Zum Inhalt springen

Datenschutz/ DS-GVO/ Allgemeine Bestimmungen/ Begriffe/ Personenbezogene Daten

Aus Wikibooks

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Betroffene Person

[Bearbeiten]

Die betroffene Person (englisch: data subject, französisch: personne concernée) muss eine natürliche Person sein. Dies resultiert daraus, dass Datenschutz aus den Menschenrechten argumentiert wird – im Falle der DS-GVO Art. 8 GRCh. Entsprechend werden nicht die Daten der betroffenen Person geschützt, sondern die betroffene Person.

Natürliche Person

[Bearbeiten]

Natürliche Person

Jeder Mensch unter dem Aspekt seiner Rechtsfähigkeit, die mit Vollendung der Geburt einsetzt.[1]

Hierbei ist selbstverständlich sowohl die Privatperson, als auch der Angestellte geschützt.[2]

Ungeborene Kinder

[Bearbeiten]

Ob ungeborene Kinder (Nasciturus) datenschutzrechtlich geschützt muss im Zweifel bejaht werden.[3] Aufgrund der Entwicklung der medizinischen Forschung (Medizintechnik, Labormedizin) fällt bereits vor der Geburt ein großer Satz an Daten an. Einerseits natürlich klassischerweise das Ultraschallbild andererseits aber auch deutlich empfindlichere Daten aus der Fruchtwasser- und Nabelschnurpunktion. Auch zu beachten ist, dass der Zustand des „Ungeborenseins“ durch Kryokonservierung befruchteter Eizellen auch deutlich länger andauern als eine reguläre Schwangerschaft.

Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Hilf mit, die Situation in anderen Staaten zu schildern.

Das Bundesverfassungsgericht ließ die Frage der Grundrechtsfähigkeit des Nasciturus in der Verfassungsbeschwerde zur Fristenregelung (Schwangerschaftsabbruch I) ausdrücklich offen.[4] In seiner Entscheidung zur Neuregelung des Schwangerschaftsabbruchs aus dem Jahre 1993 (Schwangerschaftsabbruch II)[5] stellte es dann jedoch fest, die Menschenwürde bereits dem ungeborenen Leben zukommt, „es sich bei dem Ungeborenen um individuelles, in seiner genetischen Identität und damit in seiner Einmaligkeit und Unverwechselbarkeit bereits festgelegtes, nicht mehr teilbares Leben“[6].

Darauf hin deutet auch, dass beispielsweise Deutschland die Rechtsfähigkeit des Nasciturus unter anderem im Erbrecht (z.B. § 1923 Abs. 2 BGB), im Schadensrecht (z.B. § 844 BGB aber auch im StVG, LuftVG und AtG) oder auch im Versichertenrecht (z.B. § 12 SGB VII) fingiert wird.

Verstorbene Personen

[Bearbeiten]

Verstorbene Personen (ErwGr. 27)

Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.

Darüber hinaus können in bestimmten Fällen die Daten verstorbener noch indirekt geschützt sein:

Der Verantwortliche kann eventuell nicht feststellen, ob die betroffene Person, noch lebt oder bereits verstorben ist.

Selbst wenn er dazu in der Lage ist, werden die Informationen über verstorbene Personen unter Umständen ohne Unterscheidung nach den gleichen Regeln wie für lebende Personen verarbeitet. Da der Verantwortliche bei der Verarbeitung von Daten über lebende Personen zur Einhaltung der Datenschutzbestimmungen verpflichtet ist, dürfte es für in der Praxis einfacher sein, Daten über verstorbene Personen ebenfalls im Sinne der Datenschutzbestimmungen zu verarbeiten, als die beiden Gruppen von Daten voneinander getrennt zu verarbeiten.[7]

Informationen über verstorbene Personen können sich auch auf lebende Personen beziehen.

Beispielsweise deutet die Information, dass die verstorbene Gaia an der Bluterkrankheit litt, darauf hin, dass ihr Sohn Titius ebenfalls an dieser Krankheit leidet, da sie mit einem Gen auf dem X-Chromosom verknüpft ist. Wenn sich die Information, die Daten über verstorbene Personen enthält, gleichzeitig auf lebende Personen bezieht und es sich um personenbezogene Daten im Sinne der Richtlinie handelt, können personenbezogene Daten über verstorbene Personen indirekt den Schutz der Datenschutzbestimmungen genießen.[7]

Informationen über verstorbene Personen können einem Schutz durch andere Regelwerken als Datenschutzbestimmungen unterliegen.

Beispiele: Ärztliche Schweigepflicht, Anwaltliches Geheimnisse, Amtsträger oder Datenschutzbeauftragte (vgl. Verschwiegenheitspflicht)

Postmortalen Datenschutz garantierende Regelwerke

[Bearbeiten]

Deutschland

Postmortal wirken insbesondere

  1. Sozialgeheimnis (§ 35 Absatz 5 SGB I)
  2. Privatgeheimnis (§ 203 Absatz 5 StGB)

Juristische Personen

[Bearbeiten]

Juristische Personen werden zwar nicht direkt durch die Datenschutz-Grundverordnung geschützt (ErwGr. 14); sie können sich zwar auch auf Art. 7 und Art. 8 GRCh berufen – die Verletzung des Rechts auf Schutz der personenbezogenen Daten aber bei juristischen Personen ein anderes Gewicht als bei natürlichen Personen. Juristische Personen unterliegen insoweit bereits einer erweiterten Verpflichtung zur Veröffentlichung ihrer Daten.[8]

Insoweit steht es den Mitgliedstaaten frei, regelungen zum Schutz der Daten juristischer Personen zu erlassen.[9]

Ein Sonderfall stellen Unternehmensnamen dar, welche nur aus den Namen natürlicher Personen zusammengesetzt sind. Jedoch äußert der EuGH auch in diesem Fall eine unverhältnismäßige Verwaltungslast entstehen würde, müssten diese gesondert Verarbeitet werden.[8]

Deutschland

Die ständige Rechtsprechung garantiert privatrechtlichen juristischen Personen in Deutschland ein eingeschränktes Recht auf informationelle Selbstbestimmung. Ihre Träger sind zu schützen gegen unbegrenzte Verarbeitung.[10][11][12] Dies wird noch weiter eingeschränkt soweit es sich um privatrechtliche juristische Personen handelt welche durch die öffentliche Hand bestimmt werden.[13]

Identifizierung

[Bearbeiten]

Bei der Identifizierbarkeit von Personen lassen sich zwei Schulen feststellen[14]:

  1. Der absolute Personenbezug (es reicht also aus, dass irgendjemand von eine Datum auf eine Person schließen kann)[15][16]
  2. Der relative Personenbezug (es muss auf die Mittel desjenigen abgestellt werden, der das entsprechende Datum verwendet)[17][18]

Identifizierbarkeit (ErwGr. 26)

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

Die Datenschutz-Grundverordnung folgt entsprechend dem absoluten Personenbezug. Ob die Person also über ein Datum identifiziert wird oder identifizierbar wird, gleich durch wen führt zum gleichen Ergebnis, es handelt sich um ein personenbezogenes Datum.

Direkte Identifizierbarkeit

[Bearbeiten]

Direkte Identifizierbarkeit ist gegeben wenn aus einem Datum auf eine Person geschlossen werden kann. Dies ist regelmäßig beim Namen aber auch bei staatlichen Kennnummern wie der Sozialversicherungs-, Krankenversicherungs- oder Steueridentifikationsnummer gegeben. Darüberhinaus natürlich auch bei privaten Kennungen wie E-Mail-Adressen oder Personalnummern des Arbeitgebers. Selbstverständlich auch über entsprechende Fotografien der Person oder biometrische Daten wie das Abbild der Iris oder der Retina.

Indirekte Identifizierbarkeit

[Bearbeiten]

Indirekte Identifizierbarkeit ist gegeben, wenn aus den vorliegenden Daten eine wiederidentifizierung möglich ist. Einerseits natürlich durch Kennnummern wie die Personalausweis- oder Passnummer aber auch durch Twitter-Handles oder identifizierende Merkmale (wie z.B. der aktuelle Präsident der europäischen Kommission); eine Kenntnis des Namens ist somit nicht erforderlich um eine Person zu identifizieren.

Positivliste

[Bearbeiten]
  1. Vornamen, Name, Einkommen aus Erwerbsarbeit, Vermögen[19]
  2. Aufzeichungen über die Arbeitszeit[2]
  3. Dynamische IP-Adressen [20]
  4. Autocomplete-Vorschläge von Suchmaschinen [21]
  5. Schriftliche Prüfungsarbeiten[22]

Belege

[Bearbeiten]
  1. Creifelds, Rechtswörterbuch (16. Aufl., München 2000) zitiert nach iate ID: 773956
  2. 2,0 2,1 EuGH Urteil vom 30. Mai 2013. Az. C-342/12
  3. Zustimmend: BeckOK DatenschutzR/Schild, 24. Ed. 1.2.2018, DS-GVO Art. 4 Rn. 9-10
  4. BVerfG Urteil vom 25. Februar 1975. Az. 1 BvF 1/74 et al.
  5. BVerfG Urteil vom 28. Mai 1993. Az. 2 BvF 2/90 et al.
  6. BVerfG Urteil vom 28. Mai 1993. Az. 2 BvF 2/90 et al. Rn. 151
  7. 7,0 7,1 Art. 29 WP. WP 136: Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“
  8. 8,0 8,1 EuGH Urteil vom 9. November 2010. Az. C‑92/09 und C-93/09 Rn. 87.
  9. EuGH Urteil v. 6. November 2003. Az. C-101-01
  10. BVerwG Urteil vom 20. Dezember 2001. Az. 6 C 7.01
  11. BVerwG. Urteil vom 15. Dezember 2010. Az. 8 C 49.09 ECLI:DE:BVerwG:2010:151210U8C49.09.0
  12. OVG Mecklenburg-Vorpommern. Beschluss vom 04. Mai 2009. Az. 2 M 77/09
  13. BVerfG Urteil vom 7. November 2017. Az. 2 BvE 2/11 ECLI:DE:BVerfG:2017:es20171107.2bve000211
  14. für einen Überblick Matthias Bergt: Die Bestimmbarkeit als Grundproblem des Datenschutzrechts – Überblick über den Theorienstreit und Lösungsvorschlag. Zeitschrift für Datenschutz Jg. 5 Ausgabe 8/2015 S. 365ff. (ZD 2015, 365) (Paywall: beck-online)
  15. Ingrid Pahlen-Brandt: Datenschutz braucht scharfe Instrumente – Beitrag zur Diskussion um „personenbezogene Daten“. Datenschutz und Datensicherheit Band 32 Ausgabe 1/2008 S. 34ff. (DuD 2008, 34) doi:10.1007/s11623-008-0009-8
  16. Thilo Weichert: Der Personenbezug von Geodaten. Datenschutz und Datensicherheit Band 31 Ausgabe 2/2007 S. 113ff. (DuD 2007, 113) doi:10.1007/s11623-007-0050-z
  17. OLG Hamburg Beschluss vom 03.11.2010. Az. 5 W 126/10
  18. Gerrit Hornung: Die digitale Identität. Rechtsprobleme von Chipkartenausweisen: Digitaler Personalausweis, elektronische Gesundheitskarte, JobCard-Verfahren. Reihe „Der elektronische Rechtsverkehr“, hrsg. von Prof. Dr. Alexander Roßnagel in Zusammenarbeit mit dem TeleTrusT Deutschland e.V., Band 10, Nomos Verlagsgesellschaft, Baden-Baden 2005, S. 142 ISBN 3-8329-1455-2 (vergriffen)
  19. EuGH Urteil vom 16. Dezember 2008. Az. C-73/07
  20. EuGH Urteil vom 19. Oktober 2016. Az. C‑582/14
  21. BGH Urteil vom 14. Mai 2013. Az. VI ZR 269/12
  22. EuGH Urteil vom 20. Juli 2017. Az. C‑434/16