Was sind personenbezogene Daten
Personenbezogene Daten sind nach Bundesdatenschutzgesetz (BDSG) § 3 „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.
Daten sind dann personenbezogenen, wenn sie einem Menschen zugeordnet werden können.
Auch bei Daten die einen Personenbezug herstellen können, handelt es sich um personenbezogene Daten.
Entscheidend ist, dass es jemandem möglich sein kann, Daten einer bestimmten Person zuzuordnen.
Als bestimmbar gilt eine Person, wenn sie anhand ihrer Daten direkt oder indirekt identifiziert werden kann. Das gilt auch für die Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. (Europäische Datenschutzrichtlinie Art. 2 Buchst. a Richtlinie 95/46/EG)
Als „Betroffene“ werden im Datenschutz diejenigen Personen bezeichnet, deren personenenbezogene Daten verarbeitet werden.
Beispiele personenbezogener Daten
-
Erika Mustermann hat blondes Haar. Die Haarfarbe wird der Person Erika Mustermann zugeordnet. Die Angabe über die Haarfarbe wird zu einer personenbezogenen Information und damit als personenbezogene Angabe angesehen.
-
John Doe gehört ein BMW. Bei einem personenbezogenen Datum muss es sich nicht unbedingt um ein körperliches Merkmal der Person handeln. Der Bezug zwischen Person und Sache, einer anderen Person, einem Ereignis, Ort oder Sachverhalt genügt.
Besondere personenbezogene Daten
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder Philosophische Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheit
- Sexualleben
Schutzbedarf personenbezogener Daten
In Art 32. Abs. 1 DSGVO ist vorgegeben, dass abhängig vom Schutzbedarf personenbezogener Daten technische und organisatorische Maßnahmen getroffen werden müssen um „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Um den Schutzbedarf personenbezogener Daten festzustellen wird seitens der Landesdatenschutzbehörden der Einfachheit halber empfohlen Daten anhand des möglichen Schadenpotentials für den Betroffenenen zu bewerten.
Die Schutzbedarfeinteilung erfolgt in normal, hoch und sehr hoch.
Schutzklasse 1 (normaler Schutzbedarf):
Personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden könnte. Die Schadensauswirkungen wären begrenzt und
überschaubar.
Schutzklasse 2 (hoher Schutzbedarf):
Personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Schadensauswirkungen wären für Betroffene beträchtlich.
Schutzklasse 3 (sehr hoher Schutzbedarf):
Personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben wäre. Die Schadensauswirkungen nähmen ein unmittelbar existenziell bedrohliches, katastrophales Ausmaß für Betroffene an.
An der Schutzbedarfsfeststellung orientieren sich wiederum die geeigneten technischen und organisatorischen Maßnahmen.