Datenschutz-Akademie » Datenschutz-Wiki » Personenbezogene Daten

Zwei Überwachungskameras erfassen personenbezogene Daten nach DSGVO

Personenbezogene Daten

Personenbezogene Daten sind laut DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. (Artikel 4 Abs 1 DSGVO)

Alle Informationen, die also einer bestimmten Person zugeordnet werden können oder eine Person bestimmbar machen, sind personenbezogene Daten. Nicht nur Name, Adresse oder Telefonnummer haben Personenbezug, sondern unter Umständen auch bereits pseudonymisierte Daten wie eine Kundennummer oder die IP-Adresse.

Was sind personenbezogene Daten?

Unter dem Begriff „personenbezogene Daten“ werden jegliche Daten zusammengefasst, welche sich einer identifizierten oder identifizierbaren natürlichen Person zuordnen lassen.  Als identifizierbar gelten natürliche Personen, wenn diese direkt oder indirekt identifiziert werden können, beispielsweise über eine Zuordnung von Kennnummern u.ä..

Ist eine solche Identifizierung theoretisch möglich, gelten diese Daten als personenbezogene Daten und müssen entsprechend verarbeitet werden.  Eine tatsächliche Identifizierung muss nicht durchgeführt werden.

BDSG, DSGVO und Beispiele

Bereits das Bundesdatenschutzgesetz beschäftigte sich in §3 mit personenbezogenen Daten.

In der Datenschutzgrundverordnung definiert Artikel 4 Abs. 1 personenbezogene Daten als Angaben, welche bei Zuordnung zu einer natürlichen Person Einblicke in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität ermöglichen.

Beispiele für personenbezogene Daten sind neben Namen, Telefonnummern und IP-Adressen aber auch das Aussehen einer Person sowie deren Arbeitszeiten.

Arten von personenbezogene Daten

Personenbezogene Daten lassen sich in zahlreiche Arten einteilen. Darunter zählen unter anderem:

  • Name
  • Geburtsdatum
  • Alter
  • Familienstand
  • Adresse
  • E-Mail-Adresse
  • IP-Adressen
  • Telefonnummer
  • Kontodaten
  • KFZ-Kennzeichen
  • Personalausweisnummer
  • Sozialversicherungsnummer
  • Standortdaten
  • Vorstrafen
  • Gesundheitsdaten
  • Kulturelle / soziale Merkmale
  • Biometrische Daten (bspw. Fingerabdruck)

Zusätzlich erfolgt eine Unterscheidung in besondere personenbezogene Daten mit erhöhtem benötigtem Schutz. Diese besonders schutzwürdigen Daten werden in Art. 9 Abs. 1 DSGVO definiert als: Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.

Auch die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt ist laut DSGVO untersagt.

Die grundsätzliche Verarbeitung von personenbezogenen Daten nach DSGVO unterliegt speziellen Regeln. Handelt es ich um besondere Kategorien personenbezogener Daten untersagt die DSGVO diese, mit Ausnahme der in Art. 9 Abs.2 genannten Fällen.

Auch Angaben besonderer Merkmale einer natürlichen Person, wie Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität zählen dazu und erfordern sogar einen besonders sensiblen Umgang mit diesen.

Verschlüsselt man personenbezogene Daten, spricht man von pseudonymisierten Daten. Diese unterscheiden sich wiederum von anonymisierten Daten.

Was fällt nicht unter personenbezogene Daten?

Informationen zu juristischen Personen wie Gesellschaften, Vereine und Stiftungen sind nicht durch die DSGVO geschützt und fallen nicht unter personenbezogene Daten.

Auch Daten welche vollständig anonymisiert sind und dementsprechend keiner Rückschlüsse auf eine Person ermöglichen, gelten nicht als personenbezogene Daten.

Personenbezogene Daten im Unternehmen und in der Praxis

Neben Informationen, welche einen eindeutigen Personenbezug herstellen lassen, wie bspw. der Name oder die Telefonnummer, gibt es auch weniger eindeutige Informationen, welche dennoch beachtet werden müssen. So kam die Frage auf, ob Arbeitszeiten unter die personenbezogenen Daten fallen. Dazu entschied der Europäische Gerichtshof:

„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“. 

Verarbeiten Unternehmen personenbezogene Daten sind die Vorschriften der DSGVO gemäß Artikel 5 Abs. 1 zu beachten. Die darin genannten Grundsätze für die Verarbeitung sind:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Warum müssen personenbezogene Daten geschützt werden?

Personenbezogene Daten nach DSGVO ermöglichen es natürliche Personen zu identifizieren und damit Rückschlüsse auf deren Lebensführung zu ziehen. Ausgehend davon lassen sich gezielte Marketing- und Verkaufsstrategien, wie gezielte Werbeanzeigen schalten, welche für Unternehmen bares Geld wert sind.
Aber nicht nur für Unternehmen sind diese Daten wertvoll, auch Kriminelle haben Interesse bspw. auf Bankdaten zuzugreifen. Um Betroffene davor zu schützen, ist es wichtig personenbezogene Daten mit erhöhter Sorgsamkeit vor unbefugten Zugriffen zu schützen.

Umgang mit personenbezogenen Daten

Art. 5 DSGVO regelt die Verarbeitung von personenbezogenen Daten für öffentliche und nicht öffentliche Stellen. Demnach sind im Umgang mit diesen Daten Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht entscheidend. Die Rechtmäßigkeit der Verarbeitung ist gegeben, wenn mindestens eine Bedingung von Art. 6 DSGVO erfüllt ist.

Weitergabe von personenbezogenen Daten

Werden personenbezogene Daten weitergegeben stellt dies einen nachhaltigen Eingriff in die Rechte der Betroffenen dar. Um rechtliche Sanktionen zu vermeiden ist vor der Weitergabe zu prüfen, ob die Weitergabe rechtmäßig nach Art. 6 DSGVO ist. Andernfalls drohen Bußgelder für das verarbeitende Unternehmen sowie Folgen für die Betroffenen der Weitergabe.

Spezifischer Ratgeber zum Missbrauch von personenbezogenen Daten

Adresshandel

Der Adresshandel ist ein Bestandteil des Direktmarketings und stellt die analoge Form der Individualisten Werbung dar. Ziel des Adresshandels, auch Listbroking genannt, ist es mittels Werbung in Form von Flyern, Gutscheinen,o.ä. den Kundenstamm durch potenzielle Kunden zu erweitern. Unternehmen wenden sich dabei gezielt an Adresshändler, welche neben Privatadressen auch Firmenadressen vermittelt. Ist eine bestimmte Zielgruppe angepeilt ist es möglich bestimmte Kriterien in die Erstellung der Adressliste mit einzubeziehen. So können bspw. nur Adressen aus bestimmten Vierteln und Straßen weitergegeben werden. Von Seite der Betroffenen ist keine Einwilligung nötig, auch so ist der Handel mit Adressen und Kundendaten nicht illegal (gemäß §28 BDSG). Dies betrifft sowohl den Kauf als auch den Verkauf.

Phishing

Phishing beschreibt das Angeln von Zugangsdaten und Identitäten direkt vom Betroffenen. Dabei werden Betroffene über einen Link in einer E-Mail oder auch per SMS dazu aufgefordert Zugangsdaten auf einer Webseite einzugeben. Diese Website wurde eigens zum Phishing der Daten angelegt und sieht der entsprechenden seriösen Site häufig zum Verwechseln ähnlich. Die eingegebenen Daten werden dann von den Betrügern abgefangen und im eigenen Sinne genutzt werden. Nicht selten werden zu diesem Zweck Websites von Banken nachgebaut. Werden tatsächlich Bankdaten eingegeben haben die Betrüger die Möglichkeit Geld zu überweisen oder auch die Identität zu stehlen.

Woran sind Phishing-Mails zu erkennen? 

  • Achten Sie auf Rechtschreibfehler – häufig werden Texte stupide mittels Übersetzungsprogrammen übersetzt. Daraus resultieren merkwürdige Zeichen, nicht umgewandelte Umlaute, vergessene Buchstaben oder auch eine falsche Satzzeichensetzung.
  • Betroffenen wird eine gewisse Dringlichkeit vermittelt. So soll schnell gehandelt werden um Konsequenzen wie das Sperren des Kontos zu vermeiden.
  • Eventuell steht der Text auf in einer Fremdsprache. Wenn Sie nicht Kunde bei einem ausländischen Unternehmen sind, sollten Sie skeptisch sein.
  • Auffällig ist auch das Fehlen einer direkten persönlichen Anrede. Betrüger greifen häufig auf die Formulierung „Kunde“ oder „Nutzer“ zurück.

Wie kann man sich vor Phishing schützen? 

Viele Anti-Viren-Programme warnen Betroffene vor der Phishing-Website. Auch der Rechner oder Browser kann vor einer solchen Gefahr warnen. Wichtig ist, dass alle verfügbaren Sicherheitsupdates installiert sind. Das betrifft den Rechner ebenso wie das Anti-Viren-Programm und den Browser.

Grundsätzlich hilft auch eine gewisse Skepsis. Kennen Sie die Website nicht oder befinden sich komische Zeichen in der URL sollten Sie den Link auf keinen Fall klicken und erst recht keine Daten eingeben.

Ist das Phishing besonders getarnt wird dies auch als Pharming bezeichnet. Dabei werden Betroffene bei der Eingabe der URL in den Browser auf eine gefälschte Website umgeleitet. Auffällig ist eine Aufforderung zur Eingabe neuer Daten, sowie Zahlen in der URL.

Hier gilt: sichere Websites beginnen meist mit „https“ und haben vor der URL ein kleines Schloss.

Datenhandel

Datenhandel stellt ein lukratives Geschäft dar, dabei werden Kundendaten an Unternehmen verkauft. Dabei macht der Verkäufer Profit und der Käufer hat eine Liste mit potenziellen Neukunden. Dafür senden Unternehmen Werbemittel aus, um ihren Kundenstamm zu erweitern. Dieses Vorgehen wird als Direktmarketing bezeichnet. Die am weitesten verbreitete Form ist der Adresshandel.

Häufig wird eine solche Verkauf Absicht in einer Datenschutzerklärung angekündigt, diese wird von Betroffenen meist ungelesen akzeptiert. Durch diese Zustimmung ist es legal die Daten der Betroffenen weiterzuverkaufen. Eine Ausnahme stellen besondere personenbezogene Daten wie Gesundheitsdaten dar. Diese dürfen ohnehin nur in sehr seltenen Ausnahmefällen gespeichert, genutzt, verarbeitet oder gar weitergegeben werden.

Identitätsdiebstahl

Greifen Dritte personenbezogene Daten ab mit dem Ziel der missbräuchlichen Nutzung spricht man von Identitätsdiebstahl. Dabei können Dritte unter falschen Namen online einkaufen oder auch Geld vom Konto eines Betroffenen auf ihr eigenes buchen. Dem Betroffenen ist es dabei nach wie vor möglich seine eigene Identität zu verwenden.

Wie lässt sich feststellen, ob die Identität gestohlen wurde? 

Hinweise welche auf einen Identitätsdiebstahl hindeuten sind:

  • Login auf einer vermeintlich echten Website mittels Passwort und E-Mail ist nicht möglich,
  • Erhalten von Zahlungsaufforderungen oder Mahnungen zu Bestellungen die nicht getätigt wurden sind,
  • Auf dem Konto befindliche Abbuchungen durch unbekannte Firmen,
  • Oder auch Forderungen von Inkassounternehmen zum begleichen offener Summen

Wie sollte man auf einen Identitätsdiebstahl reagieren? 

  • Melden Sie sich bei der Polizei, oft ist dies eine Voraussetzung, um Konten sperren zu lassen.
  • Nehmen Sie Kontakt zu den betroffenen Unternehmen aus und melden Ihren Identitätsdiebstahl.
  • Zur Vermeidung negativer Einträge sollten Sie ebenfalls die Schufa informieren.
  • Wenn Sie es noch nicht getan haben, ändern Sie alle Passwörter.

Welche Strafen stehen auf Identitätsdiebstahl? 

Identitätsdiebstahl ist in Deutschland kein konkreter Tatbestand. Demzufolge steht darauf keine konkrete Strafe, aber Betrüger machen sich anderen Straftaten strafbar. So bspw. der Urkundenfälschung nach §267 StGB oder falscher Verdächtigungen (§164 StGB), wenn Straftaten im Netz unter einem anderen Namen verübt werden. Somit hat es für die Täter rechtliche Folgen in Form von Geld- und Freiheitsstrafen (bis zu 10 Jahren). Das gilt allerdings nur insofern die Täter ermittelt werden können.

Wie kann man sich vor Identitätsdiebstahl schützen? 

  • Verwenden Sie sichere Passwörter – achten Sie auf Kriterien für sichere Passwörter (Länge, verwendete Zeichen)
  • Geben Sie Ihre Passwörter nicht weiter, ebenfalls wird davon abgerate Passwörter auf lose Zettel zu schreiben. Verwenden Sie stattdessen einen online Passwort-Manager.
  • Aktivieren Sie für wichtige Konten eine zwei-Faktor-Authentifizierung. Durch Hinterlegung einer Handynummer bekommen Sie bei jeder Anmeldung bei Ihrem Konto eine Nachricht zur Bestätigung.
  • Achten Sie auf Phishing-Mails und gehen Sie nicht darauf ein.
  • Halten Sie Ihren Computer auf dem neusten Stand und führen Sie die Sicherheitsupdates durch.
  • Auch Anti-Viren-Programme tragen zum Schutz bei.

Wichtige Rechte der Betroffenen

Betroffen, deren Daten gesammelt, gespeichert und verarbeitet werden haben viele Rechte. Die drei wichtigsten sind dabei das Recht auf informationelle Selbstbestimmung, das Auskunftsrecht sowie das Recht auf Berichtigung, Löschung und Sperrung der Daten.

Recht auf informationelle Selbstbestimmung

Das Recht auf informationelle Selbstbestimmung fällt unter das Persönlichkeitsrecht und ist damit durch Art. 1 des GG geschützt. Es ermöglicht Betroffenen selbst zu entscheiden, welche Daten gespeichert und verarbeitet werden dürfen. Dabei ist eine aktive Zustimmung zu dem gegebenen Zweck nötig.

Auskunftsrecht über die Verarbeitung personenbezogener Daten

§19 und §34 BDSG räumen Betroffenen das Recht ein, ihre gespeicherten daten bei Unternehmen und Behörden einzusehen. Dabei sind sowohl öffentliche als auch nicht öffentliche Stellen zur Auskunft verpflichtet.

Recht auf Berichtigung, Löschung und Sperrung personenbezogener Daten

Sind gespeicherte Daten falsch, veraltet oder widerrechtlich gespeichert oder weitergegeben wurden, besteht die Pflicht diese rechtzeitig gesperrt, berichtigt oder gänzlich gelöscht werden. Betroffene können diese Vorgänge einfordern.

Zudem besteht für Betroffene das echt auf Vergessenwerden. Dieses sieht vor, dass gelöschte Daten nicht wiederhergestellt werden können. Geregelt wird die durch Art. 17 DSGVO.  Relevante Löschtatbestände sind demnach:

  • Zweck Datenverarbeitung ist weggefallen, wodurch die Daten nicht mehr benötigt werden
  • Der Betroffenen/Dateninhaber hat Einwilligung zur Datenerhebung widerrufen
  • Dateninhaber hat Widerspruch gegen Datenverarbeitung eingelegt
  • Feststellung, dass personenbezogene Daten von vornherein unrechtmäßig erhoben oder verarbeitet wurden
  • Löschungsvorgang in Erfüllung einer Rechtspflicht nach EU-Recht oder auf nationaler Rechtsgrundlage notwendig
  • Es handelt sich um personenbezogenen Daten eines Kindes

Vorgaben mit welchen technischen Maßnahmen die Daten zu löschen bzw. zu vernichten sind, werden im Artikel nicht angegeben.

Sobald ein Grund zur Löschung gegeben ist, ist diese unverzüglich durchzuführen. Spätestens innerhalb eines Monats nach Eingang des Löschungsantrags müssen Antragsteller über die entsprechenden Maßnahmen zur Löschung oder über die Gründe der Ablehnung des Antrags informiert werden.

Wie kann ich die Löschung meiner Daten verlangen?

Jeder Betroffene hat gemäß Art. 17 DSGVO das Recht seine Daten löschen zu lassen. Dafür muss das betreffende Unternehmen schriftlich die Löschung der Daten anfordern bzw. die Erlaubnis zur Verarbeitung der Daten widerrufen. Zusätzlich kann um eine Bestätigung der Aktion gebeten werden. Innerhalb eines Monats muss das Unternehmen der Anfrage nachkommen. Wird der Antrag durch das Unternehmen abgelehnt, muss eine stichhaltige Begründung zur Aufbewahrung der Daten erfolgen (bspw. eine gesetzliche Pflicht).

Caroline Schwabe

Das könnte Sie auch interessieren:

IT-Sicherheitsvorfall

TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten

TISAX® Anforderungen: Informationen zu Fragenkatalog, Reifegradstufen und zur Zertifizierung. bereiten Sie Assessment-Level und Audit vor.

Audit-Management: Audits effizienter umsetzen

Audit-Management verstehen und umsetzen: Schrittweise Erklärung, Hintergrundinformationen, Beispiele und Definitionen. Jetzt lesen!

NIS2: EU-Richtlinie für mehr Cybersicherheit

Was bedeutet die NIS-2-Richtlinie für Organisationen in Deutschland? Umsetzungspflichten, Sanktionen, Tipps zur Umsetzung.