Die Datenschutz-Grundverordnung (DSGVO) wirkt nun seit über einem Jahr. Zentrales Anliegen der DSGVO ist die Regelung der Verarbeitung von personenbezogenen Daten. Dabei definiert die DSGVO personenbezogene Daten einerseits selbst, unterscheidet andererseits aber auch zwischen verschiedenen Kategorien personenbezogener Daten und stellt für ihre rechtmäßige Verarbeitung unterschiedliche Anforderungen. Im Folgenden soll ein Überblick über Wesensmerkmale personenbezogener Daten nach der DSGVO gewährt und auf die Besonderheiten bestimmter Kategorien personenbezogener Daten eingegangen werden.

Hintergrund: Personenbezogene Daten – Der Einstieg in die DSGVO

Zunächst stellt sich die Frage, weshalb die Definition von personenbezogenen Daten so bedeutsam ist. Die Antwort darauf liegt nahe und wird von der DSGVO selbst geliefert: Sie findet nur dann Anwendung, wenn personenbezogene Daten verarbeitet werden. Geschützt werden sollen dabei aber nicht in erster Linie die Daten selbst, sondern die dahinterstehenden „natürlichen Personen“. Gemeint sind damit alle Einzelpersonen bzw. Menschen ab ihrer Geburt. Ausgenommen sind damit Daten von Unternehmen, Anstalten, Stiftungen etc. als so genannte juristische Personen. Der Schutz der Datenschutz-Grundverordnung greift damit auch im Falle von Fake-Profilen, erfundenen Identitäten und anderen Konstellationen, in denen es an existierenden Menschen fehlt, nicht ein.

Was sind personenbezogene Daten?

Die DSGVO selbst definiert als personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Ob Daten personenbezogen sind, hängt nach der DSGVO damit entscheidend davon ab, ob die betroffene Person dadurch identifizierbar wird. Nach der DSGVO ist dies nicht nur dann der Fall, wenn die Daten selbst sofort eine Identifizierung ermöglichen (etwa die Angaben zu Namen, Alter, Aussehen), sondern auch dann, wenn sie erst durch die Zuordnung oder Zusammenführung mit anderen Informationen oder Daten eine solche Identifizierung ermöglichen. Erfasst sind damit alle Daten, die in irgendeiner Form einer Person zugeordnet werden können. Dazu zählen etwa die Telefonnummer, das KFZ-Kennzeichen oder Personal- und Kundennummern. Die Identität einer Person kann sich dabei als genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität ergeben.

Nach dem Schutzzweck der DSGVO ist das Kriterium der personenbezogenen Daten möglichst weit auszulegen, um einen umfangreichen Schutz zu ermöglichen. Demgemäß werden auch weniger eindeutige Informationen wie die IP-Adresse (soweit deren Zusammenführung mit anderen Daten eine Identifizierung ermöglicht), Arbeitszeiterfassungen oder Standorte zu personenbezogenen Daten gezählt. Auch subjektive Informationen, wie Beurteilungen (etwa der Kreditwürdigkeit) können personenbezogene Daten darstellen. Natürlich sind auch solche Informationen erfasst, die sich ohne Wörter, Buchstaben und Zahlen ergeben, wie bspw. das Foto einer Person.

Aus diesen Kriterien leitet sich auch ab, dass Daten, welche nur ein Unternehmen oder eine juristische Person betreffen (z.B. reine Verkaufszahlen eines Produktes) nicht unter den Schutzbereich der DSGVO fallen. Natürlich können diese Daten aber im Hinblick auf andere Gesetze relevant sein, zum Beispiel im Bereich des Geheimnisschutzes.

Rechtliche Bedeutung

Liegen personenbezogene Daten vor und werden diese verarbeitet, greift grundsätzlich der Schutz der Datenschutz-Grundverordnung (DSGVO). Für die allgemeinen personenbezogenen Daten folgt daraus, dass bei ihrer Verarbeitung die Grundsätze der Datensparsamkeit, Transparenz, Rechtmäßigkeit, Zweckbindung (Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden), Richtigkeit, Integrität und Vertraulichkeit, Speicherbegrenzung (Daten sollen nur solange gespeichert werden, wie es der Verarbeitungszweck erfordert) sowie die Rechenschaftspflicht (v.a. Dokumentation der verarbeiteten Daten und entsprechenden Vorgänge) eingreifen. Wichtigste Folge dieser Grundsätze ist, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, es sei denn es liegt eine spezielle Erlaubnisnorm bzw. Rechtsgrundlage vor. Die wichtigsten Rechtsgrundlagen sind dabei die Einwilligung des Betroffenen, das Überwiegen der Interessen des verarbeitenden Unternehmens gegenüber den Rechten und Interessen der betroffenen Person oder eine (sonstige) gesetzliche Grundlage. Dieses sog. Verbot mit Erlaubnisvorbehalt greift aber eben nur dann ein, wenn es wirklich um die Verarbeitung von personenbezogenen Daten geht. Verstöße gegen das Erfordernis einer Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten werden mit zum Teil hohen Bußgeldern belegt.

Wichtig und immer wieder ins Gedächtnis zu rufen ist dabei, dass der Schutz der DSGVO dann greift, wenn durch Daten eine Identifizierbarkeit der betroffenen Person entsteht. Unternehmen stehen hierbei häufig vor der Frage, ob sie die Anwendbarkeit der DSGVO (und damit drohende Bußgelder) ausschließen können, wenn sie Daten pseudonymisieren oder anonymisieren. Die Pseudonymisierung von Daten ändert nichts an der Anwendbarkeit der DSGVO, da auch Daten, die in Gruppen (etwa männliche Bewohner der Stadt M zwischen 40-50)  oder Pseudonymen („user1“) erhoben werden, die Identifizierung einer bestimmten Person durch Zusammenführung mit anderen Daten ermöglichen. Allerdings tragen Pseudonymisierungen zur Datensicherheit und Datensparsamkeit bei und erleichtern Unternehmen damit die Einhaltung der Datenschutz-Grundverordnung. Dagegen fallen anonymisierte Daten gar nicht unter den Schutz der DSGVO, da im Falle einer vollständigen Anonymisierung gerade keine Identifizierbarkeit der betroffenen Person mehr besteht. Dabei ist allerdings zu beachten, dass eine vollständige Anonymisierung oft schwer zu erreichen und in bestimmten Fällen (z.B. bei Vorliegen von genetischen Daten) sogar unmöglich ist.

Besonders schutzwürdige personenbezogene Daten

Während personenbezogene Daten wegen der aus ihnen folgenden Identifizierbarkeit unter dem allgemeinen Schutz der DSGVO (Verbot der Verarbeitung mit Erlaubnisvorbehalt) stehen, sieht die DSGVO für besonders schutzwürdige personenbezogene Daten einen noch umfangreicheren Schutz vor. Zu diesen besonderen Kategorien personenbezogener Daten gehören Angaben zur rassischen oder ethnischen Herkunft, zur politischen Meinung, zu religiösen oder weltanschaulichen Überzeugungen, zu einer Gewerkschaftszughörigkeit, zum Sexualleben oder der sexuellen Orientierung und insbesondere Gesundheitsdaten, genetische und biometrische Daten.

Voraussetzungen für die Verarbeitung besonders schutzwürdiger personenbezogener Daten

Natürlich gilt das Verbot mit Erlaubnisvorbehalt auch und gerade bei der Verarbeitung besonders schutzwürdiger personenbezogener Daten. Demgemäß ist auch für die Verarbeitung dieser Daten eine Rechtsgrundlage gemäß Artikel 6 DSGVO erforderlich. Darüber hinaus verlangt die DSGVO aber in Artikel 9 weitere besondere Anforderungen für eine rechtmäßige Verarbeitung solcher Daten. Dabei sind verschiedene Rechtfertigungsmöglichkeiten, etwa die öffentliche Gesundheitsfürsorge (z.B. Schutz vor sich ausbreitenden Epidemien durch umfassende Information der Bevölkerung), die vorherige Veröffentlichung entsprechender Daten durch die betroffene Person selbst, Schutz lebenswichtiger Rechte und Interessen (Patient im Koma) oder die Geltendmachung eigener Rechte im Gerichtsverfahren genannt.

Die für die Praxis wichtigste Rechtsgrundlage für die Verarbeitung besonders sensibler Daten gemäß Artikel 9 DSGVO ist aber die Einwilligung des Betroffenen. Diese Einwilligung unterscheidet sich insoweit von der (allgemeinen) Einwilligung für die Verarbeitung (allgemeiner) personenbezogener Daten, als dass sie erkennbar gesondert (auch) für die Verarbeitung von z.B. Gesundheitsdaten für einen genau festgelegten Zweck erteilt werden muss. Dem Betroffenen muss außerdem deutlich sein, was Gesundheitsdaten sind. Wird die Einwilligung im Rahmen der allgemeinen Einwilligung eingeholt, ist dementsprechend auf eine besondere Hervorhebung zu achten. Zudem kann die Einwilligung für die Verarbeitung besonders geschützter Daten anders als die normale Einwilligungserklärung nicht durch konkludentes bzw. schlüssiges Verhalten erklärt werden, sondern muss im obigen Beispiel ausdrücklich und unzweifelhaft auf Gesundheitsdaten bezogen sein. Der Betroffene muss vorher auf die besondere Schutzbedürftigkeit dieser Daten hingewiesen werden. Wie alle Einwilligungserklärungen muss auch diese speziell freiwillig erfolgen, wobei aber an die Freiwilligkeit wegen der betroffenen besonders schutzwürdigen Daten höhere Anforderungen zu stellen sind. Sie fehlt etwa, wenn die Einwilligung Voraussetzung für eine Gegenleistungen ist, auf die der Betroffene ohnehin einen Anspruch hat (wie Lohn). Sie liegt dagegen in der Regel vor, wenn dem Betroffenen durch die Einwilligung besondere Vorteile erwachsen.

Unternehmen ist zu raten beim Umgang mit besonders schutzwürdigen personenbezogenen Daten nicht nur die Einwilligungserklärung und das dazugehörige Verfahren entsprechend anzupassen, sondern auch die Vorgaben der DSGVO zu technischen und organisatorischen Maßnahmen sowie zum Datenschutz durch Design (etwa von Websites) genau auf den Schutz solcher Daten anzupassen, da die Konsequenzen einer unrechtmäßigen Weitergabe von solchen Daten für Betroffene besonders intensiv sein können. So sollte explizit darauf geachtet werden, dass die Einwilligung in die Verarbeitung von Gesundheitsdaten sich auch auf die Weitergabe solcher Daten bezieht, soweit dies zum Verarbeitungszweck (etwa Ermittlung der richtigen Medikation) erforderlich ist.

Fazit

Die DSGVO gibt sehr genaue Kriterien für das Vorliegen von personenbezogenen Daten im Allgemeinen und für besondere Kategorien von personenbezogenen Daten vor. Halten sich Unternehmen an diese Vorgaben, kann das Risiko für Datenschutzverstöße minimiert werden. Ein besonderes Augenmerk ist immer auf das Kriterium der Identifizierbarkeit von Personen zu richten, um zu bestimmen ob die Datenschutz-Grundverordnung Anwendung findet.