Personenbezogene Daten

Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen

Personenbezogene Daten sind im Datenschutzrecht alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Der Rechtsbegriff ist in Art. 4 Nr. 1 der europäischen Datenschutz-Grundverordnung legaldefiniert.

Personalien bezeichnen dagegen unabhängig von technischen Verarbeitungs- und Verknüpfungsmöglichkeiten bestimmte Informationen zu einer natürlichen Person, die ihre Identifizierung ermöglichen und Verwechslungen mit anderen Personen ausschließen.

Der Begriff der Daten wird im Sinne von Einzelangaben oder Einzelinformationen verstanden (vgl. auch Mikrodaten). Er ist nicht mit dem Datenbegriff der Informationstechnik identisch, aber identisch mit dem Datensatz in der Datenverarbeitung.

Personenbezug

Bearbeiten

Daten sind personenbezogen, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. Im zweiten Fall spricht man auch von personenbeziehbaren Daten.

Die Eigenschaft der natürlichen Person entfällt nicht allein deshalb, weil die Person als Unternehmer (etwa Einzelunternehmer) handelt.

Beispiele für personenbezogene Daten:[1]

  • Angaben zu körperlichen Eigenschaften: „Klaus Mustermann hat blaue Augen.“
  • Angaben zu Lebensumständen: „Erika Mustermann fährt mit dem Fahrrad zur Arbeit.“
  • eine (auch dienstliche) E-Mail-Adresse
  • der Inhalt einer (auch dienstlichen) E-Mail
  • der Inhalt einer Patientenakte

Im ersten Beispiel wird die Angabe hat blaue Augen der Person Klaus Mustermann zugeordnet. Die Angabe hat blaue Augen wird dadurch zu einer personenbezogenen Information. (Im Regelfall wird die Gesamtinformation Klaus Mustermann hat blaue Augen. als personenbezogene Angabe angesehen.)

Im zweiten Beispiel ist fährt mit dem Fahrrad zur Arbeit die personenbezogene Information. Personenbezogene Daten müssen also nicht zwangsläufig ein körperliches Merkmal der Person sein. Es genügt ein Bezug zwischen der Person und einer Sache, einer anderen Person, einem Ereignis, einem Sachverhalt.

Auch Daten, über die sich ein Personenbezug mittelbar herstellen lässt, sind als personenbezogene Daten anzusehen, selbst wenn die Zuordnungsinformationen nicht allgemein bekannt sind. Entscheidend ist allein, dass es gelingen kann, die Daten mit vertretbarem Aufwand einer bestimmten Person zuzuordnen:

Gesetzliche Definitionen

Bearbeiten

Europäische Union

Bearbeiten

Die Datenschutz-Grundverordnung (DSGVO) definiert den Begriff der personenbezogenen Daten für die Mitgliedstaaten der Europäischen Union in Artikel 4 Abs. 1 als

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.[3]

Sensible Daten

Bearbeiten

Besonders schutzbedürftig sind nach Art. 9 DSGVO „besondere Kategorien personenbezogener Daten“, auch „sensible Daten“. Hierzu zählen alle Daten, aus denen die (sogenannte) rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Ihre Verarbeitung ist an strengere Voraussetzungen gebunden als die Verarbeitung sonstiger personenbezogener Daten.

Gesundheitsdaten
Bearbeiten

Gesundheitsdaten als Untergruppe der sensiblen Daten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO).

Deutschland

Bearbeiten

Das deutsche Bundesrecht übernimmt in § 46 Abs. 1 Bundesdatenschutzgesetz (BDSG) die DSGVO-Definition von personenbezogenen Daten auch für die straftatenbezogene Datenverarbeitung durch Polizei und Justiz, da hier die DSGVO nicht gilt. In § 46 Abs. 14 BDSG und § 48 Abs. 1 BDSG ist in ähnlicher Weise wie in der DSGVO die besondere Schutzbedürftigkeit der „besonderen Kategorien personenbezogener Daten“ (so genannte sensible Daten) geregelt. Die entsprechenden landesgesetzlichen Definitionen haben den gleichen oder einen ähnlichen Wortlaut.

Sozialdaten

Bearbeiten

Bei Sozialdaten handelt es sich um personenbezogene Daten, die von einem Sozialleistungsträger oder einer ihm gleichgestellten Institution im Rahmen seiner bzw. ihrer gesetzlichen Aufgaben verwendet werden. Sozialdaten umfassen:

  • Objektive Daten des Betroffenen wie Rentenversicherungsnummer, Krankenversichertennummer, Anschrift, Kinderzahl, Verhalten, Ausbildung etc.,
  • Meinungen und Wertungen des Betroffenen, die er etwa in Anträgen und im Schriftverkehr mit dem Sozialleistungsträger äußert und die sich auf ihn selbst oder Dritte beziehen,
  • Meinungen und Wertungen Dritter über den Betroffenen, wie sie zum Beispiel in Gutachten, Aktennotizen, Diagnosen und Prognosen festgehalten sind.[4]

Sozialdaten unterliegen dem Sozialgeheimnis. Der Umgang mit ihnen ist im Sozialgesetzbuch – insbesondere in § 35 Erstes Buch Sozialgesetzbuch (SGB I) und im zweiten Kapitel des Zehnten Buches Sozialgesetzbuch (SGB X) – geregelt.

Das Recht der Schweiz verwendet statt des Begriffs der personenbezogenen Daten den Begriff Personendaten. Darunter versteht man „alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen“ (Art. 3 Bst. a des Bundesgesetzes über den Datenschutz).

Verwandte Begriffe

Bearbeiten

Personaldaten

Bearbeiten

Personaldaten sind personenbezogene Daten eines Arbeitnehmers, die von seinem Arbeitgeber im Rahmen des Arbeitsverhältnisses gespeichert und verwendet werden. Dazu gehören zunächst alle Informationen, die der Arbeitgeber zur Erfüllung seiner gesetzlichen und arbeitsvertraglichen Pflichten benötigt, also beispielsweise Name und Adresse des Arbeitnehmers, Höhe des Gehalts und Steuerklasse. Darüber hinaus werden im Regelfall aber auch weitergehende Informationen gespeichert, die für das Arbeitsverhältnis von Bedeutung sein können, beispielsweise Angaben über die Ausbildung und Qualifikation des Arbeitnehmers oder seinen beruflichen Werdegang. Personaldaten, die auf Papier niedergelegt sind, werden in besonderen Akten, den Personalakten, aufbewahrt.

In Unternehmen mit vielen Arbeitnehmern werden Personaldaten in der Regel mit Hilfe so genannter Personalinformations- oder Personalmanagementsysteme verwaltet. Diese elektronische Personaldatenverarbeitung ermöglicht dem Arbeitgeber teilweise weitreichende Auswertungs- und Kontrollmöglichkeiten. Daher unterliegt ihre Einführung und Verwendung in Deutschland der Mitbestimmung des Betriebsrats.

Einzelnachweise

Bearbeiten
  1. Was sind personenbezogene Daten? Abgerufen am 16. Oktober 2022.
  2. Malte Kröger: Datenschutz und Prüfungsrecht – Was das Nowak-Urteil für das Prüfungswesen bedeutet. In: Junge Wissenschaft im Öffentlichen Recht e. V. 25. Januar 2018 (juwiss.de [abgerufen am 29. Januar 2018]).
  3. vgl. Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ Artikel-29-Datenschutzgruppe, 20. Juni 2007.
  4. Nach: Heinz-Gert Papenheim, Joachim Baltes, Burkhard Tiemann: Verwaltungsrecht für die soziale Praxis. 19., überarbeitete Auflage. Recht für die soziale Praxis, Frechen 2006, ISBN 3-935793-04-9, S. 205.