Das findest Du auf dieser Seite
Personenbezogene Daten
Personenbezogene Daten gibt es nur bei natürlichen Personen
Bei „personenbezogen“ sprechen wir von natürlichen Personen. Die Begriffe hierfür lauten: Datensubjekt (Data Subject), natürliche Person, betroffene Person oder auch „der Betroffene“;
✘ Es ist egal, in welchem Format diese Daten gespeichert sind.
Das Schlüsselwort ist: "identifizierbar"
Ein weiterer Begriff dazu ist „identifizierbar“. Unter “identifizierbar“ versteht man alles was direkt auf eine natürlich Person hinzeigt. Alles was diese natürliche Person identifizierbar macht. Das ist der Name, die Adresse, Geburtsdatum aber auch ein Foto und Fingerabdruck (biometrische Daten) fällt darunter.
Somit sind personenbezogene Daten alle jene Daten, mit denen man eine natürliche Person in irgendeiner Form identifizieren kann. Die Person wird mit den Daten identifizierbar. Das kann eine Kennung mit der man eine Zuordnung ableiten kann, Standortdaten, eine Online-Kennung und vieles mehr sein.
Was ist das nun genau?
Eine vollständige Liste wird es wahrscheinlich niemals geben, aber die Aufzählung reicht von Name, Adresse, Geburtsdatum, Telefonnummer, Standort, Kennnummern, Online-Kennung, bis hin zu besonderen Merkmalen. Aber auch die IP-Adresse fällt unter diese Kategorie.
Es gibt dann noch die Unterscheidung zu sensiblen Daten bzw. besondere Kategorie personenbezogene Daten, die einer noch strengeren Regelung bei der Verarbeitung unterliegen.
Es gelten diese Grundsätze
Die Grundsätze für die Verarbeitung personenbezogener Daten sind im Art.5/1-2 DSGVO festgelegt.
1a Treu und Glauben, Rechtmäßigkeit, Transparenz
1f Integrität und Vertraulichkeit
Im Kapitel 2 Artikel 5 bis 11 sind alle Grundsätze zusammengefasst. Diese Grundsätze beziehen sich nur auf die Verarbeitung.
Achtung! Der Begriff der Rechtmäßigkeit wird zweimal definiert. Einmal im Artikel 5, wo es um die Verarbeitung geht und einmal im Artikel 6, wo es um den Grundsatz der Rechtmäßigkeit der Verarbeitung geht. Das klingt sehr ähnlich, sind aber unterschiedliche Begriffe.
Das gibt es schon seit 1995
Die Definition personenbezogener Daten stammt eigentlich aus der Datenschutzrichtlinie aus 1995. Die genaue Defintion wie sie jetzt gültig ist, wird im Art.4/1 DSGVO in den Begriffsbestimmungen festgelegt.
anonymisierte Daten
Wenn dem Unternehmer Möglichkeiten zur Verfügung stehen, wodurch er betroffene Personen bestimmen kann, sind die Daten personenbeziehbar (EW 26). Wenn nur eine theoretische Identifizierbarkeit gegeben ist, gelten die Daten nicht als personenbezogen.
Ein Beispiel für personenbezogene Daten sind Cookies und IP-Adressen. Durch das Setzen von Cookies wird die Person identifizierbar, auch wenn sie anonymisiert wird, weil es die Person „trackbar“ macht. Wie die Verordnung festgestellt hat, können Personen durch Online-Kennungen zugeordnet werden. Das steht im EW 30. Dies wurde auch schon beim Europäischen Gerichtshof festgestellt (IP-Adressen, über die ein Anbieter von Internet-Diensten verfügt).
Fotos und Videoaufnahmen von Personen stellen personenbezogene Daten dar. Auch für deren Verarbeitung braucht es einen Rechtsgrund!
Adressdaten
Unter Adressdaten versteht man jene personenbezogenen Daten mit der man eine natürliche Person erreichen kann. Das wären konkret z.B.: Anschrift, Emailadresse und Telefonnummer
Auch das sind personenbezogene Daten
Angaben von Arbeitszeiten, der Uhrzeit von Arbeitsbeginn und -ende und Pausen sind personenbezogene Daten. Dann gibt es noch jene wie Kundennummer, Stimme, Testergebnisse und Zeugnisse. Da musst Du recht genau sein, damit Du nicht irgendwas übersiehst.
Daten in physischer Form
Es wird leider oft übersehen, dass Datensätze nicht nur elektronisch entstehen. Wenn Du es genau betrachtest, entstehen täglich große Mengen Datensätze personenbezogener Daten in Papierform. Auch wenn ich das nur mit einer Zeile erwähne, bedenke, dass hier eine der größten Gefahrenquellen von Datenschutzverletzungen gegeben ist.
Ist eine Frage offen geblieben?
War die Erklärung verständlich?
Ist das für Dich hilfreich?