Die viel dis­ku­tier­te DSGVO regelt ab 2018 den Da­ten­schutz auf eu­ro­päi­scher sowie na­tio­na­ler Ebene. Ihr Inhalt kon­zen­triert sich dabei besonders auf per­so­nen­be­zo­ge­ne Daten, die nach Meinung der Ge­setz­ge­ber wie auch Ver­brau­cher als besonders schüt­zens­wert gelten. Dem­ge­gen­über stehen zahl­rei­che Wirt­schafts­ver­tre­ter, die ihre maß­geb­lich auf Big Data ba­sie­ren­de Wett­be­werbs­kom­pe­tenz von den stren­ge­ren Re­ge­lun­gen bedroht sehen. Doch was fällt ei­gent­lich unter die Kategorie der per­so­nen­be­zo­ge­nen Daten und auf welche Rechte können sich Be­trof­fe­ne berufen, wenn ihre privaten In­for­ma­tio­nen für wirt­schaft­li­che Zwecke erhoben, ge­spei­chert und wei­ter­ver­ar­bei­tet werden?

Was sind per­so­nen­be­zo­ge­ne Daten?

Bei der Frage, was per­so­nen­be­zo­ge­ne Daten sind, herrscht unter eu­ro­päi­schen wie auch deutschen Juristen wei­test­ge­hend Einigkeit: Gemeint sind alle Daten und In­for­ma­tio­nen, die Einblicke in die Identität einer na­tür­li­chen Person zulassen – also in einen Menschen „aus Fleisch und Blut“. Diese Auf­fas­sung schließt also ju­ris­ti­sche Personen und Ka­pi­tal­ge­sell­schaf­ten wie die GmbH aus, es sei denn, bei Ge­sell­schaf­ter und Ge­schäfts­füh­rer handelt es sich um dasselbe In­di­vi­du­um. Ferner lassen sich per­so­nen­be­zo­ge­ne und so­ge­nann­te per­so­nen­be­zieh­ba­re Daten von­ein­an­der abgrenzen: Erstere sind solche, die eindeutig mit einer Person as­so­zi­iert werden; letztere kann man einem be­stimm­ten Menschen nur mit zu­sätz­li­chen In­for­ma­tio­nen und ver­tret­ba­rem Mehr­auf­wand zuordnen. Beide Arten von Daten fallen jedoch glei­cher­ma­ßen unter den Da­ten­schutz. Früher war dieser im Bun­des­da­ten­schutz­ge­setz (jetzt BDSG-alt genannt) verankert. Seit dem 25. Mai 2018 gilt aber die DSGVO in allen Staaten der Eu­ro­päi­schen Union als offiziell gültiges Da­ten­schutz­ge­setz und ist somit auch der na­tio­na­len Ge­setz­ge­bung über­ge­ord­net. Wirkliche Neue­run­gen zeigen sich aber nur im Detail: Bisherige Prin­zi­pi­en bleiben erhalten, werden von der neuen Grund­ver­ord­nung aber deut­li­cher for­mu­liert und erweitert, etwa um striktere Mel­de­pflich­ten im Falle von Datenklau sowie Richt­li­ni­en für den Da­ten­schutz in noch zu ent­wi­ckeln­den in­no­va­ti­ven Tech­no­lo­gien (Stichwort „Privacy by Design“). Mittels Öff­nungs­klau­seln ver­min­dert oder verstärkt die DSGVO darüber hinaus bestimmte Aspekte im Bun­des­da­ten­schutz­ge­setz, das als nationale ju­ris­ti­sche Flan­kie­rung weiterhin erhalten bleibt und nun als BSDG-neu be­zeich­net wird. Strengere Re­ge­lun­gen gelten dabei besonders für die Erfassung, Spei­che­rung und Ver­wer­tung von per­so­nen­be­zo­ge­nen Daten durch Un­ter­neh­men und Behörden. Zudem ist in der Ver­ord­nung nun eine all­ge­mein­gül­ti­ge De­fi­ni­ti­on für den bisher eu­ro­pa­weit recht un­ter­schied­lich aus­ge­leg­ten Begriff fest­ge­schrie­ben:

De­fi­ni­ti­on

Per­so­nen­be­zo­ge­ne Daten sind „alle In­for­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natürlich Person („be­trof­fe­ne Person“) beziehen; als iden­ti­fi­zier­bar wird eine natürlich Person angesehen, die direkt oder indirekt, ins­be­son­de­re mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Kennung oder zu einem oder mehreren be­son­de­ren Merkmalen iden­ti­fi­ziert werden kann, die Ausdruck der phy­si­schen, phy­sio­lo­gi­schen, ge­ne­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozialen Identität dieser na­tür­li­chen Person sind“ (Original-Wortlaut aus Artikel 4 Ziffer 1 DSGVO).

Ent­spre­chend dieser De­fi­ni­ti­on exis­tie­ren vielerlei Arten von per­so­nen­be­zo­ge­nen Daten, von denen in der folgenden Grafik einige mitsamt Bei­spie­len vor­ge­stellt werden. Die Übersicht kann und will dabei keinen Anspruch auf Voll­stän­dig­keit erheben.

Bild: Schaubild zu personenbezogenen und personenbeziehbaren Daten
Eine er­schöp­fen­de Auf­zäh­lung aller Arten von Daten, die direkt oder indirekt mit einer na­tür­li­chen Person as­so­zi­ier­bar sind, ist kaum möglich.

Lassen sich Daten dagegen keinem be­stimm­ten Menschen zuordnen, weil sie voll­stän­dig an­ony­mi­siert sind, müssen auch keine da­ten­schutz­recht­li­chen Regeln beachtet werden. Pro­ble­ma­tisch ist es wiederum bei so­ge­nann­ten pseud­ony­mi­sier­ten Daten, die ebenfalls für die Be­stim­mung einer ein­deu­ti­gen Be­zugs­per­son her­an­ge­zo­gen werden können, wenn man über das nötige Zu­satz­wis­sen verfügt. Im Zwei­fels­fall gilt deshalb immer das Gebot zur Vorsicht: Da es teilweise schwierig ist, per­so­nen­be­zo­ge­ne von nicht per­so­nen­be­zo­ge­nen Daten zu un­ter­schei­den, sollte man grund­sätz­lich vom ersteren ausgehen, um den Schutz von po­ten­zi­ell sensiblen In­for­ma­tio­nen zu ge­währ­leis­ten. So gehen Da­ten­schutz­be­hör­den z. B. davon aus, dass selbst dy­na­mi­sche IP-Adressen zu den per­sön­li­chen Daten gehören, da sie dem je­wei­li­gen In­ter­net­nut­zer durch das Zu­sam­men­wir­ken von Access- und Service-Providern eindeutig zu­ge­ord­net werden können.

Welche besondere Arten per­so­nen­be­zo­ge­ner Daten gibt es?

Neben den bereits auf­ge­führ­ten Bei­spie­len für per­sön­li­che In­for­ma­tio­nen definiert das Da­ten­schutz­ge­setz auch noch „besondere“ per­so­nen­be­zo­ge­ne Daten zu na­tür­li­chen Personen. Diese umfassen ins­be­son­de­re:

  • ethnische und kul­tu­rel­le Herkunft
  • po­li­ti­sche, religiöse und phi­lo­so­phi­sche Ansichten
  • Ge­sund­heits­zu­stand
  • sexuelle Ori­en­tie­rung
  • Ge­werk­schafts­zu­ge­hö­rig­keit
  • Hinzu kommen laut Artikel 9 DSGVO ge­ne­ti­sche In­for­ma­tio­nen (z. B. DNS-Analysen) sowie bio­me­tri­sche Daten (z. B. Licht­bil­der und Fin­ger­ab­drü­cke).

Aufgrund der Brisanz solcher Angaben sind die dies­be­züg­li­chen Si­cher­heits­vor­schrif­ten we­sent­lich strenger. Dem­entspre­chend ist die Ver­ar­bei­tung be­son­de­rer Ka­te­go­rien per­so­nen­be­zo­ge­ner Daten nach Artikel 9 Absatz 1 DSGVO grund­sätz­lich untersagt, es sei denn, der Be­trof­fe­ne hat aus­drück­lich darin ein­ge­wil­ligt (eine Ein­wil­li­gungs­er­klä­rung für die Ver­ar­bei­tung all­ge­mei­ner per­so­nen­be­zo­ge­ner Daten reicht nicht aus) oder es besteht ein be­rech­tig­tes öf­fent­li­ches Interesse an diesen In­for­ma­tio­nen, z. B. im Rahmen einer straf­recht­li­chen Ver­fol­gung. Während die Benennung eines pro­fes­sio­nel­len Da­ten­schutz­be­auf­trag­ten nor­ma­ler­wei­se im Erwägen des Ge­schäfts­füh­rers liegt, ist sie bei der Ver­wer­tung be­son­de­rer per­so­nen­be­zo­ge­ner Daten ob­li­ga­to­risch, wie ein im April 2018 ver­öf­fent­lich­tes Kurz­pa­pier der Da­ten­schutz­kon­fe­renz (DSK) darlegt.

Warum und wie müssen per­so­nen­be­zo­ge­ne Daten geschützt werden?

Dass Internet-Groß­kon­zer­ne wie Google und Facebook im großen Stil per­so­nen­be­zo­ge­ne und per­so­nen­be­zieh­ba­re Daten über ihre Nutzer sammeln, sollte in­zwi­schen jedem bekannt sein. Sie verwenden diese zumeist, um in­di­vi­dua­li­sier­te Werbung zu schalten und so wirt­schaft­li­che Gewinne zu erzielen. Aber auch für die meisten anderen markt­wirt­schaft­lich aus­ge­rich­te­ten Un­ter­neh­men stellt Big Data einen be­deut­sa­men, wenn nicht sogar den wich­tigs­ten Wett­be­werbs­fak­tor dar. So geben 46 Prozent von 500 deutschen Un­ter­neh­men in einer re­prä­sen­ta­ti­ven Umfrage im Auftrag des Di­gi­tal­ver­bands Bitkom an, dass per­so­nen­be­zo­ge­ne Daten die Grundlage ihres Ge­schäfts­mo­dells dar­stel­len. Die Daten kommen dabei vor allem für die Op­ti­mie­rung von Ver­triebs­struk­tu­ren und die In­di­vi­dua­li­sie­rung von Mar­ke­ting­me­cha­nis­men zum Einsatz. Dem steht ein zunehmend mün­di­ge­rer und besser in­for­mier­ter Ver­brau­cher gegenüber, der zurecht be­fürch­tet, durch die Er­stel­lung aus­führ­li­cher Nut­zer­pro­fi­le zum „gläsernen Menschen“ zu mutieren. Dieses Miss­trau­en gegenüber Un­ter­neh­men (und auch Behörden) zeigt sich auch in den Er­geb­nis­sen einer Studie des Me­di­en­dienst­leis­ters SYZYGY: Darin hielten es nur 14 Prozent der Deutschen für loh­nens­wert, ihre per­so­nen­be­zo­ge­nen Daten im Austausch für ein per­so­na­li­sier­tes Kon­sum­er­leb­nis her­aus­zu­ge­ben. Jeder vierte Befragte gab zudem an, bereits einem On­line­ser­vice aus Angst, die Kontrolle über die eigene Pri­vat­sphä­re zu verlieren, den Rücken gekehrt zu haben. Immer wieder auf­tre­ten­de Fälle von Datenklau und Da­ten­miss­brauch durch Phishing und den Einsatz von Trojanern befeuern diese Angst noch weiter. Denn je mehr sensible In­for­ma­tio­nen über ein In­di­vi­du­um im Umlauf sind – so die logische Schluss­fol­ge­rung –, desto größer ist die damit ver­bun­de­ne Gefahr für dessen fi­nan­zi­el­le und soziale Existenz. Die Da­ten­schutz­be­stim­mun­gen nehmen die „Da­ten­kra­ken“ deshalb in die Ver­ant­wor­tung: Un­ter­neh­men und Behörden sind ge­setz­lich dazu ver­pflich­tet, den Schutz der In­for­ma­tio­nen über ihre Nutzer und Kunden zu ge­währ­leis­ten. Dies im­pli­ziert die Ein­hal­tung der folgenden Grund­sät­ze und Praktiken, die in der DSGVO fest­ge­legt sind:

  • Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung: Das Sammeln, Speichern, Verwerten und Wei­ter­ge­ben von per­so­nen­be­zo­ge­nen Daten an Dritte ist nur mit aus­drück­li­cher Ein­wil­li­gung des Be­trof­fe­nen zulässig.
  • Trans­pa­renz: Un­ter­neh­men und Behörden stehen in einer um­fas­sen­den Re­chen­schafts-, Do­ku­men­ta­ti­ons- und Nach­weis­pflicht. Auf Anfrage eines Be­trof­fe­nen müssen sie Auskunft über sämtliche Be­ar­bei­tungs­vor­gän­ge bezüglich seiner per­so­nen­be­zo­ge­nen Daten erteilen.
  • Zweck­bin­dung: Die Ver­wen­dung von Daten muss zu jedem Zeitpunkt zweck­ge­bun­den sein und darf nicht will­kür­lich erfolgen.
  • Da­ten­mi­ni­mie­rung: Or­ga­ni­sa­tio­nen sind dazu an­ge­hal­ten, nur die not­wen­digs­ten Daten für ihre Zwecke zu sammeln und die ge­spei­cher­te In­for­ma­ti­ons­men­ge im All­ge­mei­nen gering zu halten (ver­glei­che die Prin­zi­pi­en der Da­ten­ver­mei­dung und Da­ten­spar­sam­keit im BDSG).
  • Rich­tig­keit der Da­ten­ver­ar­bei­tung: Ge­spei­cher­te Daten müssen stets korrekt und auf dem neuesten Stand sein und im Be­darfs­fall ak­tua­li­siert werden.
  • Spei­cher­be­gren­zung: Es besteht eine re­gel­mä­ßi­ge Pflicht zur Löschung von Daten, wenn diese nicht mehr für den Zweck einer Or­ga­ni­sa­ti­on benötigt werden, un­recht­mä­ßig ge­spei­chert worden sind oder eine vorher fest­ge­leg­te Ver­jäh­rungs­frist ab­ge­lau­fen ist.
  • In­te­gri­tät und Ver­trau­lich­keit: Un­ter­neh­men und Behörden müssen um­fang­rei­che Maßnahmen zum internen Da­ten­schutz ergreifen. Dazu gehört neben dem Einsatz von Ver­schlüs­se­lungs­pro­gram­men und Si­cher­heits­soft­ware auch die aus­führ­li­che Schulung von mit der Da­ten­ver­ar­bei­tung betrauten Mit­ar­bei­tern.

Verstöße gegen diese Grund­sät­ze können gemäß Artikel 83 Absatz 5 DSGVO ein Bußgeld in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des welt­wei­ten Jah­res­um­sat­zes eines Un­ter­neh­mens nach sich ziehen – eine Regelung, die zwar einen fi­nan­zi­el­len Anreiz zur Ein­hal­tung der Richt­li­ni­en darstellt, aber dennoch keine absolute Si­cher­heit für per­so­nen­be­zo­ge­ne Daten ga­ran­tie­ren kann. Aus diesem Grund liegt es zuletzt am Ver­brau­cher, seine Pri­vat­sphä­re in Ei­gen­in­itia­ti­ve zu schützen. So ist Da­ten­spar­sam­keit auch beim Surfen im Internet ein wir­kungs­vol­ler Grundsatz. Weiterhin empfiehlt es sich, ein­ge­ge­be­ne Personen-, Adress- und Bankdaten nach Abschluss eines Online-Einkaufs wieder zu löschen oder zumindest zu ver­fäl­schen. Nicht zuletzt ergibt es außerdem Sinn, sich seiner Rechte gegenüber Un­ter­neh­men und Behörden bewusst zu sein.

Welche Rechte haben Be­trof­fe­ne, deren per­sön­li­che Daten gesammelt, ge­spei­chert und ver­ar­bei­tet werden?

Die DSGVO schreibt vor allem drei es­sen­zi­el­le Rechte fest, auf die sich Be­trof­fe­ne, deren per­sön­li­che Daten gesammelt, ge­spei­chert und ver­ar­bei­tet werden, berufen können: Im eu­ro­päi­schen Recht sind per­so­nen­be­zo­ge­ne Daten grund­sätz­lich als das Eigentum eines In­di­vi­du­ums auf­zu­fas­sen. In Deutsch­land gilt dieses Recht auf in­for­ma­tio­nel­le Selbst­be­stim­mung sogar als eines der all­ge­mei­nen Per­sön­lich­keits­rech­te, die durch Artikel 1 GG geschützt sind. Dies bedeutet in der Praxis, dass das Sammeln, Speichern, Ver­ar­bei­ten und Wei­ter­ge­ben von Daten in jedem Fall nur mit der aus­drück­li­chen und aktiven Zu­stim­mung des Be­trof­fe­nen zulässig ist. Eine still­schwei­gen­de An­er­ken­nung der Da­ten­schutz­pra­xis eines On­line­diens­tes ist also nicht aus­rei­chend. Ebenso wenig ist eine so­ge­nann­te Kopplung erlaubt, bei der ein Un­ter­neh­men oder eine Behörde bestimmte Dienste nur gegen Ein­wil­li­gung freigibt und dem Nutzer somit keine freie Wahl lässt. Nach Artikel 15 DSGVO haben Be­trof­fe­ne außerdem grund­sätz­lich ein Aus­kunfts­recht gegenüber den Un­ter­neh­men und Behörden, denen sie ihre per­sön­li­chen Daten über­las­sen. Der Ver­brau­cher­zen­tra­le Bun­des­ver­band (VZBV) bietet hierzu ein kurzes, formloses Mus­ter­schrei­ben als Word-Dokument zum Download an, das ganz einfach angepasst und ergänzt werden kann. Folgende explizite Fragen bieten sich an, um einen guten Überblick über Umfang und Vorgang einer Da­ten­spei­che­rung zu erhalten:

  • Welche Daten werden über meine Person ge­spei­chert?
  • Wo werden diese Daten ge­spei­chert?
  • Auf welche Weise wurden diese Daten gesammelt?
  • Zu welchem Zweck wurden sie ge­spei­chert?
  • An wen wurden meine Daten wei­ter­ge­ge­ben?

Obgleich Un­ter­neh­men und Behörden per Gesetz zu einer Auskunft ver­pflich­tet sind, muss man in einigen Fällen mit Unwillen oder sogar Schikane rechnen, will man diese Fragen be­ant­wor­tet bekommen. Hier lohnt sich Hart­nä­ckig­keit: Indem man sich auf seine Rechte beruft, eine enge Frist setzt und in letzter Instanz damit droht, die zu­stän­di­ge Lan­des­da­ten­schutz­be­hör­de zu kon­sul­tie­ren, erhält man schluss­end­lich die Ge­wiss­heit, die einem zusteht. Und wenn man mit der Art und Weise der Da­ten­er­he­bung nicht ein­ver­stan­den ist, In­for­ma­tio­nen falsch oder veraltet sind oder gar wi­der­recht­lich ge­spei­chert oder wei­ter­ge­ge­ben wurden, kann man sein letztes ju­ris­ti­sches Werkzeug zücken: das Recht auf Be­rich­ti­gung, Löschung und Sperrung von Daten (Artikel 15 Absatz 1e DSGVO).

Bitte beachten Sie den recht­li­chen Hinweis zu diesem Artikel.

Zum Hauptmenü