Personenbezogene Daten

 

Worum geht es?

Seit Mai 2018 ist die Europäische Verordnung 2016/679, bekannt als Datenschutz-Grundverordnung (DS-GVO), anwendbar. Die DS-GVO regelt den Umgang mit personenbezogenen Daten. Dabei unterscheidet sie zwischen personenbezogenen Daten und besonderen Kategorien personenbezogener Daten.

Definition personenbezogene Daten

Die DS-GVO definiert personenbezogene Daten (p.b.D.) als „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen“. Eine identifizierte Person kann z.B. durch die Bekanntheit des Namens, eines Geburtsdatums und einer Adresse gekennzeichnet werden. Diese Informationen beziehen sich auf eine klar identifizierte Person.

Besonderes Augenmerk ist auf die die Identifizierbarkeit gelegt worden. Werden genügend feingranulare Informationen zu einer Person gesammelt, ist diese früher oder später immer identifizierbar. Ein Beispiel für die Identifizierbarkeit ist die IP-Adresse, welche in Computernetzwerken wie dem Internet verwendet wird, um Daten und Nachrichten zwischen Kommunikationspartnern auszutauschen. Grundsätzlich können die Kommunikationspartner anhand der bloßen IP-Adresse aber keinen Personenbezug herstellen, da diese die IP-Adresse keiner natürlichen Person zuordnen können. Anders verhält sich der Sachverhalt in Bezug auf den Internetprovider. Dieser ist Vertragspartner und hat dementsprechend Informationen zu der konkreten Person. In Zusammenspiel mit den Protokollierungen, die unter anderem die IP-Adresse umfassen, können Provider demnach den Personenbezug herstellen.

Neben „gewöhnlichen“ p.b.D. definiert die DS-GVO aber auch besonders schützenswerte Daten.

Um welche Datenarten handelt es sich bei besonders schützenswerten Daten?

In Art. 9 DS-GVO sind besondere Kategorien von personenbezogenen Daten formuliert. Bei der Verarbeitung dieser Daten sind besondere Voraussetzungen zu erfüllen. Folgende Datenarten gehören zu den besonders schützenswerten Daten:

  • Rassische und ethnische Herkunft
  • Religiöse oder weltanschauliche Äußerungen*
  • Gewerkschaftszugehörigkeit
  • Genetische Daten (z.B. DNA, RNS)
  • Biometrische Daten (Irisprofil, Fingerabdrücke, Gesichtsbild, etc.)
  • Gesundheitsdaten (Krankmeldungen, Patientenakten, etc.)
  • Daten zum Sexualleben (z.B. Schwangerschaft)
  • Daten zur sexuellen Orientierung

* Für Einrichtungen, die dem DSG-EKD unterliegen gilt: ausgenommen sind Angaben über die Zugehörigkeit zu einer Kirche oder einer Religions- oder Weltanschauungsgemeinschaft.

Bei der Verarbeitung dieser Kategorien von Daten sind andere Rechtsgrundlagen zu bemühen und die Sicherheit der Verarbeitung ist durch geeignete technische und organisatorische Maßnahmen der Sensibilität der Daten anzupassen. Das Team der ENSECUR berät Sie gern bei der Umsetzung.

Verfasser: Steven Bösel, 08.06.2020