Wann liegt ein Personenbezug (personenbezogener Daten) vor?

Personenbezogene Daten müssen einen Bezug zu einer bestimmten oder zumindest bestimmbaren Person aufweisen, ansonsten würde es sich eben nicht um personenbezogene Daten handeln.

Rein statistische Daten, Daten über eine bestimmte Maschinenleistung oder Ähnliches sind in der Regel keine personenbezogenen Daten, weil diese Informationen nichts über eine bestimmte oder bestimmbare Person aussagen. Es handelt sich hier nur um Daten, jedoch nicht um personenbezogene Daten.

Die Aussage „353.320 Pkw-Neuzulassungen im Jahr 2017“ enthält keine personenbezogenen Daten, auch wenn 353.320 oder weniger konkrete Personen einen Pkw zugelassen haben mögen. Sie enthält nämlich keine Information über eine identifizierte oder identifizierbare Person.

Allerdings können sich auch Daten, die auf den ersten Blick keinen Personenbezug aufweisen als personenbezogene Daten herausstellen. So handelt es sich beispielsweise bei dynamischen IP-Adressen um personenbezogene Daten. Zumindest, wenn der oder die Verantwortliche (zum Beispiel ein Webseiten-Betreiber) rechtliche Möglichkeiten hat, um mit Hilfe Dritter die betroffene Person durch die dynamische IP-Adresse bestimmen zu lassen.

Um festzustellen, ob eine natürliche Person identifizierbar ist, müssen alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei müssen auch objektive Faktoren, wie zum Beispiel die Kosten der Identifizierung oder der Zeitaufwand, miteinbezogen werden.

Ein ursprünglich nicht vorliegender Personenbezug kann auch erst im Nachhinein entstehen. Bei der Erhebung von Daten sind daher auch absehbare zukünftige technologische Entwicklungen zu berücksichtigen. Konkret muss geprüft werden, ob sich aufgrund technologischer Entwicklungen in absehbarer Zukunft ein Personenbezug herstellen lassen wird.

Technologische Entwicklungen wie der Abgleich zwischen umfangreichen Datensätzen lassen mittlerweile eine Identifizierung von Personen zu, die vor einigen Jahren noch nicht möglich gewesen wäre. Es ist also denkbar, dass ein per se nicht einer bestimmten Person zuordenbarer Datensatz (zum Beispiel ein Datensatz über bestimmte Aufenthaltsorte zu einer bestimmten Zeit) in Kombination mit weiteren Datensätzen (zum Beispiel Facebook-Fotos, Aufzeichnung über Zahlungsvorgänge) letztlich eine Identifizierung einer bestimmten Person zulässt und die in dem Datensatz enthaltenen Daten als personenbezogene Daten zu qualifizieren sind.

Was sind „sensible Daten“?

Die DSGVO spricht nicht von sensiblen Daten, sondern von „besonderen Kategorien personenbezogener Daten“ und meint damit zum Beispiel die Herkunft, die sex...

Was sind pseudonymisierte Daten?

Pseudonymisierte Daten sind Daten, die ohne zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Was sind anonymisierte Daten?

Anonymisierte Daten sind Daten, die keiner spezifischen betroffenen Person zugeordnet werden können.

Was versteht man unter einer "Datenverarbeitung"?

Zu einer Datenverarbeitung zählen zum Beispiel das Erheben, die Speicherung, die Veränderung, die Verwendung oder die Verbreitung von personenbezogenen Dat...

Unter welchen Voraussetzungen dürfen meine personenbezogenen Daten verarbeitet werden?

Damit Ihre personenbezogenen Daten weiterverarbeitet werden dürfen, ist eine bestimmte Rechtsgrundlage erforderlich. Dazu zählt zum Beispiel Ihre Einwillig...

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen