„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das Bundesdatenschutzgesetz (BDSG) in seinem § 3 Abs. 1 den Begriff selbst als: „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.
Natürliche Person
Wichtig ist zunächst, sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG, GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.[1] So ist die Anschrift einer individuellen Person ein Datum, das vom BDSG geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.
Geschützte Daten
Was den Bereich der geschützten Daten angeht, ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Sie umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.[2]
Personenbezogene Daten umfassen aber keine Daten, die sich zwar auf einzelne Personen beziehen, aber eine Identifizierung der Person nicht zulassen. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.[3]
Bestimmte Person
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des § 3 Abs. 1 BDSG auszugehen.[4]
Bestimmbare Person
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
Bestimmbarkeit der Person
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.[5] Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der bzw. die Lehrende ohne weiteres einen Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem bzw. der individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
Absoluter Bestimmbarkeitsbegriff
Zu beachten ist hier, dass in der Praxis sowohl durch die Datenschutzbehörden, die Europäischen Kommission als auch den Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage, welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.[6] Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter oder eine Mitarbeiterin den Sitzplan erstellt hat, jedoch die Uni mit all seinen bzw. ihren Unterlagen danach verlassen hat, der Leiter oder die Leiterin des zuständigen Lehrstuhls oder ein anderer Kollege bzw. Kollegin sich nicht darauf berufen kann, dass er oder sie des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.
Exkurs: Relativer Bestimmbarkeitsbegriff
Die in der Literatur weit verbreitete Gegenansicht geht von einem relativen Bestimmbarkeitsbegriff aus. Demnach ist nur das Zusatzwissen relevant, das tatsächlich der zuständigen Stelle zur Verfügung steht, sodass es maßgeblich darauf ankommt, welche Stelle die Daten verarbeitet, um herauszufinden, ob die Person bestimmbar ist. Da sich daraus ergibt, dass bei ausreichendem Zusatzwissen der verantwortlichen Stelle die Person nur gegenüber dieser bestimmten Stelle, also nur in Relation (Beziehung) zu ihr, bestimmbar ist, nennt diese Ansicht den Bestimmbarkeitsbegriff relativ.[7]
Für den Beispielfall bedeutet dies, dass wenn man dem Sitzplan nicht mehr habhaft werden kann, da kein Kontakt mehr zum ehemaligen wissenschaftlichen Mitarbeiter oder Mitarbeiterin möglich ist, die Person nicht als bestimmbar gilt. Jedoch liegt dies anders, wenn leicht Kontakt hergestellt werden kann oder immer noch besteht. Dann muss im Hinblick auf die Effektivität des Datenschutzes davon ausgegangen werden, dass die Person bestimmbar ist, da jederzeit entsprechendes Zusatzwissen über sie erlangt werden kann.
Besondere Arten personenbezogener Daten
Aus dem allgemeinen Persönlichkeitsrecht und insbesondere seinem Menschenwürdekern sowie dem rechtsstaatlichen allgemeinen Grundsatz der Erforderlichkeit ergeben sich eine Reihe von besonders sensiblen Daten. Aufgrund ihrer besonderen Sensibilität unterliegt jeglicher Umgang mit ihnen besonders restriktiven Zulässigkeitsvoraussetzungen. In Umsetzung des Art. 8 der EU-Richtlinie RL95/46/EG wurden 2001 durch § 3 Abs. 9 diese besonderen persönlichen Daten in das BDSG und alle Landesdatenschutzgesetze (z. B. § 2 Abs. 1 S. 2 Landesdatenschutzgesetz des Landes Sachsen - Anhalt) aufgenommen.[8]
Dazu zählen:
- Rassische oder ethnische Herkunft
- Politische Meinungen
- Religiöse oder philosophische Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheit
- Sexualleben
Um dem Diskriminierungsverbot gerecht zu werden, bedarf es zur Erhebung, Verarbeitung und Nutzung dieser Daten nicht nur einer “normalen” Einwilligung, sondern gem. § 4a Abs. 3 BDSG den ausdrücklichen Bezug auf die besonders sensiblen Daten. Dies erfordert regelmäßig die Schriftform und die Benennung des sensiblen Datums.[9]
Nachweise
- ↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.
- ↑ Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.
- ↑ Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.
- ↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.
- ↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.
- ↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.
- ↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 102 f.
- ↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 127 ff.
- ↑ Gola/Klug/Körfer, in: Gola/Schumerus, BDSG, 12. Auflage 2015, § 3 Rn. 19.3.
Die Inhalte dieser Seite stellen eine allgemeine Information und keine Rechtsberatung dar. Sie können diese nicht ersetzen. Trotz sorgfältiger Recherche wird keine Garantie für die Richtigkeit der Inhalte übernommen. Mitarbeiter und Mitarbeiterinnen der Martin-Luther-Universität Halle-Wittenberg wenden sich für Rechtsauskünfte Forschung oder Lehre betreffend bitte an das Justitiariat der Universität. |