„Personenbezogene Daten“ ist der zentrale Begriff des deutschen Datenschutzrechtes, da es gerade darauf ausgerichtet ist, diese zu schützen. Dementsprechend definiert das Bundesdatenschutzgesetz (BDSG) in seinem § 3 Abs. 1 den Begriff selbst als: „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.
Natürliche Person
Wichtig ist zunächst sich vor Augen zu halten, dass damit nur Daten über Menschen gemeint sind, nicht Daten von juristischen Personen wie z. B. einer AG oder GmbH oder einer Körperschaft des öffentlichen Rechts also beispielhaft der Universität.[1] So ist die Anschrift einer individuellen Person ein Datum, das vom BDSG geschützt wird. Jedoch ist die Anschrift der Universität, da sie kein Mensch ist, kein personenbezogenes Datum, also auch nicht durch das BDSG geschützt.
Geschützte Daten
Was den Bereich der geschützten Daten angeht ist die Formulierung „Einzelangaben über persönliche oder sachliche Verhältnisse“ sehr weit zu verstehen. Er umfasst alle Angaben über die unmittelbar menschlichen Eigenschaften einer Person wie z. B. Größe, Alter, Hautfarbe, Geschlecht. Ferner können aber auch Angaben über Sachen personenbezogene Daten darstellen. Beispielhaft ist dafür die Offenlegung des Vermögensstandes der Eltern gegenüber dem BaföG-Amt. Eine genaue Unterscheidung zwischen persönlichen und sachlichen Angaben ist nicht nötig, da zum einen die Übergänge fließend sein können und zum anderen das Datenschutzrecht für beide das gleiche Schutzniveau bietet.[2]
Dieser Begriff umfasst aber nicht personenbezogene Daten, die sich zwar auf einzelne Personen beziehen, diese Personen aber nicht identifiziert werden können. Gleiches gilt für Daten, die unverändert zwar Rückschlüsse auf eine Person zulassen würden, dies jedoch durch Anonymisierung verhindert wird.[3]
Bestimmte Person
Die Daten müssen immer einer bestimmten Person zuzuordnen sein, damit sie als „personenbezogene Daten“ zu verstehen sind. Im eindeutigsten Fall werden die Daten dem Namen einer Person zugeordnet. Es muss sich aus der Information selbst ergeben, welcher Person die Daten zugeordnet sind. Dann ist von einer bestimmten Person i. S. d. Definition des § 3 Abs. 1 BDSG auszugehen.[4]
Bestimmbare Person
Genauso ausreichend ist es aber auch, dass die Person nur bestimmbar ist.
Bestimmbarkeit der Person
Sie muss durch die Verwendung von Zusatzinformationen identifiziert werden können, ihr müssen die Daten also zugeordnet werden können, damit sie bestimmbar ist.[5] Beispielhaft wäre dafür die Abnahme einer Prüfung im Computerraum einer Hochschule. Hier kann der Lehrende ohne weiteres eine Sitzplan für die Prüfung erstellen. Dies kann im Vorfeld z. B. nach der alphabetischen Reihenfolge der Nachnamen der Studierenden erfolgen oder auch während der Prüfung, falls die Studierenden ihre Arbeitsplätze selbst gewählt haben. Falls nun die Prüfung ohne Angabe des Namens oder anderer Identifikationsmerkmale z. B. der Matrikelnummer abgegeben wird, kann unter Zuhilfenahme des Sitzplanes als Zusatzwissen trotzdem die Prüfungsleistung als Datum dem individuellen Studierenden zugeordnet werden. Damit handelt es sich um eine bestimmbare Person.
Absoluter Bestimmbarkeitsbegriff
Zu beachten ist aber hier, dass in der Praxis also sowohl durch die Datenschutzbehörden, der Europäischen Kommission als auch dem Europäischen Gerichtshof von einem absoluten Bestimmbarkeitsbegriff ausgegangen wird. Das bedeutet, dass bei der Frage welches Zusatzwissen zur Bestimmung der Bestimmbarkeit einer Person relevant ist, jedes Zusatzwissen Dritter anzurechnen ist, egal ob gar keine faktische oder rechtliche Möglichkeit besteht, an dieses Wissen zu gelangen.[6] Im oben geschilderten Beispiel hat dies zur Folge, dass, falls ein wissenschaftlicher Mitarbeiter den Sitzplan erstellt hat, jedoch die Uni mit allen seinen Unterlagen danach verlassen hat, der Leiter des zuständigen Lehrstuhls oder ein anderer Kollege sich nicht darauf berufen kann, dass er des Sitzplans nicht mehr habhaft werden kann. Aufgrund der Existenz des Sitzplans gilt das Datum als auf eine bestimmbare Person bezogen.
Exkurs: Relativer Bestimmbarkeitsbegriff
Die in der Literatur weit verbreitete Gegenansicht geht von einem relativen Bestimmbarkeitsbegriff aus. Demnach ist nur das Zusatzwissen relevant, das tatsächlich der zuständigen Stelle zur Verfügung steht, sodass es maßgeblich darauf ankommt welche Stelle die Daten verarbeitet, um herauszufinden, ob die Person bestimmbar ist. Da sich daraus ergibt, dass bei ausreichendem Zusatzwissen der verantwortlichen Stelle die Person nur gegenüber dieser bestimmten Stelle, also nur in Relation (Beziehung) zu ihr, bestimmbar ist, nennt diese Ansicht den Bestimmbarkeitsbegriff relativ.[7]
Für den Beispielsfall bedeutet dies, dass im Falle man kann dem Sitzplan nicht mehr habhaft werden, da kein Kontakt mehr zum ehemaligen wissenschaftlichen Mitarbeiter möglich ist, die Person nicht als bestimmbar gilt. Jedoch liegt dies anders, wenn leicht Kontakt hergestellt werden kann oder immer noch besteht. Dann muss im Hinblick auf die Effektivität des Datenschutzes davon ausgegangen werden, dass die Person bestimmbar ist, da jederzeit entsprechendes Zusatzwissen über sie erlangt werden kann.
Besondere Arten personenbezogener Daten
Aus dem allgemeinen Persönlichkeitsrecht und insbesondere seinem Menschenwürdekern sowie dem rechtsstaatlichen allgemeinen Grundsatz der Erforderlichkeit ergibt sich eine Reihe von besonders sensiblen Daten. Aufgrund ihrer besonderen Sensibilität unterliegt jeglicher Umgang mit ihnen besonders restriktiven Zulässigkeitsvoraussetzungen. In Umsetzung des Art. 8 der EU-Richtlinie RL95/46/EG wurden 2001 durch § 3 Abs. 9 diese besonderen persönlichen Daten in das BDSG und alle Landesdatenschutzgesetze (z. B. § 2 Abs. 1 S. 2 Landesdatenschutzgesetz des Landes Sachsen - Anhalt) aufgenommen.[8]
Dazu zählen:
- Rassische oder ethnische Herkunft
- Politische Meinungen
- Religiöse oder philosophische Überzeugung
- Gewerkschaftszugehörigkeit
- Gesundheit
- Sexualleben
Um dem Diskriminierungsverbot gerecht zu werden, bedarf es für die Erhebung, Verarbeitung und Nutzung dieser Daten nicht nur einer “normalen” Einwilligung, sondern gem. § 4a Abs. 3 BDSG den ausdrücklichen Bezug auf die besonders sensiblen Daten. Dies erfordert regelmäßig die Schriftform und die Benennung des sensiblen Datums.[9]
Nachweise
- ↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 123.
- ↑ Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 5.
- ↑ Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 3.
- ↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 101 Rn. 218.
- ↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 104 Rn. 225.
- ↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 124.
- ↑ Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 102 f.
- ↑ Conrad, in: Auers-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 34 Rn. 127 ff.
- ↑ Gola/Klug/Körfer, in: Gola/Schumerus, BDSG, 12. Auflage 2015, § 3 Rn. 19.3.
Die Inhalte dieser Seite stellen eine allgemeine Information und keine Rechtsberatung dar. Sie können diese nicht ersetzen. Trotz sorgfältiger Recherche wird keine Garantie für die Richtigkeit der Inhalte übernommen. Mitarbeiter und Mitarbeiterinnen der Martin-Luther-Universität Halle-Wittenberg wenden sich für Rechtsauskünfte Forschung oder Lehre betreffend bitte an das Justitiariat der Universität. |