Personenbezogene Daten

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

Artikel 2 Ziffer a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr lautet:

Im Sinne dieser Richtlinie bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kenn-Nummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Die Umsetzung in nationales Recht erfolgt über § 3 Abs. 1 BDSG, wonach personenbezogene Daten alle Angaben über die persönlichen oder sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person sind.

Als natürliche Person ist jeder Mensch zu verstehen. Das Gegenteil bilden juristische Personen. Unter juristischen Personen sind rechtliche Subjekte zu verstehen, die keine Menschen sind, wie etwa Aktiengesellschaften, GmbHs, Einzelunternehmen u.ä.

Bestimmt ist eine Person, wenn aus den Angaben auf einen einzelnen Menschen geschlossen werden kann. Dies ist meist bei Angaben der Fall, bei welchen der Name des Betroffenen konkret mit genannt ist.

Bestimmbar ist eine Person, wenn über zusätzliche Angaben ein Bezug zur Person herstellbar ist. Etwa bei Kontonummern, Personalausweisnummer oder KFZ-Kennzeichen. Zu diesen Angaben existieren Verzeichnisse die auf die konkrete Person schließen lassen. Strittig ist inwieweit man von Bestimmbarkeit spricht wenn kein Zugang zu den Verzeichnissen besteht welche die Bestimmbarkeit ermöglichen.


Beispiele für personenbezogene Daten

  1. Klaus Meier hat blaue Augen.
  2. Erika Mustermann besitzt einen VW Golf.
  3. Der erste Kanzler der Bundesrepublik Deutschland war gebürtiger Kölner.


Im ersten Beispiel wird die Angabe hat blaue Augen der Person Klaus Meier zugeordnet. Die Angabe "hat blaue Augen" wird dadurch zu einem personenbezogenen Datum. (Im Regelfall wird die Gesamtinformation "Klaus Meier hat blaue Augen" als personenbezogenes Datum angesehen.)

Im zweiten Beispiel ist "besitzt einen VW Golf" das personenbezogene Datum. Ein personenbezogenes Datum muss nicht zwangsläufig ein körperliches Merkmal der Person sein. Es genügt ein Bezug zwischen der Person und einer Sache, einer anderen Person, einem Ereignis, einem Sachverhalt.

Im dritten Beispiel ist die Person, auf die sich die Angabe gebürtiger Kölner bezieht, zwar nicht namentlich genannt. Sie ist jedoch bestimmbar, da allgemein bekannt ist (oder leicht herausgefunden werden kann), dass Konrad Adenauer der erste Kanzler der Bundesrepublik Deutschland war.

Weitere Beispiele für personenbezogene Daten (europäische Ebene)

In einem Arbeitspapier hat die "Artikel-29-Gruppe" als Beratungsgremium für Datenschutzfragen der EU den Begriff ausführlicher betrachtet und mit zahlreichen Beispielen erläutert:

1: Berufliche Gepflogenheiten und Praktiken 2: Telefonbanking: 3: Videoüberwachung 4: Zeichnung eines Kindes 5: Der Wert einer Immobilie 6: Kundendienst-Scheckheft für ein Fahrzeug 7: Anrufliste 8: Die Standortüberwachung von Taxis zur Verbesserung der Servicequalität 9: In einem Sitzungsprotokoll enthaltene Informationen 10: Unvollständige Informationen in der Presse 11: Asylbewerber 12: Veröffentlichung von Röntgenaufnahmen zusammen mit dem Vornamen einer Patientin 13: Pharmazeutische Forschungsdaten 14: Videoüberwachung 15: Dynamische IP-Adressen 16: Durch Graffiti verursachte Schäden 17: Nicht aggregierte Daten für Statistiken 18: Statistische Erhebungen und Kombination vereinzelter Informationen 19: Veröffentlichung von Videoaufzeichnungen

Zweifelsfälle

Über die Frage des indirekten Personenbezugs kommt es immer wieder zu Meinungsunterschieden. Im Hinblick auf die Bestimmbarkeit des jeweiligen Datums kommt es auf die realistische Möglichkeit an, ein bestimmtes Datum einer Person zuzuordnen. Dabei reicht eine bloß theoretische Möglichkeit nicht aus, um ein Datum als personenbezogen anzusehen. Vielmehr kommt es darauf an, dass das Datum mit nicht unverhältnismäßigem Aufwand und Zusatzwissen zugeordnet werden kann. Insofern sind die personenbezogenen Daten von den anonymen Daten zu unterscheiden ("faktische Anonymität").

Bei IP-Adressen gehen die Datenschutzbehörden davon aus, dass sie im Regelfall personenbezogen sind, da sie im Zusammenwirken zwischen Access Providern und Service-Providern einem Nutzer bzw. seinem Account zugeordnet werden können.

Online-Kommentare

Kommentare und Erläuterungen zu §3 Absatz 1 BDSG


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.