Was sind personenbezogene Daten?
DISCLAIMER: Dieser Podcast stellt keine Rechtsberatung dar.
Links zu dieser Episode:
Vienna Writer’s Blog & Podcast
DSGVO auf EUR-Lex
Notizen:
Warum solltest Du Dich mit dem Thema beschäftigen?
Die DSGVO tritt am 25. Mai 2018 in Kraft.
Zur Erinnerung: EU-Verordnung zum Schutz personenbezogener Daten natürlicher Personen.
Aber auch, wenn Du das später hörst – GDPR has come to stay.
Was ist die Grundlage?
Für die heutige Frage „Was sind personenbezogene Daten?“: Die Definition findest Du in Artikel 4.1 DSGVO.
Was sind personenbezogene Daten natürlicher Personen?
1. Menschen, nicht Firmen oder Organisationen
2. Daten, die in Zusammenhang mit einer natürlichen Person stehen oder in Zusammenhang gebracht werden können.
-> Identifizierbarkeit
Schutzwürdiges Interesse
– Daten, die nicht öffentlich/allgemein verfügbar sind
– vs Firmenbuch, Telefonbuch, Grundbuch, etc. -> allgemein zugänglich
– vs anonyme Daten, wie z.B. einer kumulierten, quantitativen Statistik, bei der keine Einzelpersonen ausgemacht werden können,
– Name
– Kennnummer
– Standortdaten
– Online-Kennung
– besonderen Merkmale
Es geht darum, dass durch diese Angaben eine konkrete, natürliche Person und ihre physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität herausgefunden werden kann.
Cambridge Analytica hat uns einen ersten Einblick gegeben, was passieren kann, wenn personenbezogene Daten missbraucht werden. Deswegen sollte man das Thema durchaus Ernst nehmen.
Die „üblichen Verdächtigen“
Schauen wir uns im Detail an, was alles personenbezogene Daten sein können.
Basisdaten: Name, Geburtsdatum, Adresse
Kennnummer: Telefonnummer, Personalausweisnummer, Steuer-ID, KFZ-Kennzeichen, Bankverbindung, Personalnummer, Kundennummer, Mitgliedsnummer, Kundenkaten ID, Sozialversicherungenummer, Kreditkartennummer
Standortdaten: Das GPS, aber auch WLAN und Bluetooth am Telefon verraten viel mehr, als man denkt. Über Standortdaten und daraus resultierende Bewegungsprofile weiß man sehr genau, was eine Person so den lieben langen Tag tut und daraus kann man wiederum sehr gute Interessensprofile rauslesen. Standortdaten machen eine Person identifizierbar und sind daher personenbezogen.
Online-Kennung: IP Adresse (in Zusammenhang mit weiteren Daten wie z.B. einem Onlinekauf), eMail Adressen, aber auch Nicknames, Twitterhandles, Spielernamen, etc. machen eine Person identifizierbar -> personenbezogen.
Besondere Merkmale: Fotos, Tonaufnahmen, Gesundheitsdaten, biometrische Daten, genetische Daten, etc.. Auch diese machen eine Person identifizierbar, also: personenbezogen.
Ohne Anspruch auf Vollständigkeit!
Die Richtung sollte allerdings klar sein.
Sensible Daten
jetzt: besondere Kategorien personenbezogener Daten
– Informationen über politische Meinung
– religiöse Ausrichtung
– Sexualität
– Gesundheitsdaten
– genetische Daten
– biometrischen Daten (Gesichtsbilder, Stimme, Fingerabdrücke und alles, woran eine Person biometrisch identifizierbar ist)
Bei sensiblen Daten ist besonderer Schutz vonnöten und hier braucht es immer eine ausdrückliche Einwilligung der betroffenen Person, dass Du diese Daten verarbeitest.
Was heißt eigentlich „verarbeiten“?
Als Verarbeiten gilt alles, was Du mit Daten machen kannst, also irgendwo hochladen, teilen, übertragen, aber auch einfach nur loggen und speichern.
Was ist mit pseudonymisierten oder anonymisierten Daten?
Es gibt auch die Pseudonymisierung – also eine “Bezeichnung” für eine natürliche Person, zu der man weitere Infos braucht, um die dahinter steckende Person zu identifizieren. Das ist die Sache mit den Kennnummern, Künstlernamen, Benutzernamen, Personalnummern und so weiter. Für pseudonymisierte Daten gilt, dass man die so verarbeiten muss, dass sie nicht mit weiteren Daten zusammengeführt werden können, die die dahinter stehende Person identifizieren. In der Praxis zielt das wohl primär auf Personalnummern, Kundennummern und klinische Studien ab. Hinweis: Das Zusammenführen mit öffentlichen Quellen oder Daten anderer Personen/Firmen kann auch leicht zur Depseudonymisierung führen.
Anonymisierung ist ebenfalls eine Möglichkeit, mit personenbezogenen Daten umzugehen. Die DSGVO kennt zum Einen eine absolute Anonymisierung, bei der niemand in der Lage ist, den Personenbezug wiederherzustellen. Eine solche Anonymisierung nachträglich vorzunehmen ist kaum machbar, da die Daten, die zur Deanonymisierung notwendig wären ja bereits erfasst wurden und existieren. Eine absolute Anonymisierung wäre nur dann machbar, wenn diese notwendigen Daten gar nicht erst miterfasst werden.
Eine absolute Anonymisierung wird in der DSGVO nicht gefordert, wohl aber eine faktische Anonymisierung, die im Weglassen von identifizierenden Merkmalen besteht. Hier geht es um die oben genannten statistischen, kumulierten Daten.
Wer nachlesen mag:
Zur Erinnerung: Artikel 4.1
***
Ich bin für individuelle Beratungen buchbar, kontaktier mich einfach.
eMail: klaudia [at] zotzmann-koch.com
PGP Key: F773 1363 1BCF BA36 646D 6996 6E45 F677 E1EA 1663
Trag Dich unten in meinen Datenschutz-Newsletter ein, wenn ich Dich auf dem Laufenden halten soll, wie es mit der DSGVO weitergeht, was sich durch Rechtsprechungen im Laufe der kommenden Monate ändert und was es mit der kommenden ePrivacy-Verordnung auf sich hat.
Unterstützt den Datenschutz Podcast