Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Solche Zuordnungen sind typischerweise über einen Namen, eine Kennnummer, Standortdaten, Online-Kennung oder andere Daten möglich. Die Daten können Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sein.
Es gibt es zunächst keine Unterscheidung zwischen mehr oder weniger schützenswerten Daten. Das Bundesverfassungsgericht spricht davon, dass es keine „belanglosen“ Daten gibt. Damit ist beispielsweise die Telefonnummer nicht minder schützenswert als die Haarfarbe.
Beispiele für personenbezogene Daten sind Daten die verbunden sind mit Namen, E-Mailadressen, Personalausweisnummer, Matrikelnummer, IP-Adresse oder einer Eindeutigen ID in einem IT-System, die einer Person zugeordnet ist. Gleiches gilt für eine Interviewaufzeichnung (Zuordnung über Kontext, Stimme oder inhaltliche Aussagen) oder ein Fragebogen aus dem sich aus dem Kontext und den demographischen Daten Personen identifizieren lassen.
- Sensible Daten (besonders geschützte Daten): Daten über Gesinnung, politische Einstellung, Religion, Gesundheit etc.
- Potentiell diskriminierende Daten: Alter, Geschlecht, Herkunft etc. In bestimmten Bereichen, können Daten möglicherweise zu Diskriminierung führen.
- Daten über Leistung oder Verhalten: Daten, die zur Leistungs- oder Verhaltenskontrolle von Mitarbeitern geeignet sind, machen auf der Basis des Personalvertretungsgesetzes eine Beteiligung der Personalvertretung notwendig.
- Daten mit geringer Zweckbindung: Datenfelder für unspezifische „Bemerkungen“, Fotos. Offene Bemerkungsfelder dürfen personenbezogen nicht verwendet werden, da mit ihnen beliebige Daten gespeichert werden können. Falls möglich sollte auf solche Felder verzichtet werden.
Grundsätze der Verarbeitung personenbezogener Daten
Art 5. der DS-GVO bestimmt Grundsätze der Verarbeitung personenbezogener Daten:
(1) Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … („Zweckbindung“);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; … („Speicherbegrenzung“);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Rechte betroffener Personen
- Unterrrichtung
- Auskunft, Einsichtnahme
- Datenmitnahme in bestimmten Fällen
- Widerspruch aus besonderem Grund
- Berichtigung, Sperrung (Einschränkung der Verarbeitung) und Löschung
- Schadensersatz
- Anrufung der Aufsichtsbehörden für den Datenschutz