Zu den personenbezogenen Daten gehören laut Art. 4 Ziffer 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Dazu gehören unter anderem, aber nicht ausschließlich:
- Name, Geburtsdatum, Adresse, Staatsangehörigkeit
- Versicherungsnummern
- Bankdaten
- IP-Adressen, Cookies, GPS-Standortdaten
- Geschlecht, Haut-, Haar-, Augenfarbe
- Besitztümer
- Online-Kundendaten
- Bildungs- und Berufszeugnisse
Personenbezogene Daten sind somit Informationen, die direkt oder indirekt mit einer bestimmten Person in Verbindung gebracht werden können, wobei die Zuordnung des Namens als das entscheidende Identifikationskriterium gilt.
Nicht personenbezogene Daten sind hingegen solche Angaben, die anonym erfasst werden und nicht zur Identifikation einer bestimmten Person herangezogen werden (können). Dazu können – unter Voraussetzung der vollständigen Anonymisierung der ersten Nutzerinteraktion – z. B. die Angabe des Geschlechts, Besucherdaten auf bestimmten Websites oder andere unspezifische Angaben zählen. Solche nicht personenbezogenen Daten bleiben vom Datenschutzgesetz unberührt. Als Unternehmer oder Marketer können Sie daher diese Art von Daten ohne vorherige Einwilligung oder datenschutzrechtliche Erlaubnis für die Erstellung von Statistiken oder Nutzerprofilen verwenden; sie sollten aber sicherstellen, dass sie nicht mit einer natürlichen Person in Verbindung gebracht werden können.
Problematischer wird es bei der Verarbeitung sogenannter „pseudonymisierter“ Daten (Art. 4 Abs. 5 DSGVO), also solchen, die unter Verwendung eines Pseudonyms für den jeweiligen Nutzer gespeichert werden. Mit ihnen lassen sich zwar weitaus spezifischere Nutzerprofile erstellen. Hier tut sich aber eine rechtliche Grauzone auf, da es für Website-Betreiber oft schwer auf Anhieb erkennbar ist, ob bestimmte Daten direkt oder indirekt mit einer natürlichen Person in Verbindung gebracht werden können. Aus diesem Grund müssen Sie Ihre Kunden auch in solch einem Fall über die Datenerhebung in Kenntnis setzen und sie zu Beginn auf ihr Widerspruchsrecht hinweisen.
Im E-Commerce spricht man meist weniger von personenbezogenen Daten als vielmehr von Bestands- und Nutzungsdaten, die über sogenannte Telemediendienste wie Onlineshops, Werbe-Mails oder Internet-Suchmaschinen erfasst werden. Da hierfür spezifische Datenschutzregelungen gelten, fielen diese vor dem Inkrafttreten der DSGVO nicht primär in den Bereich des alten Bundesdatenschutzgesetzes, sondern betrafen in erster Linie das Telemediengesetz (TMG). Da sich der Anwendungsbereich der DSGVO aber auch auf Telemedien erstreckt, hat sie generell Vorrang vor dem Telemediengesetz. Das bedeutet im Klartext, dass die DSGVO das TMG (wie auch das BDSG) seit dem 25. Mai 2018 weitgehend ersetzt, was insbesondere für die relevanten Paragrafen §§ 11 ff. TMG gilt.
Die in der DSGVO festgeschriebenen Vorschriften beziehen sich jedoch weniger konkret auf den Tätigkeitsbereich der Telemediendienste, sondern sie sollen das gesamte Spektrum datenschutzrechtlich relevanter Prozesse abdecken. Der Vorteil dabei ist, dass die neue Grundverordnung bereits zukünftige technologische Entwicklungen berücksichtigt und daher nicht laufend aktualisiert werden muss. Die recht abstrakten Formulierungen haben jedoch auch einen negativen Nebeneffekt: Sie sind weitgehend auslegbar und damit streitanfällig; viele Fragen (zum Beispiel rund um das Thema Webtracking) werden erst im Laufe der Zeit durch die zuständigen Gerichte geklärt werden. Diese juristische Unsicherheit sorgt bislang für reichlich Verwirrung und hitzige Debatten in den betroffenen Unternehmen. Da die Veränderungen, die die DSGVO mit sich bringt, aber hauptsächlich im Detail liegen, behalten viele der bisherigen Regelungen bezüglich des Datenschutzes im E-Commerce weiterhin Gültigkeit, was die Umstellung für Unternehmen weniger brisant und schwierig macht.