In jedem Rechtsgebiet gibt es wichtige Begriffe, das ist im Datenschutzrecht und auch im konkreten Fall der DSGVO nicht anders. Die Begriffe sind etwas anders als im BDSG und auch eigenständig, also vor dem Hintergrund der DSGVO, auszulegen. Was ähnlich heißt, muss nicht dasselbe sein. Die wichtigste Definitionsnorm der DSGVO ist Art. 4. Insgesamt gibt es in der DSGVO 26 legaldefinierte Begriffe. Die wichtigsten sind:
Die „personenbezogenen Daten“ sind in der DSGVO neu definiert, dieser Begriff ist weiter als der bisher im deutschen Datenschutzrecht verwendete. Personenbezogene Daten sind ausweislich Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Das gilt – und dies ist insbesondere für die Anwaltswebsite interessant – auch für im Internet zugängliche Daten, die einer Online-Kennung zuordnungsfähig sind und die man nicht immer auf den ersten Blick als personenbezogene Daten erkennt, wie z. B. IP-Adressen und Cookie-Kennungen (Erwägungsgrund 30 DSGVO). IP-Adressen waren auch bereits nach BDSG-alt personenbezogene Daten (BGH, Urteil vom 15. Mai 2017 – VI ZR 135/13).
Immer dann, wenn man die Daten also einem Menschen zuordnen kann – auch wenn dies nur indirekt aufgrund verschiedener Identifizierungsmerkmale möglich ist – liegen personenbezogene Daten vor.
Das bedeutet auch: Es gilt ein absoluter Personenbezugsbegriff. Es ist egal, ob ich bzw. ein Mitarbeiter meiner Kanzlei einen Personenbezug herstellen kann oder ob dies ein Dritter kann – wichtig ist nur, ob dieser Bezug objektiv herstellbar ist.
In Erwägungsgrund 26 gibt es hier weitere Informationen: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Wissen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“.
Für anonymisierte Daten gelten die Grundsätze des Datenschutzes nicht: Diese beziehen sich schließlich nicht auf einen identifizierten oder identifizierbaren Menschen (Erwägungsgrund 26 Satz 5 und 6 DSGVO). Bei der Verarbeitung von pseudonymisierten Daten gilt: Diese ist gemäß Art. 4 Nr. 5 DSGVO definiert als die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Also: Statt Namen gibt es ein Pseudonym, und das soll auch nicht wieder aufgelöst werden. Pseudonymisierte Daten sind selbstverständlich aus Sicht des Datenschutzes, wann immer dies umsetzbar ist, personenbezogenen Daten vorzuziehen, da hier die Risiken für die Betroffenen deutlich geringer sind. Deshalb lässt es die DSGVO auch zu, dass Pseudonymisierung bei einem Verantwortlichen für einen bestimmten Zweck dadurch möglich ist, dass zwar theoretisch eine Auflösung der Pseudonymisierung möglich ist, aber Daten durch geeignete Maßnahmen getrennt werden (Erwägungsgrund 29). Die Daten sind also z. B. getrennt gespeichert und es ist durch verbindliche organisatorische Regeln sichergestellt, dass sie nicht genutzt werden, um ein Pseudonym zu identifizieren. Dennoch bleiben es personenbezogene Daten, wenn das Pyseudonym durch irgendjemanden auflösbar ist.
Besonders für Kollegen, die im Erbrecht tätig sind, interessant: Daten Verstorbener sind keine personenbezogenen Daten im Sinne der DSGVO. Das ist zwar in der Legaldefinition nicht erwähnt, ergibt sich jedoch aus Erwägungsgrund 27. Das schließt aber nicht aus, dass es anderweitige Rechtsnormen zum Persönlichkeitsschutz auch über den Tod hinaus gibt.
Die DSGVO schützt nur natürliche Personen, also Menschen. Unternehmensdaten sind nicht umfasst (Erwägungsgrund 14). In einigen EU-Staaten war (und ist) dies anders: dort gibt es auch ein Unternehmenspersönlichkeitsrecht und auch einen Datenschutz für Unternehmensdaten. Die DSGVO lässt zu, dass dies auch in Zukunft so ist. In Deutschland war und ist die Rechtslage jedoch so, dass die Beschränkung auf natürliche Personen gilt.
Dieser Begriff ersetzt den bisherigen Begriff des „Betroffenen“. Es handelt sich um die identifizierbare oder identifizierte natürliche Person (Art. 4 Nr. 1 DSGVO), auf die sich die Daten beziehen.
In Art. 9 DSGVO sind „besondere Kategorien personenbezogener Daten“ definiert. Dies sind personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, weil aus ihnen Folgendes hervorgeht:
- rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen,
- Gewerkschaftszugehörigkeit.
Erfasst ist auch die Verarbeitung von
- genetischen Daten,
- biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten,
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Auch die besonderen Kategorien personenbezogener Daten kommen einem im Datenschutzrecht tätigen Anwalt bekannt vor – dies gab es bereits in § 3 Abs. 9 BDSG. Viel hat sich an dieser Stelle nicht geändert: Die Definition ist lediglich um genetische Angaben sowie biometrische Daten zur eindeutigen Identifizierung einer Person ergänzt worden. Während Fingerabdrücke, bspw. als Erkennungsmerkmal, oder Iriserkennung sicher sowohl technisch als auch datenschutzrechtlich eine spannende Aufgabe und Thematik sind, dürften derartige Daten in der Rechtsanwaltskanzlei eher selten vorkommen.
Sind auch Fotos, etwa von Mitarbeiterinnen und Mitarbeitern (für die Homepage z. B.) derartige besonders sensible Daten? Nicht immer. Erwägungsgrund 51 meint dazu: „Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs ,biometrische Daten‘ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.“
Wofür ist die Einordnung von Daten als besondere Kategorie wichtig? Für die Anforderungen an die Rechtmäßigkeit der Datennutzung.
Für diese Datenkategorie gilt ein besonderer Schutz. Das bedeutet: Grundsätzliches Verbot der Verarbeitung mit nur wenigen Ausnahmen. Wann derartige Daten genutzt werden dürfen, ist in Art. 9 Abs. 2 a bis j DSGVO festgelegt. Da ist natürlich der Fall der Einwilligung, aber es gibt auch einige gesetzliche Rechtfertigungsmöglichkeiten. Bei der Einwilligung ist jedoch besonders zu beachten, dass die Angelegenheit aufgrund der hohen Schutzbedürftigkeit der Daten kritisch ist. Auch muss gemäß Erwägungsgrund 51 die Verarbeitung dieser Daten in der Einwilligungserklärung ausdrücklich vorgesehen werden, darüber hinaus gelten auch die weiteren Voraussetzungen einer wirksamen Einwilligung (s. dazu Abschnitte II. 6 und V. 1 a). Es ist damit zu rechnen, dass deshalb der europäische oder deutsche Gesetzgeber tätig wird und weitere Voraussetzungen definiert, wann eingewilligt werden darf.
Auch für die automatisierte Entscheidungsfindung gibt es bei dieser Datenkategorie strenge Einschränkungen (Art. 22 Abs. 4 DSGVO). Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die einer Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, darf nur unter ganz strengen Voraussetzungen auf den besonderen Kategorien personenbezogener Daten beruhen. Werden derartig schutzbedürftige Daten in hohem Umfang verarbeitet, muss immer, egal wie groß das Unternehmen ist, ein Datenschutzbeauftragter bestellt werden (Art. 37 Abs. 1 c DSGVO), und eine Datenschutz-Folgenabschätzung (dazu Abschnitt IX. 1) ist fällig (Art. 35 Abs. 3 DSGVO). Auch muss dann ein Verzeichnis der Verarbeitungstätigkeiten geführt werden.
Als Berufsgeheimnisträger dürfen Anwälte gemäß Art. 9 Abs. 2 h in Verbindung mit Abs. 3 besondere Datenkategorien verarbeiten. Dennoch ist darauf zu achten, dass die Datenkategorien im Verarbeitungsverzeichnis gesondert ausgewiesen...
