Was sind personenbezogene Daten?

Nach der Legaldefinition in Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) sind  „personenbezogene Daten“

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“

Dies sind beispielsweise

  • Vorname, Nachname, Adresse, Telefonnummer, Telefaxnummer, E-Mail-Adresse
  • Geburtsdatum
  • Bankverbindung
    und
  • Daten über die Nutzung von Telefon.

 

Kurz gefasst sind personenbezogene Daten „alle Informationen …, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Erwägungsgrund 26 S. 1 DSGVO). Das bedeutet, dass wenn personenbezogenen Daten erhoben, gespeichert, übermittelt oder sonstig verarbeitet werden, die gesetzlichen Bestimmungen des Datenschutzrechts einzuhalten sind. Anonymisierte Daten fallen hingegen aus dem Anwendungsbereich des Datenschutzes heraus (Erwägungsgrund 26 S. 5 DSGVO).  Denn durch die Anonymisierung wird der Personenbezug entfernt, z.B. durch Unkenntlichmachen des Namens, es sei denn, dass die Daten auf Grund anderer Umstände individualisierbar sind. Bei pseudonymisierten Daten ist die Zuordnung der Information zu der spezifischen betroffenen Person jedoch bei Hinzuziehung zusätzlicher Informationen möglich (Art. 4 Nr. 5 DSGVO), so dass diese trotz Pseudonymisierung als personenbezogene Daten einzustufen sind. Allerdings kann die Pseudonymisierung die Risiken für die betroffene Person senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen (Erwägungsgrund 28 DSGVO).

Zu beachten ist zudem, dass bei besonderen Kategorien personenbezogener Daten (vgl. Art. 9 und 10 DSGVO, z.B. solche, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen) besonders strenge Datenschutzbestimmungen gelten.