Personenbezogene Daten
Home » DSGVO » Wichtigste Konzepte » Personenbezogene Daten

Simona Sobotovicova (UPV/EHU)

Dieser Teil der Leitlinien wurde von Daniel Jove VIllares, Universidade Da Coruna, Spanien, geprüft.

Dieser Teil des Leitfadens wurde von Marko Sijan, Senior Advisor Specialist, (HR DPA) überprüft und bestätigt.

 

Der Begriff der personenbezogenen Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Die Definition personenbezogener Daten in der DSGVO besagt, dass eine identifizierbare natürliche Person eine Person ist, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann[1]. Das Ziel der in der Datenschutz-Grundverordnung enthaltenen Vorschriften besteht zweifellos darin, die Grundrechte und -freiheiten natürlicher Personen und insbesondere ihr Recht auf Privatsphäre bei der Verarbeitung personenbezogener Daten zu schützen. Aufgrund der weit gefassten Definition des Begriffs „personenbezogene Daten“ in der Datenschutz-Grundverordnung wird die Definition des Begriffs „personenbezogene Daten“ der Artikel-29-Datenschutzgruppe, den nationalen Datenschutzaufsichtsbehörden und der Rechtsprechung des Europäischen Gerichtshofs (im Folgenden „EuGH“) unterstützt.

Die Analyse des Konzepts personenbezogener Daten durch die Artikel-29-Datenschutzgruppe in der Stellungnahme 4/2007 stützt sich auf die folgenden vier „Bausteine“, die in der Definition von „personenbezogenen Daten“[2] unterschieden werden können:

  • „Alle Informationen“:Mit diesem Begriff setzt der Gesetzgeber ein klares Signal für seine Bereitschaft, den Begriff „personenbezogene Daten“ möglichst weit zu fassen. Dieser Wortlaut verlangt eine großzügige Auslegung. Er umfasst „objektive“ Informationen, etwa das Vorhandensein einer bestimmten Substanz im Blut, aber auch „subjektive“ Informationen, Meinungen oder Beurteilungen.Informationen brauchen außerdem nicht unbedingt wahr oder bewiesen zu sein, damit sie als „personenbezogene Daten“ eingestuft werden.

Es ist festzustellen, dass der Begriff der personenbezogenen Daten ein sehr breites Spektrum von Informationen umfasst, „nicht nur objektive, sondern auch subjektive“, in Form von Meinungen und Beurteilungen, sofern sie sich auf die betroffene[3] Person „beziehen“.

  • „Über“:Allgemein „beziehen“ sich Informationen auf eine Person, wenn es sich um Informationen über diese Person handelt. Es könnte darauf hingewiesen werden, dass ein „Inhaltselement“ oder ein „Zweckelement“ oder ein „Ergebniselement“ vorhanden sein sollte, damit die Daten als „personenbezogen“ anzusehen sind. Diese drei Elemente (Inhalt, Zweck, Ergebnis) sind als alternative Bedingungen und nicht als kumulative Bedingungen anzusehen, sodass das Vorhandensein eines dieser Elemente ausreicht, um als „personenbezogen“ zu gelten.

Nach Ansicht des EuGH dienen die Kriterien Inhalt, Zweck oder Wirkung als Parameter für die Einstufung bestimmter Informationen als personenbezogene Daten. Wenn der Inhalt, der Zweck oder die Wirkung mit einer bestimmten Person verknüpft ist, handelt es sich bei der Information um personenbezogene Daten. Die Anwendung eines dieser Kriterien reicht aus, um eine bestimmte Information als personenbezogene Daten einzustufen[4].

  • „Eine bestimmte oder bestimmbare Peson“:Allgemein ist eine natürliche Person als „bestimmte Person“ anzusehen, wenn sie sich in einer Personengruppe von allen anderen Mitgliedern der Gruppe unterscheidet. Folglich ist die natürliche Person „bestimmbar“, wenn grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen (dies ist die Bedeutung des Suffixes „-bar“), auch wenn dies noch nicht geschehen ist..

In der Datenschutz-Grundverordnung werden diese „Kennungen“ in der Definition der„personenbezogenen Daten“ in Artikel 4 Absatz 1 erwähnt. Um festzustellen, ob eine natürliche Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die nach vernünftigem Ermessen entweder von dem Verantwortlichen oder von einer anderen Person zur direkten oder indirekten[5] Identifizierung der natürlichen Person eingesetzt werden können, wie z. B. das Herausfiltern. Die Frage, ob die Person „bestimmbar“ ist, steht jedoch nach wie vor im Mittelpunkt der jüngsten wissenschaftlichen Diskussionen[6].

  • „Natürliche Person“:Der Schutz gilt für natürliche Personen, d. h. Menschen. Insofern ist das Recht auf den Schutz personenbezogener Daten ein allgemeines Recht, das nicht auf Staatsangehörige oder Bewohner eines bestimmten Landes beschränkt ist.

Die Datenschutz-Grundverordnung legt fest, dass natürliche Personen mit Online-Kennungen verbunden werden können, die von ihren Geräten, Anwendungen, Werkzeugen und Protokollen bereitgestellt werden, wie IP-Adressen, Cookie-Kennungen oder andere Kennungen wie Funkfrequenzkennzeichen. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren[7]. Darüber hinaus sollten Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Diese Verordnung soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen[8].

Die Artikel-29-Datenschutzgruppe stellt fest, dass diese vier Elemente im ersten Satz der Definition personenbezogener Daten (alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen) eng miteinander verwoben sind und sich gegenseitig bedingen, aber gemeinsam bestimmen, ob eine Information als „personenbezogene Daten“ zu betrachten ist.

Welche Informationen können als personenbezogene Daten betrachtet werden?

Die nationalen Datenschutzaufsichtsbehörden und die Rechtsprechung des EuGH spielen eine wesentliche Rolle bei der Auslegung der Rechtsvorschriften und der Bereitstellung konkreter Leitlinien für die Verantwortlichen und die betroffenen Personen, wobei eine ausreichend weit gefasste Definition des Begriffs „personenbezogene Daten“ befürwortet wird. Die Definition des Begriffs „personenbezogene Daten“ ist ein zentrales Element für die Anwendung und Auslegung der Datenschutzvorschriften, die tiefgreifende Auswirkungen auf eine Reihe wichtiger Fragen und Themen haben. Unter Berücksichtigung des Formats oder des Datenträgers, auf dem diese Informationen enthalten sind, umfasst der Begriff der personenbezogenen Daten Informationen, die in beliebiger Form vorliegen, z. B. in alphabetischer, numerischer, grafischer, fotografischer oder akustischer Form[9]. Der EuGH hat in verschiedenen Urteilen eine Klassifizierung von Informationen als personenbezogene Daten vorgenommen. Insofern fallen unter den Begriff der personenbezogenen Daten zweifellos der Name einer Person in Verbindung mit ihren Telefonkoordinaten oder Informationen über ihre Arbeitsbedingungen oder Hobbys. Auch Informationen, die als Freitext in einem elektronischen Dokument enthalten sind, können als personenbezogene Daten gelten, sofern die anderen Kriterien der Definition von personenbezogenen Daten erfüllt sind. E-Mails enthalten zum Beispiel „personenbezogene Daten“. Der EuGH hat sich in diesem Sinne geäußert, als er feststellte, dass „Die Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, stellt eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten […] dar“[10].

Am 20. Dezember 2017 fällte der EuGH sein Urteil in der Rechtssache „Nowak“[11], in dem er die Einstufung der Antworten und subjektiven Kommentare des Prüfers im Rahmen der schriftlichen Antworten, die ein Prüfling in einer berufsbezognen Prüfung eingereicht hat, als personenbezogene Daten festlegte und eine Reihe von Kriterien aufstellte, die es ermöglichen zu verstehen, welche Daten personenbezogen sind[12]. Das Urteil befasst sich mit der möglichen Anwendung der Datenschutz-Grundverordnung auf personenbezogene Daten[13]. Es muss hervorgehoben werden, dass die Einstufung dieser Daten als personenbezogene Daten für den Prüfling die Möglichkeit mit sich bringt, seine Rechte auf Auskunft, Berichtigung und Widerspruch geltend zu machen. Insofern bietet die Einstufung als personenbezogene Daten nicht nur das Recht auf Auskunft, sondern auch die anderen Befugnisse, die dem Inhaber dieser Art von Daten zustehen, nämlich das Recht auf Berichtigung, Löschung und Widerspruch sowie alle in den Datenschutzvorschriften[14] vorgesehenen Garantien.

In dem Urteil wird auch die Anwendbarkeit des Auskunftsrechts auf Daten mit mehr als einem Eigentümer und gegensätzlichen Interessen (in diesem Fall der Prüfer und der Prüfling) analysiert. Der EuGH bekräftigte den Gedanken, dass die Tatsache, dass sich die Informationen in den Händen einer Person oder mehrerer Personen befinden, für ihre Einstufung als personenbezogene Daten irrelevant ist. Die Einstufung als personenbezogene Daten ergibt sich nicht aus dieser Tatsache, sondern aus der Natur der Information selbst. Hinsichtlich der Definition personenbezogener Daten fügt der EuGH ein weiteres Merkmal hinzu: die Vielzahl der betroffenen Personen bzw. die Möglichkeit, dass eine Information personenbezogene Daten sich auf mehr als eine betroffene Person beziehen kann[15].

Aufgrund der Einstufung einer Information als personenbezogene Daten wurde in der Rechtssache YS und andere[16] davon ausgegangen, dass es sich bei der rechtlichen Analyse eines Protokolls, das im Rahmen eines Antrags auf eine Aufenthaltsgenehmigung erstellt wurde, nicht um personenbezogene Daten handelt, da sie sich auf „Informationen über die Bewertung und Anwendung des Gesetzes durch die zuständige Behörde auf die Situation des Antragstellers“ beziehen. Diese Auslegung bedeutete, dass in der Rechtssache YS und andere das Auskunftsrecht über diese Informationen nicht anerkannt wurde, da man davon ausging, dass eine solche Auskunft auf einem Recht auf Zugang zu öffentlichen Dokumenten beruhen würde, das von den Rechtsvorschriften[17] der DSGVO nicht abgedeckt wird.Wenn die Analyse jedoch Bewertungen der betroffenen Person enthielte oder diese beeinflussen könnte, würden diese als personenbezogene Daten betrachtet, die als solche unter die DSGVO fallen würden[18].

Es kann bestätigt werden, dass die Definition der DSGVO, wie sie vom EuGH in Erinnerung gerufen wurde, auf einer weit gefassten Definition des Begriffs „personenbezogene Daten“ beruht, die die Absicht des Gesetzgebers widerspiegelt, dem Konzept einen breiten Geltungsbereich zuzuweisen, der subjektive und objektive Informationen über die betroffene Person umfasst. Da die Einstufung von Informationen als personenbezogene Daten sie in den Bereich der Grundrechtsschutzarchitektur der EU bringt, legt sie auch sowohl die Rechte der betroffenen Personen als auch die Umstände fest, unter denen der Schutzstandard aufgrund von gerechtfertigten Zielen verringert werden kann[19].

 

Quellenangaben

1Artikel 4 Absatz 1 der Datenschutz-Grundverordnung.

2 Siehe Artikel-29-Datenschutzgruppe: Stellungnahme 4/2007 zum Begriff der personenbezogenen Daten. Angenommen am 20. Juni, 01248/07/EN WP 136, S. 9-12, 21. Verfügbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf

3Urteil des Gerichtshofs der Europäischen Union (Zweite Kammer), Rechtssache C-43 4/16, Peter Nowak/Datenschutzbeauftragter, 20. Dezember 2017, § 34.

4Urteil des Gerichtshofs der Europäischen Union (Zweite Kammer), Rechtssache C-43 4/16, Peter Nowak/Datenschutzbeauftragter, 20. Dezember 2017, § 35.

5Erwägungsgrund 26 DSGVO.

6 Siehe zum Beispiel: Purtova, N. (2018). The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law. Law, Innovation and Technology. DOI:https://doi.org/1 0.1080/17579961.2018.1452176.

7Erwägungsgrund 30 DSGVO.

8Erwägungsgrund 2 DSGVO.

9Artikel-29-Datenschutzgruppe: Stellungnahme 4/2007 zum Begriff der personenbezogenen Daten. Angenommen am 20. Juni, 01248/07/EN WP 136, S.7. Verfügbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf

10Urteil des Europäischen Gerichtshofs, C-101/2001, Lindqvist, § 27, 06.11.2003.

11Urteil des Gerichtshofs der Europäischen Union (Zweite Kammer), Rechtssache C-43 4/16, Peter Nowak/Datenschutzbeauftragter, 20. Dezember 2017.

12Jove, D. (2019). Peter Nowak v Data Protection Commissioner: Potential Aftermaths Regarding Subjective Annotations in Clinical Records.European Data Protection Law Review, Band 5, Ausgabe 2, S. 175. DOI: https://doi.org/10.21552/edpl/2019/2/7

13Urteil des Europäischen Gerichtshofs (Zweite Kammer), Rechtssache C-43 4/16, Peter Nowak/Datenschutzbeauftragter, 20. Dezember 2017, § 27.

14Jove, D. (2019). Peter Nowak v Data Protection Commissioner: Potential Aftermaths Regarding Subjective Annotations in Clinical Records. European Data Protection Law Review, Band 5, Ausgabe 2, S. 177. DOI: https://doi.org/10.21552/edpl/2019/2/7

15 Ibídem, S. 176, 178.

16Urteil des Gerichtshofs, verbundene Rechtssachen C-141/12 und C-372/12, YS u. a., 17. Juli 2014.

17Urteil des Gerichtshofs, verbundene Rechtssachen C-141/12 und C-372/12, YS u. a., 17. Juli 2014, § 40.

18D. Jove,(2019). Peter Nowak v Data Protection Commissioner: Potential Aftermaths Regarding Subjective Annotations in Clinical Records. European Data Protection Law Review, Band 5, Ausgabe 2, S. 179. DOI: https://doi.org/10.21552/edpl/2019/2/7

19Podstawa, K. (2018). Peter Nowak, Datenschutzbeauftragter: You can access your exam script, because it is personal data. European Data Protection Law Review (EDPL), 4 Absatz 2, pp. 254, 256. DOI: https://doi.org/10.21552/edpl/2018/2/17.

 

Skip to content