GDPR/EU-DSGVO: Was sind eigentlich personenbezogene Daten?

Der Begriff der personenbezogenen Daten

Unter den Begriffsbestimmungen der DSGVO findet man: „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Das bestehende Bundesdatenschutzgesetz (BDSG) hat eine kürzere Definition zur Hand: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Obwohl also die DSGVO recht ausführlich erläutert, was denn personenbezogene Daten sind, gibt es in der Praxis immer wieder Unklarheit darüber, ob diese oder jene Datenkategorie wirklich einen Personenbezug hat und deshalb unter den Datenschutz fällt. Es sei an eine Umfrage von Trend Micro erinnert, die ergab: Nur 35 Prozent der deutschen Befragten sind sich bewusst, dass das Geburtsdatum eines Kunden zu den personenbezogenen Daten zu zählen ist. Und nur 64 Prozent ordnen die eigenen Marketing-Datenbanken als personenbezogene Daten ein. Die Adressen von Kunden werden von 34 Prozent nicht als personenbezogene Daten eingestuft, bei deren E-Mail-Adressen tun dies immerhin noch 23 Prozent nicht.

Doch es gibt andere Datenkategorien, bei denen der Personenbezug nicht so offensichtlich ist, diese sollen nun kurz betrachtet werden.

Personenbezug bei IP-Adressen

Die Frage nach dem Personenbezug bei IP-Adressen war lange Zeit strittig, insbesondere bei den sogenannten dynamischen IP-Adressen. Inzwischen aber kann man hier klare Aussagen tätigen: Zum einen bestätigen Urteile des Bundesgerichtshofs (BGH, Urteil vom 16. Mai 2017 – VI ZR 135/13) und des Europäischen Gerichtshofs (EuGH, Entscheidung vom 19. Oktober 2016, C-582/14) unter bestimmten Bedingungen den Personenbezug bei dynamischen IP-Adressen.

Zum anderen findet man in den Erwägungsgründen, die zur DSGVO gehören:

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Die Bundesdatenschutzbeauftragte führte dazu aus: Auch dynamische IP-Adressen der Besucher einer Website können für deren Betreiber personenbezogene Daten darstellen, wenn für diese die rechtliche Möglichkeit besteht, über weitergehende Informationen die Identität des Nutzers bestimmen zu lassen. Weiterhin stellte das Gericht klar, dass Website-Betreibern die Möglichkeit eröffnet werden muss, die IP-Adressen ihrer Nutzer zur Störungsbeseitigung und Missbrauchsprävention zu verwenden, um die Funktionsfähigkeit ihrer Dienste zu gewährleisten. In Deutschland sieht das Telemediengesetz gegenwärtig nur die Nutzung der IP-Adresse für die konkrete Inanspruchnahme eines Dienstes sowie der Abrechnung kostenpflichtiger Angebote vor.

Personenbezug bei Maschinendaten

Denkt man an das Internet der Dinge (IoT, Internet of Things) und Industrie 4.0, steht schnell die Frage im Raum, ob denn der Datenschutz auch für Maschinendaten gilt. Hierzu liefern die Erwägungsgründe der DSGVO eine Anleitung, wie man dies bestimmen kann:

• Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:
• Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
• Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.
• Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

Kann man also Maschinendaten durch Heranziehung zusätzlicher Informationen und unter Aufwendung entsprechender Mittel einer natürlichen Person zuordnen, muss der Datenschutz greifen.

Digitales Erbe: Personenbezogene Daten von Verstorbenen

Da auch über das sogenannte Digitale Erbe viel diskutiert wird, soll an dieser Stelle der Hinweis nicht fehlen, was die DSGVO dazu sagt: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.“

Es zeigt sich: Im Allgemeinen sind weitaus mehr Daten als personenbezogene Daten einzustufen und zu schützen, als man auf den ersten Blick glauben mag. Deshalb sollten Unternehmen ihre Verfahrensverzeichnisse (nach DSGVO Verzeichnis von Verarbeitungstätigkeiten genannt) auf Vollständigkeit prüfen und ihre Datensicherheitskonzepte auf mögliche Lücken hin untersuchen. Das gilt nicht nur für die Vorbereitung auf die DSGVO, sondern für den Datenschutz generell.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!