2 Begriffe
Auf dem Gebiet des Datenschutzes ist es wichtig, dass ein bestimmtes Vokabular vorhanden ist – das gilt unter der DSGVO und das galt auch vorher schon. Denn nur dann, wenn man weiß, was die Begriffe „personenbezogene Daten“, „Verantwortlicher“, „Betroffener“ etc. bedeuten, kann man die Grundlagen des Datenschutzrechts verstehen und sie letztendlich auch korrekt in die Tat umsetzen.
2.1 Personenbezogene Daten und Betroffene
Der Begriff der „personenbezogenen Daten“ ist für das Datenschutzrecht von zentraler Bedeutung. Nach den Vorgaben der DSGVO ist er sehr weitreichend, nur reine Unternehmensdaten sollen davon nicht erfasst sein, also z. B. Bilanzen, Konstruktionspläne o. Ä. Aber was versteht man nun unter personenbezogenen Daten?
Gemäß Art. 4 Nr. 1 DSGVO versteht man unter personenbezogenen Daten „[...] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ([...] „betroffene Person“) beziehen“.
Hier werden also gleich zwei Begriffe definiert, nämlich zusätzlich auch noch der Begriff der „betroffenen Person“. Dabei handelt es sich um die natürliche Person, also um den Menschen, dessen Daten verarbeitet werden.
Als Betroffene gelten nicht nur Kunden, sondern auch Angestellte, Freelancer, Subunternehmer, Dienstleister oder sonstige Vertragspartner.
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann. Dies kann insbesondere mittels Zuordnung zu einer Kennung erfolgen, die Ausdruck der
- physischen,
- physiologischen,
- genetischen,
- psychischen,
- wirtschaftlichen,
- kulturellen oder
- sozialen
Identität dieser Person ist. Wichtig hierbei ist die Möglichkeit der Zuordnung zu einer Kennung, wie etwa
- einem Namen,
- einer Kennnummer,
- Standortdaten,
- einer Onlinekennung oder
- einem sonstigen besonderen Merkmal.
Unter Onlinekennungen fallen u. a. IP-Adressen, Cookies oder sonstige Kennungen (z. B. Funkfrequenzkennzeichnungen), die durch Endgeräte, Software oder Protokolle entstehen (vgl. Erwägungsgrund 30). Denn durch die Zuordnung solcher Onlinekennungen können Spuren hinterlassen werden, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, Profile des Betroffenen zu erstellen und ihn zu identifizieren.
Aber wann ist eine Person identifizierbar? Leider gibt es zu dieser entscheidenden Begrifflichkeit keine einheitliche Meinung, sondern drei verschiedene Auffassungen der Identifizierbarkeit:
- absolut: wenn irgendwer den Betroffenen identifizieren kann
- relativ: wenn die verantwortliche Stelle den Betroffenen mit vernünftigerweise bereitstehenden Mitteln identifizieren kann
- vermittelnd: wenn eine Identifizierung auch durch Dritte möglich ist, aber nicht von jedem und nicht mit allen Mitteln
Die absolute, also die weiteste Ansicht wird insbesondere vom Europäischen Gerichtshof (EuGH) vertreten. Hingegen vertritt der EU-Generalanwalt die vermittelnde Ansicht.
Die DSGVO sagt in Erwägungsgrund 26 Folgendes zu dieser Thematik: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person direkt oder indirekt zu identifizieren.“
Bei der Feststellung sollen alle objektiven Faktoren herangezogen werden, wie beispielsweise
- die Kosten der Identifizierung,
- der erforderliche Zeitaufwand oder auch
- die verfügbare Technologie.
In Zweifelsfällen sollte daher vom absoluten Begriff oder zumindest von einer weitgehenden, vermittelnden Ansicht ausgegangen werden. Das wird sofort klar, wenn man sich die Worte des EuGH1 vor Augen führt: „[...] dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website [...] gespeichert wird, für den Anbieter ein personenbezogenes Datum [...] darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“
Der Anwendungsbereich der DSGVO endet nach Ansicht der EuGH-Richter also erst dort, wo eine solche Zuordnung auch mit größtmöglichem Aufwand nicht möglich ist.
Nachfolgende Datenkategorien sind Beispiele für personenbezogene Daten:
- Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)
- Kontaktdaten (Telefonnummer, Faxnummer, E-Mail-Adresse etc.)
- Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
- Foto (erkennbare Darstellung einer Person)
- Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
- Kfz-Kennzeichen
- Statische und dynamische IP-Adressen
In Zweifelsfällen ist sicherheitshalber von einem Personenbezug auszugehen.
2.2 Besondere personenbezogene Daten
Neben „normalen“ personenbezogenen Daten kennt die DSGVO, wie das bisherige Datenschutzrecht auch, noch besondere Datenkategorien mit Personenbezug. Zu diesen sensiblen Daten zählen die folgenden:
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben bzw. zur sexuellen Orientierung
Wer als Entwickler Angestellte hat, der verarbeitet auf jeden Fall besondere personenbezogene Daten, nämlich z. B. die Religionszugehörigkeit zwecks Zahlung von Kirchensteuer oder auch Gesundheitsdaten, etwa aus Krankmeldungen oder im Rahmen des betrieblichen Eingliederungsmanagements (BEM).
Fotos können prinzipiell auch als besondere personenbezogene Daten zählen, gemäß Erwägungsgrund 51 jedoch nur, wenn sie von der Definition des Begriffs „biometrische Daten“ erfasst werden. Das wiederum ist dann der Fall, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Vorstellbar ist hier etwa die hochauflösende Aufnahme eines menschlichen Auges, anhand der eine Iriserkennung erfolgen kann.
Das Kurzpapier Nr. 6 des LDA Bayern beinhaltet weitergehende Informationen rund um die besonderen Kategorien von personenbezogenen Daten.
2.3 Verantwortliche Stelle
Neben dem Betroffenen und den von ihm erhobenen personenbezogenen Daten gibt es noch eine weitere, sehr wichtige Vokabel: „verantwortliche Stelle“. Dieser Begriff wird in der DSGVO definiert als eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Es macht also keinen Unterschied, ob es sich um einen Einzelunternehmer, ein mittelständisches Unternehmen oder einen großen Konzern handelt, generell sind alle Wirtschaftsunternehmen als „verantwortliche Stellen“ anzusehen, wenn sie personenbezogene Daten von Kunden, Mitarbeitern oder Vertragspartnern verarbeiten.
Nach der DSGVO handelt es sich also bei folgenden Institutionen um verantwortliche Stellen:
- Unternehmen (GbR, oHG, KG, GmbH, AG, Ltd., UG ...)
- Einzelperson (Kaufmann, Freiberufler ...)
- Staatliche Einrichtungen (Bundes-, Landes-, Kommunalbehörde ...)
- Sonstige Institutionen (e. V., e. G., Stiftung ...)
- Religionsgemeinschaften/Kirchen (z. T. mit eigenen Sonderregeln)
Es wird der freiberufliche Programmierer genauso erfasst wie die Webdesign-GbR oder die „Entwickler GmbH & Co. KG“. Es kommt also nicht auf die Organisations- bzw. Gesellschaftsform an. Lediglich Privatpersonen werden nicht als verantwortliche Stelle im Sinne der DSGVO eingestuft.
Zur speziellen Thematik von mehreren gemeinsamen verantwortlichen Stellen führen die Leitlinie der Artikel-29-Gruppe (wp169) und ein Bitkom-Leitfaden weiterführende Details aus.
2.4 Verarbeitung
Nachdem die Beteiligten, also der Betroffene und die verantwortliche Stelle sowie das „Objekt der Begierde“, die personenbezogenen Daten, definiert sind, soll es nun um die zentrale Tätigkeit gehen, nämlich die Verarbeitung der Daten. Die DSGVO versteht darunter „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.
Dies zeigt deutlich, dass es sich um einen sehr weitgehenden Begriff handelt. Hiervon wird die Verarbeitung „normaler“ und auch die besonderer Kategorien personenbezogener Daten gleichermaßen erfasst.
Unter den Begriff...