Datenschutzgrundverordnung für Dummies. Christian Szidzek
im Datenschutz dreht sich um Daten. Dabei interessieren den Datenschützer jedoch nicht alle Arten von Daten, sondern ausschließlich personenbezogene Daten. Das sind Daten, über die sich ein sogenannter Personenbezug herstellen lässt. Das heißt, es geht um Daten, die sich konkreten Personen zuordnen lassen. Wie Sie gleich etwas genauer erfahren werden, geht es dabei aber nicht um alle Arten von Personen, die es so gibt. Da die EU noch nicht die allumfassende Gesetzgebungskompetenz besitzt, können wir zunächst einmal alle extraterrestrischen Wesenheiten ausnehmen. Dann bleiben nur noch natürliche Personen, also Menschen, und juristische Personen übrig. Letztere sind auch ausgenommen, was nachvollziehbar ist, wenn man bedenkt, dass juristische Personen trotz allen vorhandenen Kapitals kein allgemeines Persönlichkeitsrecht besitzen wie wir Menschen. Daten von Tieren sind ebenfalls nicht vom Datenschutz erfasst. Ich versuche das zwar schon seit geraumer Zeit unserer Hündin und unserem Kater irgendwie plausibel zu machen (das Karnickel hat inzwischen Einzug in die ewigen Jagdgründe gehalten), aber ich habe den Eindruck, dass unsere Tiere meinen datenschutzrechtlichen Argumenten wenig aufgeschlossen gegenüberstehen. Jedes Mal, wenn ich sie herbeirufe, um gemeinsam ein wenig über Datenschutzthemen zu sinnieren, stelle ich fest, dass ihr eigentliches Interesse eher profanen Ernährungsfragen gilt. Vielleicht ist ihre Zeit einfach noch nicht gekommen.
Personenbezogene Daten
Wann es sich um personenbezogene Daten handelt, definiert die DSGVO mit eigenen Worten in Art. 4 Nr. 1. Schlagen Sie gerne den Text auf, wenn Sie einen Aufenthalt in der Psychiatrie anstreben. Sie können sich das aber auch ersparen, denn selbst für eingefleischte Juristen ist die Definition personenbezogener Daten in der DSGVO ein einziges Grauen. Verwenden Sie anstelle dieser Definition lieber folgende Faustformel, mit der Sie im Alltag besser klarkommen und die Sie sich auch merken können.
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Sie meinen, das klingt auch nicht sehr viel besser? Um Ihnen ein bisschen auf die Sprünge zu helfen, dröseln wir die gewählte Definition auf den folgenden Seiten etwas auf.
Einzelangaben
Mit der Bezeichnung Einzelangaben sind einzelne Informationen gemeint, die einer Person zugeordnet werden können und eine gewisse Aussagekraft über die Person beinhalten. Der Begriff Einzelangaben impliziert einen über das Selbstverständliche hinausgehenden Informationsgehalt. Was für alle Menschen gilt, also normalerweise zwei Ohren, Fortpflanzungsorgane, manchmal ein funktionierendes Gehirn und so weiter, sind allgemeine Angaben. Einzelangaben zeichnen sich hingegen dadurch aus, dass sie auf eine bestimmte Person zutreffen und auf andere nicht.
Natürliche Person
Da nur natürliche Personen ein allgemeines Persönlichkeitsrecht und ein Recht auf Privatsphäre besitzen (Art. 8 EMRK), unterliegen auch nur die Daten natürlicher Personen dem Datenschutz. Natürliche Personen sind alle Menschen. Daneben gibt es auch noch juristische Personen. Unter den Begriff der juristischen Personen fallen Kapitalgesellschaften, wirtschaftliche Vereine, Gebietskörperschaften oder Anstalten des öffentlichen Rechts, wie zum Beispiel Universitäten oder staatliche Stiftungen. Juristische Personen sind rechtliche Gebilde. Sie können zwar ebenso wie natürliche Personen Träger von Rechten und Pflichten sein, sind also rechtsfähig und können ebenso wie natürliche Personen am Rechtsverkehr teilnehmen. Deren Daten, wie zum Beispiel Bilanzen, Mitarbeiterzahlen, technische Zeichnungen, Umsätze, Kosten für den neuen Whirlpool in der Chefetage, unterliegen aber nicht dem Datenschutz.
Daten verstorbener natürlicher Personen unterliegen zwar grundsätzlich nicht dem Schutz der DSGVO. Die DSGVO erlaubt es jedoch den Mitgliedstaaten auch für Verstorbene Datenschutzvorschriften in nationalen Gesetzen zu erlassen. Ein Blick in Ihre nationalen Datenschutzgesetze kann deshalb nicht schaden, wenn Sie Daten Verstorbener verarbeiten wollen.
Persönliche Verhältnisse
Bei Angaben über persönliche Verhältnisse handelt es sich um typische personenbezogene Daten, die Sie auf Anhieb als solche erkennen würden, wie Name, Geburtsdatum, Familienstand, Gesundheitsdaten, gewisse Ihrer speziellen Neigungen und andere.
Sachliche Verhältnisse
Unter sachlichen Verhältnissen versteht man Beziehungen von Personen zu anderen Personen oder Gegenständen. Das können Eigentums- oder Besitzverhältnisse sein (Beziehungen zu Gegenständen), wie zum Beispiel das Eigentum an diesem Dummies-Buch, das Sie gerade erworben (und hoffentlich auch bezahlt) haben. Aber auch Verhältnisse zu anderen Personen, wie zum Beispiel die Tatsache, dass Sie für das Unternehmen Soundso tätig sind oder einen Mobilfunkvertrag bei dem Anbieter XY abgeschlossen haben, fallen unter den Begriff der sachlichen personenbezogenen Verhältnisse (Beziehungen zu anderen Personen).
Bestimmte und bestimmbare Person
In den meisten Fällen können personenbezogene Daten direkt einer bestimmten Person zugeordnet werden. Es gibt jedoch auch Fälle, in denen das nicht so ohne Weiteres der Fall ist. Denken Sie dabei etwa an Ihr Autokennzeichen, hinter dem Sie sich als Halter verbergen. Nur weil jemand Ihr Kennzeichen kennt, weiß er noch lange nicht, wer Sie sind. Oder an Ihre Steuernummer. Keine Sorge, Sie müssen nicht gleich zucken, nur weil das Wort Steuern auftaucht, hier sind Sie sicher! Immerhin geht es in diesem Buch um Datenschutz. Andere Beispiele für personenbezogene Daten, die einer bestimmbaren Person zugeordnet werden können, sind zum Beispiel Mitarbeiterkennziffern bei der Lohnbuchhaltung oder Kundennummern. In all den Fällen also, in denen die Person nur dann bestimmt werden kann, wenn zusätzliche Informationen herangezogen werden, handelt es sich um Daten einer bestimmbaren Person. Die DSGVO bezeichnet solche Daten auch als pseudonymisierte personenbezogene Daten.
Pseudonymisierte Daten
Der Pseudonymisierung kommt in der DSGVO eine besondere Bedeutung zu. In Art. 32 Abs. 1 a) DSGVO, der die Anforderungen an die Sicherheit von Datenverarbeitungen definiert, steht die Pseudonymisierung neben der Verschlüsselung als Schutzmaßnahme an erster Stelle. Wo immer möglich, sollte also versucht werden, personenbezogene Daten zu pseudonymisieren, wenn nicht gar zu anonymisieren. Zur Anonymisierung gleich mehr. Die Pseudonymisierung wird in Art. 4 Nr. 5 gesetzlich definiert. Lesen Sie gerne dort noch einmal nach.
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
Typische Beispiele für pseudonymisierte Daten sind zum Beispiel die Personalnummer. In dem Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz (kostenlos im Internet abrufbar: https://www.gdd.de/downloads/whitepaper-zur-pseudonymisierung
) werden die Rahmenbedingungen einer solchen DSGVO-konformen Pseudonymisierung, mögliche Verfahren und technisch-organisatorische Anforderungen sowie