In der digitalen Wirtschaft sind „Daten“ das neue Rohöl – Google, Apple, Amazon und Microsoft zählen mit ihren Datenschätzen zu den wertvollsten Unternehmen der Welt. Gleichzeitig hat sich die Europäische Union (EU) auf die Fahne geschrieben, besondere Qualitätsmerkmale auf dem europäischen Wirtschaftsraum zu etablieren, um den Missbrauch von und durch Daten Einhalt zu gebieten und den Menschen in der EU einen vertrauenswürdigen digitalen Binnenmarkt zu bieten.
Kernstück der Reglementierung der Datenwirtschaft ist die Datenschutzgrundverordnung (DSGVO), die seit 2018 geltendes Recht ist und den Schutz personenbezogener Daten regelt. Die DSGVO ist nicht auf alle Daten anwendbar – sie bezieht sich nur auf personenbezogene Daten. Auch wenn die DSGVO als Synonym für Datenschutz gilt, regelt sie jedoch nur Datenschutz für diese spezielle Datenkategorie.
In diesem Beitrag schauen wir uns an, was durch die DSGVO genau geschützt wird – wir durchdringen die Frage, was personenbezogene Daten sind.
Was sind personenbezogene Daten?
Unter personenbezogenen Daten versteht man jegliche Informationen, die eine natürliche Person direkt oder indirekt identifizieren können. Dies schließt eindeutige Kennzeichnungen wie Namen, Adressen, E-Mail-Adressen und Telefonnummern ein, kann aber auch Daten umfassen, die indirekte Identifikation ermöglichen, wie Standortdaten, Online-Identifikatoren oder sogar Informationen zu physischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitäten. In der digitalen Welt zählen dazu auch IP-Adressen oder Cookies.
Umgekehrt sind nicht-personenbezogene Daten all jene Informationen, die nicht dazu verwendet werden können, eine Person direkt oder indirekt zu identifizieren. Solche Daten enthalten keine persönlichen Details, die auf eine spezifische Person hindeuten. Beispiele sind aggregierte Daten, die das Verhalten von Gruppen oder Kategorien von Personen beschreiben, ohne einzelne Individuen identifizierbar zu machen, oder Informationen über Objekte, Ereignisse und Umgebungen, wie beispielsweise Wetterdaten, Börsenkurse oder Verkehrsdaten. Diese Daten fallen nicht unter Datenschutzgesetze wie die DSGVO, da sie keine personenbezogenen Aspekte beinhalten.
Welche Arten von personenbezogenen Daten gibt es?
Personenbezogenen Daten lassen sich in verschiedene Kategorien einteilen. Zu den grundlegenden gehören identifizierende Informationen wie Name, Adresse und Ausweisnummern. In der digitalen Welt sind Online-Identifikatoren wie IP-Adressen, Cookie-IDs und Standortdaten relevant.
Sensible Daten (Art. 9 DSGVO) beinhalten Informationen über Rasse, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten zur eindeutigen Identifizierung einer Person. Gesundheitsdaten und Daten über das Sexualleben oder die sexuelle Orientierung fallen ebenfalls in diese Kategorie. Hinzu kommen Daten über strafrechtliche Verurteilungen und Straftaten.
Was versteht man unter Identifizierung und Identifizierbarkeit im Zusammenhang mit persönlichen Daten?
Daten, die eine direkte oder indirekte Identifizierung einer Person ermöglichen, müssen sorgfältig behandelt werden, um die Privatsphäre zu schützen und rechtliche Vorgaben einzuhalten.
Identifizierung bezieht sich auf die Möglichkeit, eine Person direkt anhand spezifischer Daten eindeutig zu erkennen. Identifizierbarkeit hingegen meint die Fähigkeit, eine Person indirekt über Daten zu identifizieren, die in Kombination mit anderen Informationen die Identifizierung ermöglichen.
Unter welchen Bedingungen ist die Verarbeitung bestimmter Arten von persönlichen Daten erlaubt?
Die Verarbeitung bestimmter Arten von persönlichen Daten ist nur unter bestimmten Bedingungen (Art. 6 DSGVO) erlaubt. Dazu gehört, dass die betroffene Person ihre ausdrückliche Zustimmung zur Verarbeitung gegeben hat. Alternativ kann die Verarbeitung erforderlich sein, um einen Vertrag zu erfüllen, rechtliche Verpflichtungen einzuhalten, lebenswichtige Interessen zu schützen, eine Aufgabe im öffentlichen Interesse zu erfüllen oder berechtigte Interessen des Verarbeiters oder Dritter zu wahren.
Für sensible Daten gelten strengere Vorschriften. Diese dürfen nur verarbeitet werden, wenn zusätzliche Bedingungen erfüllt sind, wie etwa spezifische Zustimmung oder Notwendigkeit für bedeutende öffentliche Interessen.
Unter welchen Bedingungen ist die Verarbeitung sensibler Daten erlaubt?
Die Verarbeitung sensibler Daten ist unter strengen Bedingungen erlaubt. Dies umfasst die ausdrückliche Zustimmung der betroffenen Person oder Fälle, in denen es lebensnotwendig ist. Zusätzlich ist die Verarbeitung in speziellen Kontexten wie Beschäftigung, sozialer Sicherheit, Schutz vitaler Interessen, rechtlichen Ansprüchen, erheblichen öffentlichen Interessen oder im Bereich der Gesundheitsvorsorge und des Sozialschutzes unter bestimmten Voraussetzungen gestattet.
Wer sind die datenschutzrechtlich beteiligten Parteien?
In Bezug auf persönliche Daten und deren Verarbeitung gibt es hauptsächlich drei involvierte Parteien:
Datensubjekt: Die Person, zu der die Daten gehören
Datenverantwortlicher: Das Unternehmen oder die Organisation, die entscheidet, wie und warum persönliche Daten verarbeitet werden
Auftragsverarbeiter: Eine dritte Partei, die im Auftrag des Datenverantwortlichen Daten verarbeitet