Mit personenbezogenen Daten DSGVO-konform umgehen

Was sind personenbezogene Daten?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(17 Bewertungen, 4.94 von 5)

Das Wichtigste in Kürze

  • Personenbezogene Daten sind Informationen, die sich auf eine natürliche Person (einen Menschen) beziehen, der durch diese Daten identifiziert wird oder identifiziert werden kann.
  • Die umfassenden Datenschutzregeln – insbesondere nach DSGVO - greifen nur, wenn personenbezogene Daten betroffen sind.
  • In den meisten Fällen müssen Unternehmen und Webseitenbetreiber eine Einwilligung einholen, wenn Sie personenbezogene Daten verarbeiten oder speichern.

Worum geht's?

Wenn Sie als Unternehmer oder Webseitenbetreiber Daten Ihrer Nutzer verarbeiten, greift die DSGVO – und damit müssen Sie zahlreiche Pflichten beachten. Aber schützt die DSGVO wirklich alle Daten vor Missbrauch und unbefugtem Zugriff? Nein – es geht nur um den Schutz von sogenannten personenbezogenen Daten. Wann diese vorliegen und was Sie konkret beachten müssen, haben wir hier für Sie verständlich zusammengestellt.

1. Was sind personenbezogene Daten nach der DSGVO?

Die Definition von "personenbezogenen Daten" findet sich in Art. 4 der DSGVO. Danach sind sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Es geht also immer um die Daten von Personen und nicht um Daten von Unternehmen oder Behörden. Und zwischen der Information und der Person muss man eine Verbindung herstellen können.

Dabei gilt:

  • Ob die Person der Information tatsächlich zugeordnet wird – also identifiziert wird - , ist unerheblich.
  • Es sind nur lebende Personen gemeint, die Daten von Verstorbenen sind nicht geschützt.
  • Bei der Information kann es sich auch im Teilinformationen handeln, die gemeinsam zur Identifizierung der Person führen.
  • Die Zuordnung kann unmittelbar oder auch mittelbar – also nur zusammen mit weiteren Informationen - möglich sein.

Personenbezogene Daten sind etwa der Name oder die Wohnadresse.

2. Welche Beispiele gibt es für personenbezogene Daten nach der DSGVO?

Unter die Definition für personenbezogene Daten fallen zahlreiche Informationen und Arten von Informationen, die wir hier nicht alle aufzählen können. Hier nennen wir nur einige Beispiele:

Allgemeine Personendaten:

Kennnummern:

  • Sozialversicherungsnummer
  • Steueridentifikationsnummer
  • Krankenversicherungsnummer
  • Personalausweisnummer
  • Matrikelnummer

Kontodaten:

  • Kontonummern
  • Kreditinformationen
  • Kontostände

Online-Daten:

  • IP-Adresse
  • Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen)

Physische Merkmale:

  • Geschlecht
  • Haut-, Haar- und Augenfarbe
  • Statur
  • Kleidergröße

Besitzmerkmale:

  • Fahrzeug- und Immobilieneigentum
  • Grundbucheintragungen
  • Kfz-Kennzeichen
  • Zulassungsdaten

Kundendaten:

  • Bestellungen
  • Adressdaten
  • Kontodaten

Werturteile:

  • Schul- und Arbeitszeugnisse

Praxistipp: Wenn Sie auf Ihrer Webseite personenbezogene Daten verarbeiten benötigen Sie eine Datenschutzerklärung. Erstellen Sie diese schnell und kostenlos mit dem eRecht24 Datenschutz-Generator
https://www.e-recht24.de/muster-datenschutzerklaerung.html

Sören Siebert
Sören SiebertRechtsanwalt

3. Was sind keine personenbezogenen Daten nach der DSGVO?

Liegen die Voraussetzungen der Definition nicht vor, handelt es sich nicht um personenbezogene Daten. Das klingt einfach. Doch es gibt zahlreiche Fälle, in denen auf den ersten Blick nicht so ganz klar ist, ob es sich nun um personenbezogene Daten handelt oder nicht. Was ist zum Beispiel, wenn die Daten unkenntlich gemacht werden? Oder wenn die Mail-Adresse Tausenden von Personen zugeordnet werden kann?

Anonymisierte Daten

Im ersten Fall handelt es sich um sogenannte anonymisierte Daten. Das bedeutet: Sie heben den Bezug zu einer identifizierten oder identifizierbaren Person auf. In der Folge ist eine Re-Identifizierung praktisch nicht durchführbar. Ausreichend ist, dass der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann. Im Fall der Anonymisierung liegen keine personenbezogenen Daten vor. Die Anonymisierung muss dazu unumkehrbar sein.
Beispiele:

  • Löschen einer Kundennummer
  • Politische Wahle

Pseudonymisierte Daten

Von den anonymisierten Daten müssen Sie die pseudonymisierten Daten abgrenzen. In diesem Fall geben Sie einer betroffenen Person ein Kennzeichen oder sie benutzt dieses selbst. Das kann zum Beispiel ein Code in Form einer Kombination aus Zahlen und Buchstaben sein. Hierdurch ist die Wahrscheinlichkeit, dass Daten dieser Person zugeordnet werden können, so gering, dass sie ohne Kenntnis der jeweiligen Zuordnungsregel zwischen Kennzeichen und Person nach der Lebenserfahrung oder dem Stand der Wissenschaft praktisch ausscheidet.

Beispiel: Nickname in E-Mail

Sachdaten

Dann gibt es noch die Sachdaten. Diese sind schon nach der Definition keine personenbezogenen Daten, weil sich ihr Informationsgehalt, also die in der Information verkörperte Aussage, nicht auf eine Person, sondern einen Gegenstand bezieht. Anders ist es, wenn mit der Sachinformation gleichzeitig eine Aussage zur Person getroffen wird.

Beispiel: Standortdaten.

Diese beschreiben eigentlich nur einen Ort, an dem sich ein Smartphone o.ä. befindet. Der Nutzer des Smartphones trägt es aber in der Regel ständig mit sich herum, nutzt es sehr stark. Ein Personenbezug ist dann doch gegeben.

Informationen über juristische Personen wie Gesellschaften, Vereine und Stiftungen

Auch Informationen über juristische Personen wie Gesellschaften, Vereine und Stiftungen fallen nicht unter personenbezogenen Daten, weil sie sich nicht auf eine natürliche Person beziehen. Ausnahme: Die Angaben beziehen sich auch auf die hinter der juristischen Person stehenden Personen, sie auf sie "durchschlagen".

Beispiel: GmbH einer Einzelperson oder Einzelfirma, wenn die natürlich Person mit der juristischen Person eng finanziell, persönlich oder wirtschaftliche verflochten ist.

Weitere Beispiele für nicht personenbezogene Daten:

4. Was sind besondere Kategorien personenbezogener Daten?

Einige personenbezogene Daten sind in höherem Maße schützenswert, weil sie besonders sensibel sind. Zu diesen Daten besonderer Kategorien gehören:

  • Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
  • genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

5. Wie sind personenbezogene Daten besonderer Kategorien geschützt?

Diese vertraulichen Daten benötigen und genießen einen besonderen Schutz. Die DSGVO spricht auch von besonderen Kategorien (Art. 9 DSGVO). Sie dürfen personenbezogene Daten besonderer Kategorien grundsätzlich nicht verarbeiten. Ausnahme: Die Person hat ausdrücklich ihre Einwilligung erteilt.

Praxistipp: Beachten Sie folgende Punkte, wenn Sie die Einwilligung einholen:

  • Die Einwilligung muss sich explizit auf die Verarbeitung besonderer Kategorien beziehen.
  • Weisen Sie den Betroffenen darauf hin, dass die Daten besonders sensibel sind. Der Betroffene muss zudem freiwillig einwilligen.
  • Informieren Sie den Betroffenen, dass er die Einwilligung widerrufen kann.

Es gibt weitere Ausnahmen, in denen Sie die die Daten auch ohne Einwilligung der betreffenden Person verarbeiten dürfen:

  • Die Verarbeitung ist (sinngemäß) erforderlich bzw. erfolgt,
  • damit Sie oder die betroffene Person Ihre Rechte und Pflichten aus dem Arbeits- oder Sozialrecht wahrnehmen können,
  • zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person und die betroffene Person kann aus körperlichen oder rechtlichen Gründen nicht einwilligen,
  • weil eine bestimmte Organisation (z.B. politische oder religiöse) die Daten ohne Gewinnerzielungsabsicht zu internen Zwecken verarbeitet und der Betroffene einen Bezug zu der Organisation hat,
  • weil die betroffene Person die Daten offensichtlich öffentlich gemacht hat,
  • damit Rechtsansprüche geltend gemacht werden können,
  • weil ein erhebliches öffentliches Interesse an der Verarbeitung besteht,
  • für Zwecke der Gesundheitsvorsorge o.ä.,
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren,
  • für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

6. Was muss ich beachten wenn ich personenbezogene Daten nach DSGVO verarbeite?

Sobald Sie personenbezogene Daten verarbeiten, müssen Sie im Wesentlichen folgende Punkte beachten:

  • Sie brauchen eine Einwilligung der betreffenden Person oder eine gesetzliche Grundlage für die Verarbeitung (z.B. Vertragserfüllung). Beachten Sie dabei auch die Form der Einwilligung.
  • Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen.
  • Daten dürfen Sie nur zu dem Zweck verarbeiten, für die Sie sie erhoben haben.
  • Daten müssen inhaltlich und sachlich richtig und aktuell gehalten sein.
  • Sie müssen personenbezogene Daten angemessen schützen. Welche Maßnahmen "angemessen" sind, orientiert sich am Stand der Technik, den notwendigen Kosten, den Umständen und Risiken.
  • Nutzer haben einen Anspruch darauf, dass Sie personenbezogene Daten löschen oder sperren, wenn Sie nicht mehr berechtigt sind die Daten zu verwenden, z.B. weil der Zweck entfallen ist.
  • Der Betroffene kann von Ihnen verlangen, seine personenbezogenen Daten in einem "gängigen Format" an einen anderen Verantwortlichen weiterzugeben.
  • Fordert die Aufsichtsbehörde Sie auf, müssen Sie ihr nachweisen können, dass Sie alle Datenschutzprinzipien einhalten.
  • Sofern Sie die personenbezogenen Daten nicht beim Betroffenen einholen, müssen Sie den Betroffenen darüber umfassend informieren (Art. 14 DSGVO).
  • Sie müssen die Datenverarbeitung in Ihre Datenschutzerklärung aufnehmen.

7. Sind auch personenbezogene Daten geschützt, wenn ich sie nur auf ein Paper schreibe?

Ja. Die DSGVO schützt personenbezogene Daten nicht nur, wenn Sie sie elektronisch speichern. Auch wenn Sie die Daten beispielsweise mittels Videoüberwachung speichern oder mit einem Stift auf einem Zettel notieren, müssen Sie die DSGVO beachten. Die DSGVO ist also technologieneutral und gilt für die automatisierte wie die manuelle Verarbeitung, sofern die Daten nach vorherbestimmten Kriterien (z. B. alphabetische Reihenfolge) geordnet sind.

8. Welche Rechte haben Betroffene, wenn ich ihre personenbezogenen Daten verarbeite?

Wenn Sie personenbezogene Daten verarbeiten, haben die Betroffenen (also Ihre Kunden oder Webseitenbesucher) bestimmte Rechte. Das sind im Wesentlichen:

  1. Sie können Auskunft über die Informationen verlangen, welche Daten wie zu welchem Zweck  gespeichert oder verarbeitet werden.
  2. Sie knnen verlangen, dass Sie unrichtige Daten berichtigen.
  3. In bestimmten Fällen können sie die Löschung verlangen, z.B. wenn eine Einwilligung widerrufen werden soll.
  4. Sie können die Korrektur oder Einschränkung der Daten verlangen, z.B. wenn diese Daten nicht korrekt sind.
  5. Sie können in bestimmten Fällen verlangen, dass Sie die Daten in einem gängigen Format an einen Dritten herausgeben.

Praxistipp: Wenn Sie nicht wissen, ob Sie in Ihrem Unternehmen oder auf Ihrer Webseite personenbezogene Daten verarbeiten oder unsicher sind, wie Sie mit personenbezogenen Nutzerdaten umgehen sollen fragen Sie gern eine anwaltliche Beratung an:
https://www.kanzlei-siebert.de/

Sören Siebert
Sören SiebertRechtsanwalt
Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
DSGVO Auftragsverarbeitung: Was ist das und was geht mich das an?
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten
Weiterlesen...
Weitreichendes Urteil: EuGH erklärt Privacy-Shield-Abkommen für ungültig
Weiterlesen...
Wichtiges Urteil: Ist das DSGVO Kopplungsverbot Vergangenheit?
Weiterlesen...
Das Recht auf Datenübertragbarkeit nach der DSGVO: Was ist hier zu beachten?
Weiterlesen...
Wichtiges EuGH-Urteil: Einwilligung für Tracking-Cookies und Haftung für den Facebook Like-Button
Weiterlesen...
Wichtiges EuGH Urteil zu Cookies: Sind Google Analytics und Online-Marketing jetzt am Ende?
Weiterlesen...
DSGVO Datenschutzbeauftragter: Das müssen Sie wissen. Bestellung, Aufgaben, Qualifikation. Intern oder Extern.
Weiterlesen...
Das neue TTDSG: Neues bei Cookies und Co. für Webseitenbetreiber und Agenturen
Weiterlesen...
WordPress Tools & Plugins: Was ist nach DSGVO noch erlaubt?
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support