung mit anderen personenbezogenen Daten.

RFID

RFID („radio-frequency identification“) Tags (Funkchips) können je nach Inhalt und Kontext personenbezogene Daten vermitteln. Sie bestehen aus einem Mikrochip und einer Empfangs-/Sende-Antenne für Funk oder Radar. Der Chip enthält eine Vicinity Integrated Circuit Card (ViCC) mit einer weltweit eindeutigen Kennung (Unique Identifier (UID), Elektronischer Produktcode (EPC)) und optional einen Speicher für weitere Daten, evtl. mit permanenter Schreibfunktion („aktive“, andernfalls „ Ein mit einer Ware verbundener RFID Tag, der selbst nur eine Waren-Identifikation und/oder warenbezogene Daten enthält, vermittelt personenbezogene Daten ihres Inhabers/Besitzers, sobald er unter Bedingungen gelesen wird, die eine Verknüpfung mit dessen Person erlauben, so bei Verbindung mit diese identifizierenden Daten etwa aus einer Kunden- oder Zahlungskarte beim Kassieren oder beim Lesen während ihrer körperlichen Anwesenheit.

Scoring-Wert

Mit einem Score, Score-Wert oder Scoring-Wert weist eine verantwortliche Stelle einem Betroffenen eine bestimmte Bewertung oder Platzierung innerhalb einer bestimmten Vielzahl von Betroffenen zu Die Vorschrift des § 6a über automatisierte Entscheidungen belegt, dass das Gesetz auch rein statistisch errechnete Werte als personenbezogen ansieht.

Data Warehouse

Als Data Warehouse bezeichnet man üblicherweise eine aus Daten der operativen Ebene gespeiste besondere Datenbank mit dem Zweck der Analyse der Daten zu strategischen Zwecken („Data Mining“). Die Datenbasis eines Data Warehouse vermittelt personenbezogene Daten, soweit sie, wie üblich, Individualdatensätze enthält und diese entweder über direkte Identifizierungsmerkmale oder an Hand übereinstimmender Merkmale mit Personendatensätzen der Geschäftsabwicklung oder anderen Dateien mit Personenbezug verknüpft werden können, also nicht wirksam anonymisiert sind.

Genetische Daten

Die genetischen Daten, die durch DNA-Analyse aus menschlichem Zellmaterial gewonnen werden können, umfassen sowohl beschreibende Daten, indem sie genetische Veranlagung ihres Trägers codieren, als auch Elemente, die aufgrund ihrer (praktischen) Einzigartigkeit als Identifikationsmerkmale verwendet werden können („genetischer Fingerabdruck“). Genetische Daten sind im doppelten Wortsinn „geborene“ personenbezogene Daten. Auch andere biometrische Merkmale können je nach technischem Konzept selbst bei sehr großen Grundgesamtheiten eine eindeutige Identifikation leisten. Die Personenbeziehbarkeit ist zu bejahen, auch wenn der Träger zunächst nicht namentlich bekannt ist. Es genügt, dass er durch Vergleich ermittelt werden kann. Dabei ist zu beachten, dass genetische und biometrische Daten typischerweise zugänglich und reproduzierbar sind. Biometrische Daten sind ausnahmsweise für Dritte und auch für die verantwortliche Stelle nicht per se personenbezogen, wenn sie nur als Template, d.h. als strukturierte Reduktion eines Abbildes, oder nur in chiffrierter Form vorliegen und weder die Ursprungsinformation zurück gewonnen werden kann noch durch Verknüpfung mit anderen Daten ein Personenbezug herstellbar ist.

Menschliches Zellmaterial und sonstiges Biomaterial wird erst mit der Aufnahme zum Zweck der Untersuchung zur „Angabe“.


 § 3 BDSG a.F. Kommentar Absatz 1 Teil 1
 § 3 BDSG a.F. Kommentar Absatz 1 Teil 2
 § 3 BDSG a.F. Kommentar Absatz 1 Beispiele

Online-Kommentare

§ 3 BDSG a.F. Kommentar Absatz 2 →

← § 2 BDSG a.F. Kommentare   § 3a BDSG a.F. Kommentare →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.