Personenbezogene Daten

„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das Bundesdatenschutzgesetz (BDSG) in seinem § 3 Abs. 1 den Begriff selbst als: „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

Natürliche Person

Wichtig ist zunächst sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG oder GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.^[1] So ist die Anschrift einer individuellen Person ein Datum, das vom BDSG geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.

Geschützte Daten

Was den Bereich der geschützten Daten angeht ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Er umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.^[2]

Dieser Begriff umfasst aber nicht personenbezogene Daten, die sich zwar auf einzelne Personen beziehen, diese Personen aber nicht identifiziert werden können. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.^[3]

Bestimmte Person

Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des § 3 Abs. 1 BDSG auszugehen.^[4]

Bestimmbare Person

Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.

Bestimmbarkeit der Person

Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.^[5] Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der Lehrende ohne weiteres eine Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.

Absoluter Bestimmbarkeitsbegriff

Zu beachten ist aber hier, dass in der Praxis also sowohl durch die Datenschutzbehörden, der Europäischen Kommission als auch dem Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.^[6] Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter den Sitzplan erstellt hat, jedoch die Uni mit allen seinen Unterlagen danach verlassen hat, der Leiter des zuständigen Lehrstuhls oder ein anderer Kollege sich nicht darauf berufen kann, dass er des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.

↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.
↑ Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.
↑ Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.
↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.
↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.
↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.

[1] Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.

[2] Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.

[3] Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.

[4] Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.

[5] Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.

[6] Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.

[1]

[2]

[3]

[4]

[5]

[6]