Was sind personenbezogene Daten und wann dürfen diese verarbeitet werden?

Häufig taucht im Bezug auf Datenschutzverhalte die Bezeichnung „personenbezogene Daten“ auf. Was dies genau beinhaltet und wann diese verarbeitet werden dürfen, wird in diesem Beitrag geklärt.

Als personenbezogene Daten bezeichnet man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es muss also, mittelbar oder unmittelbar, eine Verbindung zwischen der Person auf der einen und der Information auf der anderen Seite herstellbar sein. Eine unmittelbare Verbindung stellt beispielsweise der Name oder die Anschrift dar. Die Sozialversicherungsnummer wäre eine mittelbare Verbindung, da eine Verbindung zur Person mittels Zusatzwissen hergestellt werden kann. Wichtig ist also, dass die Information die Möglichkeit zur Identifizierung darstellt, unabhängig davon, ob die Person tatsächlich identifiziert wird.

Klassische personenbezogene Daten sind neben Name und Adresse auch Telefonnummer, Autokennzeichen, Kontodaten aber auch IP-Adressen oder Standortdaten. Auch physische Daten, zum Beispiel das Aussehen, fallen unter personenbezogene Daten. Sind die Daten hingegen anonymisiert, fallen sie nicht mehr unter die Kategorie der personenbezogenen Daten, da die betroffene Person nicht mehr durch die Information identifiziert werden kann. Eine Pseudonymisierung allein würde nicht ausreichen, da man mit Zusatzwissen die Person wieder identifizieren könnte.

Geht es nun um die Verarbeitung dieser personenbezogenen Daten, kommt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt zum Tragen. Das bedeutet, dass jede Datenverarbeitung einer Rechtsgrundlage bedarf. Quasi ist jede Datenverarbeitung erstmal verboten, es sei denn, es gibt eine Rechtsgrundlage, die eine Erlaubnis zur Verarbeitung erteilt.

Die Rechtsgrundlage für die Datenverarbeitung im Anwendungsbereich der DSGVO ergibt sich entweder dadurch, dass die betroffene Person ihrer Datenverarbeitung eingewilligt hat oder sich eine sonstige Rechtsgrundlage aus der DSGVO oder den Datenschutzbestimmungen der Staaten und Länder ergibt.

Im nicht-öffentlichen Bereich wird die Datenverarbeitung meist zur Durchführung von Verträgen benötigt. Nach Artikel 6 Abs. 1 der DSGVO ist eine Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist und nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Jegliche Datenverarbeitungen müssen die Grundsätze der DSGVO erfüllen. Das bedeutet, dass die Daten so verarbeitet werden, dass die Verarbeitung den Grundsätzen der Fairness, Transparenz, Zweckbindung, Datenminimierung und der Vertraulichkeit entspricht.

Gerne stehen wir Ihnen bei Ihren Fragen zur Verfügung und unterstützen Sie in Ihrem Umgang mit dem Datenschutz. Nehmen Sie einfach Kontakt zu uns auf!