I. Personenbezogene Daten
Rz. 17
Zweck der DSGVO ist es, natürliche Personen bei der Verarbeitung "personenbezogener Daten" zu schützen (Art. 1 Abs. 1 DSGVO). In diesem Sinne schützt die DSGVO Grundrechte und Grundfreiheiten betroffener Personen. Was unter "personenbezogene Daten" im Sinne der DSGVO zu verstehen ist, ist in Art. 4 Nr. 1 DSGVO (teilweise) legal definiert. Hiernach sollen personenbezogene Daten alle Informationen darstellen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Als identifizierbar soll eine natürliche Person angesehen werden, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlicher Person sind, identifiziert werden kann. Unter den Begriff der personenbezogenen Daten fallen insbesondere die in Art. 4 Nr. 13 näher definierten "genetischen Daten". Diese werden als (personenbezogene) Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person definiert, die eindeutige Information über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden Person gewonnen wurde. Ebenso sollen "geometrische Daten" (Art. 4 Nr. 14 DSGVO) unter den Begriff der personenbezogenen Daten fallen. Diese werden als, mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person definiert, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Gemäß Erwägungsgrund 51 S. 3 DSGVO sollen
Zitat
"Lichtbilder nur dann von der Definition des Begriffs "biometrische Daten" erfasst werden, wenn sie mit speziellen technischen Mitteln bearbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen."
Rz. 18
Die Bestimmung, ob ein personenbezogenes Datum vorliegt, hängt unter Berücksichtigung der Legaldefinition in Art. 4 Nr. 1 maßgeblich davon ab, ob "Einzelinformationen" über persönliche oder sachliche Verhältnisse des Betroffenen vorliegen. Es muss sich in anderen Worten um Informationen über den Betroffenen selbst oder einen Sachverhalt mit Bezug zum Betroffenen handeln. Eine klare Abgrenzung zwischen persönlichen und sachlichen Verhältnissen ist indes kaum möglich, vom Gesetz aber auch nicht gefordert. Die gesetzliche Formulierung ist lediglich als Hinweis darauf zu deuten, dass eine weite Auslegung gewollt ist. Dieses ist der aus Art. 4 Nr. 1 DSGVO ersichtlichen Intension der DSGVO, grundsätzlich alle Informationen als schutzwürdige Daten anzusehen, die mit einer natürlichen Person in Verbindung gebracht werden können, zu entnehmen. Um das Verständnis für die Auslegung und Anwendung der Definition des Art. 4 Nr. 1 DSGVO zu fördern, sind einige Erläuterungen angebracht:
Rz. 19
Mit dem Ausdruck, "alle Informationen" setzt der europäische Gesetzgeber ein klares Signal dahingehend, dass der Begriff des personenbezogenen Datums möglichst weit zu fassen ist. Auch nach Ansicht der Art. 29 Datenschutzgruppe soll der Begriff "personenbezogene Daten" alle Arten von "objektiven und subjektiven Informationen, Meinungen oder Beurteilungen über eine Person umfassen", wobei insbesondere die subjektiven Informationen einen erheblichen Anteil der personenbezogenen Daten, die in Wirtschaftszweigen, wie dem Bankwesen zur Beurteilung der Kreditwürdigkeit von Bankkunden, im Versicherungswesen oder im Berufsleben darstellen. Nach Ansicht der Art. 29 Datenschutzgruppe soll es für die Schutzwürdigkeit als "personenbezogenes Datum" auch nicht darauf ankommen, ob die betroffene Information wahr oder bewiesen ist, auch eine falsche, auf eine natürliche Person beziehbare Information ist damit als "personenbezogenes Datum" einzustufen.
Rz. 20
Angaben über persönliche Verhältnisse des Betroffenen meint dementsprechend Angaben über den Betroffenen selbst. Lediglich beispielhaft seien hier genannt:
▪ |
Name, |
▪ |
Geburtsdatum, |
▪ |
Geschlecht, |
▪ |
Konfession, |
▪ |
Überzeugung, |
▪ |
Handschrift (auch Telefonnummer und Emailadresse), |
▪ |
Familienstand, |
▪ |
äußeres Erscheinungsbild, |
▪ |
Ausbildungsstand, |
▪ |
Beruf, |
▪ |
Leistungen, |
▪ |
Einkommen, |
▪ |
Kreditkartennummern, |
▪ |
Passwörter, |
▪ |
Eigenschaften, |
▪ |
Kaufgewohnheiten, |
▪ |
Gesundheitszustand, |
▪ |
Ton- und Bildaufnahmen, |
▪ |
Angaben auf Fahrtenschreibern. |
Da insbesondere auch subjektive Informationen unter den Begriff des
"personenbezogenen Datums" fallen können, sind auch
▪ |
Werturteile und Meinungsäußerungen |
im Einzelfall als personenbezogenes Datum im Sinne der DSGVO anzusehen.
Rz. 21
Angaben über sachliche Verhältnisse des Betroffenen meint Angaben, die R...