Was sind personenbezogene Daten?

Gegenstand der DSGVO

Die Europäische Datenschutzgrundverordnung (DSGVO) ist eine, für die gesamte EU geltende, einheitliche Vorschrift, die als Grundlage des Datenschutzrechtes in den Mitgliedsstaaten zu verstehen ist.
Dass es um Datenschutz geht, ist bereits klar, wenn man den Namen liest, jedoch stellt sich die Frage: Welche Daten schützt die DSGVO denn genau? Und warum ist dieses Thema so brisant, dass die EU es für nötig hielt, dafür eine einheitliche Regelung zu finden?
Art. 1 der Verordnung trägt den Titel „Gegenstand und Ziele“ und ist in drei Absätze gegliedert.
In Art. 1 Abs. 1 heißt es, dass die Verordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung und zum freien Verkehr personenbezogener Daten enthält.
Abs. 2 besagt, dass die DSGVO Grundrechte und Grundfreiheiten natürlicher Personen schützt und dabei besonders deren Recht auf Schutz personenbezogener Daten.
Auch in Absatz 3 ist von personenbezogenen Daten die Rede. Dort steht, dass der freie Verkehr solcher Daten nicht zum Schutz natürlicher Personen bei der Verarbeitung eingeschränkt oder verboten werden darf.
Nun, was sind personenbezogene Daten?

Was sind personenbezogene Daten?

Laut der Europäischen Kommission sind personenbezogene Daten, per Definition, Informationen, die sich auf eine „identifizierte oder identifizierbare Person“ beziehen. Dies können auch Teilinformationen sein, die die Identifikation gemeinsam ermöglichen.
Was gibt es für personenbezogene Daten zum Beispiel?
Nun, natürlich sind Informationen, wie Name, Adresse und Ausweisnummer als solche unproblematisch zu klassifizieren. Was gehört noch dazu?
Um diese Frage zu beantworten, sollte man sich den politischen Hintergrund für die Entstehung der DSGVO ansehen. Denn Grund dafür, war vor allem das Sammeln von Daten großer US-Konzerne, darunter Amazon, Apple, Google oder Microsoft. Das Problem ist, dass diese Unternehmen auf Grundlage dieser Daten enorme Gewinne erzielen und deswegen immer mehr davon wollen. Hauptsächlich sah die EU den Umgang mit diesen Daten, durch die Unternehmen, als missbräuchlich an. Springender Punkt ist, auch nach Inkrafttreten der Verordnung, der Transfer der Daten der Unionsbürger auf Server in den Vereinigten Staaten, wo der Zugang für US-Behörden, zu den Informationen, ein leichtes ist.
Somit sind die personenbezogenen Daten nach der DSGVO vorrangig aufgrund der digitalen Welt geschützt. Damit gehören auch E-Mail-Adressen, Standortdaten oder IP-Adressen zu den personenbezogenen Daten.

Personenbezogene Daten besonderer Kategorie

Neben den regulären, von der DSGVO schon stark geschützten Daten, gibt es noch besondere personenbezogene Daten, nach Art. 9 Abs. 1.
Darunter fallen Daten über die rassische/ ethnische Herkunft, politische Ansichten, religiöse Hintergründe, Gewerkschaftszugehörigkeiten, aber auch genetische und biometrische Daten, Gesundheitsdaten, Sexualität und Sexualleben.
Der Begriff der „Rasse“ lässt zunächst erschrecken. Zwar wird er, aufgrund der biologischen Nichtigkeit, von der EU abgelehnt, so bezieht sich dies jedoch genau darauf. Denn hier sollen Menschen davor geschützt werden, aufgrund ihrer „Rasse“ diskriminiert zu werden. Denn dies ist trotz dessen, dass phänotypische Unterscheidungen von Menschen nach der Herkunft existieren, nicht ausreichen, um Menschen in Gruppen zu unterteilen, ein fortwährendes Problem. Beispielsweise sind Europäer untereinander im Schnitt zu gleichen Anteilen genetisch gleich, wie im Verhältnis zu Afrikanern oder Asiaten und dennoch existieren Anfeindungen untereinander, vor denen die DSGVO schützen will.
Biometrische Daten können inzwischen zu einer eindeutigen Identifizierung einzelner Personen herangezogen werden und sind somit auch besonders schützenswert.

Die Verarbeitung personenbezogener Daten

Wann dürfen personenbezogene Daten verarbeitet werden?
Grundsätzlich ist die Verarbeitung nicht erlaubt. Jedoch formuliert die DSGVO Ausnahmen, nach denen es dennoch möglich ist.
Zunächst sind in Art. 5 Abs. 1 DSGVO die Grundsätze der Verarbeitung formuliert. Hier finden sich die Prinzipien, nach denen die Verarbeitung immer ablaufen muss: Transparenz und Verarbeitung nach Treu und Glauben; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit.
In Absatz 2 findet sich zudem noch die Rechenschaftspflicht.
Art. 6 normiert schließlich die tatsächlichen Rechtsgrundlagen für die Verarbeitung. Darunter finden sich beispielsweise die Einwilligung, die Erforderlichkeit für lebenswichtige Interessen oder die Erfüllung einer Aufgabe im öffentlichen Interesse. Nur das Vorliegen einer dieser Grundlagen ermöglicht eine Verarbeitung.
Für die personenbezogenen Daten besonderer Kategorien existieren auch besondere Vorgaben zur Verarbeitung. Diese finden sich in Art. 9 DSGVO. Es werden Zwecke der Verarbeitung in Absatz 2 vorgegeben. Diese unterliegen höheren Auflagen als regulär.
Zudem dürfen sie nach Absatz 3 nur zu den Zwecken nach Abs. 2 verarbeitet werden, wenn dies unter Verantwortung von Fachpersonal geschieht, das dem Berufsgeheimnis unterliegt.

Speichern und Löschen der Daten

Auch hat der Betroffene das Recht darauf, dass seine Daten gelöscht werden, wenn einer der Gründe aus Art. 17 Abs. 1 der DSGVO vorliegt.
Dabei kann er die Löschung fordern, wenn der Zweck der Verarbeitung nicht mehr gegeben ist, wobei der Verantwortliche selbst nach Erlöschen des Verarbeitungszwecks für die Löschung sorgen muss. Auch kann die Einwilligung zur Verarbeitung widerrufen werden oder die Daten wurden unrechtmäßig verarbeitet. Dann muss der Verantwortliche die personenbezogenen Daten löschen.
Wie lange dürfen personenbezogene Daten gespeichert werden?
Grundsätzlich nur so lange, bis der Verarbeitungszweck es nicht mehr erfordert. Die Dauer sollte also auf ein Mindestmaß begrenzt werden. Ausnahmen gibt es jedoch, wenn ein neuer Zweck der Speicherung greift. Dies ist häufig bei medizinischen Unterlagen der Fall, auf die bei der nächsten Untersuchung zurückgegriffen werden sollte.
Außerdem dürfen die Daten auch nur gespeichert werden, bis die Löschpflicht, wie oben genannt greift.
Personenbezogene Daten genießen im Allgemeinen ein hohes Maß an Schutz. Dies auch nicht zu Unrecht, denn diese Daten bedeuten sehr viel Macht, in den Händen, die über sie verfügen.

Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.

Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce-consulting.de

Die Bildrechte liegen bei dem Verfasser der Mitteilung.