Das Datenschutzrecht enthält die Regelungen, unter welchen Bedingungen persönliche (personenbezogene) Daten verarbeitet werden können. Personenbezogenen Daten sollen nur aufgrund einer bestimmten Rechtsgrundlage verarbeitet werden, und es müssen dabei weitere Bedingungen berücksichtigt werden. Damit soll die Privatsphäre einer Person (d. h. das Interesse einer Person an der Geheimhaltung ihrer Daten) geschützt werden.
Unter personenbezogenen Daten versteht man nicht nur Daten im engeren Sinn (z. B. Name, Geburtsdatum, Telefonnummer usw.), sondern auch andere Informationen über eine Person (z. B. Charaktereigenschaften, verbale Beurteilungen einer Arbeitskraft, Prognose der Zahlungsfähigkeit einer Person usw.). Aber auch Tonaufnahmen von Aussagen einer Person oder digitale Fotos, auf denen die Person abgebildet ist, gelten als personenbezogene Daten dieser Person. Daten unterliegen aber immer nur dann dem Datenschutzrecht, wenn sie sich auf eine bestimmte oder bestimmbare Person beziehen bzw. zurückführen lassen. Rein statistische Daten, die nichts über eine bestimmte Person aussagen, sind keine personenbezogenen Daten und unterliegen nicht dem Datenschutzrecht.
Beispiel: Die Aussagen „402 Personen starben im Jahr 2023 in einem Verkehrsunfall“ oder „50,4% der weiblichen Studierenden in Österreich haben einen Nebenjob“ enthält keine personenbezogenen Daten, weil sie keine Information über eine bestimmte Person enthält.
Ob sich Daten einer bestimmten Person zuordnen lassen, ist eine äußerst komplexe Frage. Daten müssen nicht notwendigerweise dem Namen der betreffenden Person zugeordnet sein, um als personenbezogene Daten zu gelten. Es reicht, wenn die Person, auf die sich Daten oder Informationen beziehen, für den Verantwortlichen zumindest bestimmbar sind. Wenn die für die Datenverarbeitung verantwortliche Person die Daten bzw. Informationen aufgrund anderer Umstände als dem Namen auf eine bestimmte Person zurückführen kann, gelten diese Daten als personebezogene Daten.
Beispiel: Im Auftrag des regionalen Gastonomieverbands führt der Lokalbesitzer A. eine Statistik über die Wirtshausbesuche der Mitglieder der Gemeinde Hohenems. In der Statistik werden zwar keine Namen genannt, aber andere Angaben über die Wirtshausbesucher:innen gemacht. z. B. "Mitglied des Schützenvereins Hohenems, Adresse: Postgasse 10". Die Zahl der Wirtshausbesuche sind zwar keinem Namen zugeordnet, lassen sich aber von A. aufgrund anderer Angaben einer bestimmten Person zuordnen und stellen daher für A. personenbezogene Daten dar.
Umstritten ist, ob auch die Identifizierungsmöglichkeit einer anderen Person miteinbezogen muss (absoluter vs. relativer Personenbezug, vgl. EuG T-557/20). Es ist darauf abzustellen, ob es für den Verantwortlichen mit einem vertretbaren und rechtlich zulässigen Aufwand möglich ist, die natürliche Person direkt oder indirekt zu identifizieren (DSB 31.10.2018, DSB-D123.076/0003.DSB/2018). Dabei sind auch absehbare technologische Entwicklungen zu berücksichtigen, die eine Kombination von Datensätzen ermöglichen und auf diese Weise eine Identifizierung ermöglichen. Es ist also denkbar, dass ein per se nicht einer bestimmten Person zuordenbarer Datensatz (zum Beispiel ein Datensatz über bestimmte Aufenthaltsorte zu einer bestimmten Zeit) in Kombination mit weiteren Datensätzen (zum Beispiel Fotos, Aufzeichnung über Zahlungsvorgänge usw.) letztlich eine Identifizierung einer bestimmten Person zulässt.
Beispiel: Dynamische IP-Adressen können dann als personenbezogene Daten gelten, wenn der Verantwortliche (z. B. ein Webseiten-Betreiber) rechtliche Möglichkeiten hat, um die Person hinter der dynamischen IP-Adresse mit Hilfe Dritter bestimmen zu lassen (vgl EuGH C-582/14 Breyer). Google wird eine dynamische IP-Adresse oft auf eine Person zurückführen können (z. B. bei gleichzeitigem Login in das Google-Konto), sodass eine dynamische IP-Adresse für Google ein personenbezogenes Datum darstellt und nur nach geltendem Datenschutzrecht verarbeitet werden darf.
Eng verknüpft mit der Frage, ob Daten einer bestimmten Person zugeordnet werden könnenm, ist die weitere Kategorisierung von Daten in pseudonyme und anonyme Daten. Während pseudonyme Daten noch dem Datenschutzrecht unterliegen, muss bei der Verarbeitung von anonymen Daten das Datenschutzrecht nicht beachtet werden.
Bei der Pseudonymisierung wird der Name der betroffenen Person (oder ein anderes Identifikationsmerkmal) durch ein Pseudonym (zumeist ein Code, bestehend aus einer Buchstaben- oder Zahlenkombination) ersetzt. Dabei bleibt aber ein Schlüssel zur Verknüpfung zwischen dem Pseudonym (Code) und der betroffenen Person erhalten und sicher verwahrt. Eine Pseudonymisierung ist eine Maßnahme der Datensicherheit und erfolgt oft bei medizinischen Studien, damit die (sensiblen) medizinischen Daten der Testpersonen bzw. Patienten besser geschützt werden. Pseudonymisierte Daten sind trotz Pseudonymisierung immer noch personenbezogene Daten, da der Personenbezug wiederhergestellt werden kann.
Im Gegensatz dazu wird bei der Anonymisierung die Zuordnung der Daten zu den Personen unwiderruflich gekappt, sodass diese Daten nicht mehr einer Person zugeordnet werden können. Anonymisiert sind Daten dann, wenn die Verantwortlichen oder dritte Personen keine Mittel mehr haben, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die betroffene Person direkt oder indirekt zu identifizieren (zum Beispiel zu hohe Kosten oder zu hoher Zeitaufwand). Eine vollständige Anonymisierung ist technisch sehr schwer sicherzustellen.
Unter sensiblen Daten versteht man personenbezogene Daten, die besonders geschützt sind. Zu diesen „besonderen Kategorien personenbezogener Daten“ zählen nach Art 9 DSGVO folgende Arten von personenbezogenen Daten:
Die Verarbeitung dieser Daten ist grundsätzlich untersagt und nur in bestimmten Fällen zulässig, z. B. aufgrund einer aufgrund einer ausdrücklichen Einwilligung zum Zweck einer medizinischen Behandlung. Der Verantwortliche darf aber sich – im Unterschied zu herkömmlichen personenbezogenen Daten – aber jedenfalls nicht auf berechtigte Interessen stützen, um eine Verarbeitung dieser Daten zu rechtfertigen.
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?
Letzte Änderung: 02.08.2024