Das Wichtigste zu personenbezogenen Daten in Kürze
- Nach europäischem Recht und Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten all jene Informationen, die sich auf eine natürliche Person beziehen oder zumindest beziehbar sind und so Rückschlüsse auf deren Persönlichkeit erlauben.
- Besondere personenbezogene Daten umfassen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Sie sind besonders schützenswert.
- Betroffene haben vor allem das Recht auf informationelle Selbstbestimmung. Das Speichern und Verarbeiten von personenbezogenen Daten ist mithin nur unter Zustimmung des Betroffenen zulässig.
Mehr zum Thema personenbezogenen Daten
Biometrische Daten Fingerprint device Identitätsnachweis Telefonnummer Fotografien von Personen Verfahrensverzeichnis Standortdaten Datenschutz bei Drohnennutzung
Personenbezogene Daten: Definition nach BDSG und DSGVO
Inhaltsverzeichnis
Der Datenschutz soll als Teilbereich des allgemeiner gefassten Bereichs der Datensicherheit spezifische Datensätze vor Missbrauch und unbefugtem Zugriff bewahren: personenbezogene Daten.
Die entsprechenden Datenschutzbestimmungen finden sich zum einen im Bundesdatenschutzgesetz, zum anderen jedoch noch maßgeblicher in der europäischen Datenschutz-Grundverordnung (DSGVO). Diese wird ab Mitte 2018 für alle EU-Mitgliedstaaten verbindlich. Sowohl das BDSG, die DSGVO als auch die zahlreichen Landesgesetze zum Datenschutz enthalten Defintitionen zu einzelnen Begrifflichkeiten, auf die sich die Texte beziehen.
Die Definition des Begriffs “personenbezogene Daten” gleicht sich entsprechend. Aber welche Daten genau sind personenbezogen? Grundsätzlich sind alle Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen. Natürliche Person ist ein jeder Mensch in seiner Funktion als Träger von bestimmten Rechten und Pflichten.
Beispiele für personenbezogene Daten
Die Arten personenbezogener bzw. auf Personen beziehbarer Daten sind zahlreich. Eine abschließende Zusammenfassung lässt sich kaum bewältigen. Im Folgenden jedoch eine Liste entsprechender Werte, die einen ersten Eindruck davon verleihen soll, was alles unter personenbezogene Daten fällt:
- allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
- Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
- Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
- Online-Daten (IP-Adresse, Standortdaten usf.)
- physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
- Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
- Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
- Werturteile (Schul- und Arbeitszeugnisse usf.)
- u. v. m.
Daneben existieren auch noch besondere personenbezogene Daten, die eines erhöhten Schutzes bedürfen. Die Vorschriften zur Sammlung und Verarbeitung solcher Daten sind wesentlich strenger. Solche besondere Kategorien personenbezogener Daten sind gemäß § 46 Ziffer 14 a-e BDSG-neu (vgl. auch Artikel 4, 9 DSGVO):
- “Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten und
- Daten zum Sexualleben oder zur sexuellen Orientierung;”
In der folgenden grafischen Übersicht erhalten Sie noch einmal einen kompakten Überblick über die unterschiedlichen Formen von personenbezogenen Daten – von den allgemeinen Personendaten über wichtige Kennnummern, Bankdaten, Onlinedaten, Besitzmerkmalen bis hin zu Werturteilen, sachlichen Verhältnissen sowie Kunden- und bestimmbaren Daten. Diese Kategorien sind durch einzelne Beispiele näher erläutert.
Warum müssen personenbezogene Daten geschützt werden?
In Zeiten der weltweiten Verknüpfung über das Internet ist die Angst vor dem „gläsernen Menschen“ omnipräsent. Welche Daten können Behörden aus meiner Kommunikation erfassen? Wie kann ich die Kontrolle über die zu meiner Person gespeicherten Daten behalten?
Fakt ist: Viele Personen gehen auch heute noch oftmals zu leichtfertig mit der Herausgabe personenbezogener Daten um – häufig aus dem Unwissen heraus, wie wertvoll diese für einzelne Unternehmen und Behörden sein können. Weltweit agierende Datenkraken wie zum Beispiel Google und Facebook sammeln die Daten über die Aktivitäten der Nutzer aus World Wide Web.
Diese Stammdaten (von den Standortdaten über Angaben zum Kaufverhalten bis hin zu Kontakten) nutzen sie meist für die Schaltung von individualiserter Werbung für den jeweiligen User. Und darüber erwirtschaften sie letztlich jährlich Gewinne in Millionenhöhe. Personenbezogene Daten sind also bares Geld wert.
Daneben aber kann der Missbrauch dieser sensiblen Angaben auch strafrechtliche Relevanz haben: Kriminelle können Bankdaten abgreifen und so unbefugt auf Konten zugreifen, mit Personal- oder Ausweisnummern können falsche Dokumente erstellt und verkauft werden und und und.
Deshalb bedarf es beim Umgang mit personenbezogenen Daten – ob im Unternehmen oder einer Behörde – einer erhöhten Sorgsamkeit. Unternehmen und öffentliche Stellen, die derlei Datenschätze sammeln, speichern und verarbeiten müssen diese entsprechend vor unbefugten Zugriffen schützen. Zudem dürfen auch nicht alle Daten zu jedwedem Zweck verarbeitet oder gespeichert – und schon gar nicht weitergegeben – werden.
Spezifische Ratgeber zum Missbrauch von personenbezogenen Daten
Adresshandel Datenhandel Phishing Identitätsdiebstahl
Umgang mit personenbezogenen Daten
Nicht jedes Unternehmen darf einfach freimütig alle Daten sammeln, die ihm zwischen die Finger kommen. Wenn es zulässig ist, dass diese oder jene öffentliche oder nichtöffentliche Stelle Daten sammelt und verarbeitet, muss Sie den Datenschutz gewährleisten. Das bedeutet:
- Die Mitarbeiter, die in der Datenverarbeitung tätig sind, müssen über das Datengeheimnis belehrt werden und bedürfen einer datenschutzrechtlichen Schulung im Umgang mit den Datensätzen.
- Die Weitergabe personenbezogener Daten an Dritte ist regelmäßig – und ohne Zustimmung des Betroffenen – nicht zulässig. Ist es in Ausnahmefällen gestattet, muss die Übermittlung verschlüsselt sein und die Daten müssen abgetrennt voneinander übermittelt werden. So soll am Ende zunächst das unrechtmäßige Abgreifen verhindert, zum anderen aber auch unterbunden werden, dass Datensammlungen zu einer Person zu viele Informationen über den Betroffenen preisgeben.
- Die Speicherung personenbezogener Daten bedarf erhöhter Sicherheitsmaßnahmen. Das meint nicht nur passwortgeschützte Arbeitsplätze und Datenbänke, sondern vor allem auch angemessene Verschlüsselungsprogramme und höchstwirksame Maßnahmen zur Unterbindung einer Infiltrierung durch Schadsoftware (Antivirenprogramme, Firewall usf.). Unter Umständen müssen die Stellen personenbezogene Daten auch anonymisieren, den Bezug zu einer bestimmten oder bestimmbaren Person etwa aufheben.
- Die Verarbeitung personenbezogener Daten muss immer zweckgebunden erfolgen. Ist der Zweck erfüllt, müssen die Angaben gelöscht oder vor einem weiteren Zugriff geschützt werden. Diesem Zweck muss der Betroffene zudem eindeutig zugestimmt haben.
- Die Pflicht zur Löschung personenbezogener Daten besteht regelmäßig, sobald die Daten nicht mehr benötigt werden bzw. die Zweckgebundenheit aufgelöst ist. Zudem verjährt die ein oder andere Eintragung von Daten in regelmäßigen Abständen (etwa bei der Schufa-Auskunft). Auch unrechtmäßig gespeicherte Daten müssen umgehend sicher gelöscht werden.
Personenbezogene Daten: Wichtige Rechte der Betroffenen
Betroffene, deren Daten gesammelt, gespeichert und verarbeitet werden, haben zahlreiche Rechte. Personenbezogene Daten sind nämlich gewissermaßen auch als Eigentum der jeweiligen natürlichen Person aufzufassen. Die drei wichtigsten Rechte betreffen die Selbstbestimmung, den Auskunftsanspruch und die Löschung von Daten.
Recht auf informationelle Selbstbestimmung
Im sogenannten Volkszählungsurteil vom 15. Dezember 1983 gelangte das Bundesverfassungsgericht zu der Einschätzung, dass das Recht auf informationelle Selbstbestimmung grundsätzlich in die allgemeinen Persönlichkeitsrechte hineinfalle. Diese wiederum sind eindeutig durch Artikel 1 des Grundgesetzes geschützt.
Nach diesem Urteil – und so wurde es auch im BDSG und der DSGVO festgelegt – dürfe das Recht auf informationelle Selbstbestimmung nur in einem eng gesteckten gesetzlichen Rahmen eingeschränkt werden. Diese Einschränkungen enthalten staatliche und europäische Rechtsgrundlagen.
Das bedeutet aber auch: Hier sind auch die Menschen selbst in der Pflicht. Sie sollten grundsätzlich bedachter mit der Freigabe solch persönlicher Informationen umgehen und auch selbst Vorkehrungen treffen, um den Missbrauch personenbezogener Daten zu unterbinden.
Auskunftsrecht
Nach §§ 19 und 34 sind Betroffene befugt, die zu ihrer Person gespeicherten Daten bei Unternehmen und Behörden einzusehen. Die öffentlichen und nichtöffentlichen Stellen sind im Gegenzug zur Auskunft verpflichtet. Das ist besonders in Bezug auf die Auskunft über bei Wirtschaftsauskunfteien wie der Schufa hinterlegten Daten, die die Bonität einer Person betreffen. Hier haben Betroffene sogar einmal jährlich den Anspruch darauf, kostenlose Auskunft zu erhalten.
Recht auf Berichtigung, Löschung und Sperrung der Daten
Falsche, veraltete, widerrechtlich gespeicherte oder weitergegebene personenbezogene Daten müssen von den Datensammlern rechtzeitig gesperrt, berichtigt oder gänzlich gelöscht werden. Die Betroffenen haben das Recht darauf, diese Vorgänge einzufordern, wenn ein Verstoß gegen den Datenschutz diesbezüglich festzustellen ist.
Ulrike meint
Meine Autowerkstatt hat das Rechnungsmanagement an eine Finanz AG abgegeben und meine Rechnung abgetreten. Ich wurde vorher nicht gefragt und habe auch nichts unterschrieben. Auf der Rechnung sind neben meinem Namen und Anschrift auch meine Fahrzeugdaten vermerkt. Wie kann ich nun vorgehen?
andreas meint
Hallo Ihr lieben, wie verhält sich das mit den personenbezogenen daten, bei den behörden wie dem finazamt? europäisches recht steht doch über dem bundesrecht, in welchem art. ist das geregelt?
im fall einer vermögensauskunft wollen die soger daten vom lebenspartnern haben , kann man das umgehen oder verstößt der ganze vorgang ohne zustimmung gegen die dsgvo?
Markus meint
Hallo.
Werden die personenbezogenen Daten nach “Löschung” des Email-Kontos auch gelöscht?
LG
Marie meint
Hallo!
Wenn ich eine Anlagenzeichnung bekomme, z.B. ein Architekenplan und auf diesem lediglich der Name des Zeichners drauf ist, muss das Dokument nachdem man es nicht mehr braucht, geschreddert werden?
Danke.
Marie
Unschuldiger Vermieter meint
Hallo,
unser Mieter hat unsere Kontodaten (die nichts mit der Angelegenheit zu tun hatte) an den Mieterbund weitergegeben.
Jetzt bekam ich Post vom Mieterschutzbund, wohingegen ich die Kaution auf mein eigenes Konto zahlen solle (wahrscheinlich ein Versehen).
Gesagt – getan (habe es selber nicht gemerkt).
ABER dürfen die meine Kontonummer überhabt haben bzw. auch noch unter anderen Namen per Post verschicken?
Wäre dankbar für eine Hilfestellung…
Markus meint
Hallo,
handelt es sich bei den Daten von Firmen auch um personenbezogene Daten und unterliegen dem Datenschutz?
Beispiel:
– Firmenname
– Telefonnummer der Firma
– Website des Unternehmens
oder kann ich diese ohne bedenken auf meiner Website veröffentlichen?
Es sollen hierbei keine Bilder oder Logos der Firmen veröffentlicht werden.
Falls diese Daten unter das Datenschutzgesetz fallen, darf ich denn dann die Firmen per E-Mail anschreiben, um die Einwilligung zur Veröffentlichung einzuholen?
Für eine aussgekräftige Antwort wäre ich Ihnen sehr dankbar, da ich keinen Datenschutzbeauftragten habe oder kenne, den ich fragen könnte.
Danke.
Mit freundlichen Grüßen
Markus
Datenschutz.org meint
Hallo Markus,
DSGVO und BDSG sollen den Schutz personenbezogener Daten erhöhen. Definiert werden diese als “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen””. Ein Unternehmen kann nur juristische, nicht aber natürliche Person sein.
Die Redaktion von datenschutz.org
K. meint
Ein Amtsdirektor hat eine persönliche E-Mail-Adresse an eine Dritte Person weitergegeben, ohne zu fragen. Wie geht man nun vor?
Beate meint
Guten Zag, vielleicht finde ich hier eine “rechtsgültige” Antwort.
Stehen Personendaten Verstorbener (Sterbeanzeigen) die schon einmal veröffentlicht wurden – unter weiteren Datenschutz? Darf ich diese abfotografieren oder Abschreiben und ein weiteres mal veröffentlichen?
mfG B.
Conny meint
Hallo,
Wenn ich eine liste mit adressen ohne jegliche weitere information dazu (weder name noch warum genau ich diese adressen gesammelt habe oder was sie gemeinsam haben) gilt das dann als personenbezogene Daten?
Als Bsp: Jemand macht sich als hundefriseur selbstständig und notiert sich alle adressen wo er hunde gesehen/gehört hat, damit er dann vor der eröffnung flyer persönlich einwerfen kann. Wie gesagt, OHNE Namen und OHNE Überschrift wie zb „Liste der Leute mit Hunden“. Weitergegeben wird die Liste natürlich auch nicht, ist nur als Gedächtnisstütze für denjenigen selbst gedacht.
Falls das problematisch ist, was könnte man machen um sich diese adressen legal als gedächtnisstütze zu notieren? Straßennamen&ortschaft weglassen?
Silvia meint
Hallo,
Nach ein Autounfall mit zwei Beteiligten verlangt mein Arbeitgeber von mir die Daten von der Unfallgegner. Mein Arbeitgeber will ein Schadensersatz wegen mein Arbeitsausfall von die gegnerischen KfZ Versicherung anfordern.
Darf ich die Personenbezogene Daten von der Unfallgegner an mein Arbeitgeber geben zwecks Schadensersatz? Und wenn nicht, wer darf das?
Vielen Dank
Silvia
Werner meint
Was ist das? Wenn ein Nachbar mit meinem Namen und Anschrift für sich Sendungen im Internet bestellt?
Neni meint
Aus meiner Sicht ist dein hauptsächliches Problem hier nicht die Verletzung des Schutzes deiner personenbezogenen Daten, sondern bei dieser Identitätstäuschung vorrangig der Tatbestand des Betrugs, den dein Nachbar da erfüllt hat. 😉 Je nachdem, wie die Bestellung von Statten ging, könnte zusätzlich auch noch Urkundenfälschung begangen worden sein von deinem Nachbarn. Beides ist strafbar und kein “Kavaliersdelikt”, wie wenn man bspw. auf dem Erdbeerfeld ein paar Erdbeeren unbezahlt in den Mund stecken würde. Nach deiner Schilderung nutzt dein Nachbar deine Identität und versucht sich daran zu bereichern, indem er Verträge abschließt, für die du dann den Kopf / das Geld hinhalten sollst. Ich würde meinen Nachbarn bei so einer belegbaren Aktion ohne Frage anzeigen. Wer weiß, wozu dein Name oder der Name weiterer Personen sonst noch so missbräuchlich genutzt wurde oder künftig noch genutzt werden wird von ihm.
Dani meint
Ich habe was online bestellt, dann wollte ich es von Filiale abholen
. Anscheinend haben die Mitarbeiter von dem Laden meine Bestellung jmdm gegeben ohne zu beweisen, dass das zu ihm gehört(Bestellnummer und Ausweis sind erforderlich) . Auf Paket stehen meine Stammdaten. Ist in diesem Fall dsvgo verstoß ?
Bodo meint
Hallo,
ich hätte eine Frage DSGVo.
Unser Unternehmen hat eine Firma beauftragt die Lohnabrechnung zu bearbeiten. Da hier Personenbezogene Daten unumgänglich sind würde ich gern wissen ob dies ohne mein Einverständnis rechtens ist.
Gerd meint
Mit persönlichen Daten sollte man eigentlich immer äußerst sparsam umgehen im Netz
Georg meint
Guten Tag, hätte eine Frage wenn meine Firma die Daten von mir an dritte weiter gibt, wie gehe ich davor. Habe der Firma ja Mal ne Bewerbung geschickt, mit Licht Bild. Nur wie beweise ich das er meine Daten an dritte weiter gibt.
Borje meint
Was gehts mit fotografieren nach z.b. einen Autounfall? Darf man ein Kennzeichen fotografieren? Darf man auch Supermarkt MitarbeiterInnen ohne Mundnaseschütz, oder wenn sie irgendwas auch unhygienisch machen? Nicht zu veröffentlichen, sondern als Evidenz zur Ombudsstelle schicken.
Heike meint
Hallo, das Grundbuchamt hat meine Daten an Nachbarn, welche ich nicht kenne weitergegeben, dürfen die das? Es gibt wohl Unstimmigkeiten in der Hausgemeinschaft, welche jedoch mich nicht direkt betreffen.
Danke
Emma meint
Ist es erlaubt, personenbezogene Daten als – gesetzlich anerkannte religiöse Gruppe – Adressen/Anschriften aus dem öffentlichen Telefonbuch abzuschreiben und sie dann evt. kopieren/notieren, um Leute dann anzuschreiben ?
Wolfgang meint
Hallo, ich verwende im Rahmen der Erfassung von Analyticsdaten auf meiner Website die Einstellung “anonymizeIP”. Damit wird die IP nicht vollständig erfasst. Zusätzlich hole ich die Einwilligung für das Analytics-Cookie per Opt-In im Consent-Banner. Dennoch lassen sich auf Basis der anonym erfassten Sitzungen verhaltensbasierte Nutzergruppen bilden, an die ich gezielt wieder (Google Display) Ads ausspielen kann. Ist dem Datenschutz durch das IP-anonymisieren bereits genüge getan? Oder stellt meine Absicht “Retargeting” das Ganze in einen neuen Kontext? Aus meiner Sicht werden an keiner Stelle im Prozess personenbezogene Daten erhoben.