Stell dir Folgendes vor: Du hast mal wieder völlig das Chaos auf dem Kopf und es ist allerhöchste Eisenbahn für einen Termin bei deinem Friseur des Vertrauens um die Ecke. Schnell zum Telefon gegriffen, Nummer gewählt, auf das freundliche Hallo am anderen Ende gewartet und binnen einer Minute einen Termin vereinbart.
Klingt easy, oder?
Doch jetzt stell dir vor, dass bevor du überhaupt deinen Namen nennen kannst, dir der nette Mitarbeiter eine 30-seitige Datenschutzerklärung des Friseursalons vorliest. Streng genommen haben die Kunden laut der Datenschutz-Grundverordnung nämlich ein Recht auf transparente Information und Auskunft. Aus einer Minute kann dann schnell eine gähnende Ewigkeit werden.
Klingt absurd, oder?
Soll aber laut Gesetz so sein – mit Betonung auf soll. Denn überall, wo es um den Umgang mit sogenannten personenbezogenen Daten geht (auch wenn sie nicht digital verarbeitet werden), kommt Mutter Datenschutz ins Spiel.
Doch welche Daten sind personenbezogene Daten? Und was musst du, als Websitebetreiber, im Umgang mit solchen Daten beachten? Wir erklären es dir!
Was sind personenbezogenen Daten?
Egal, ob im World Wide Web oder in der analogen Welt – der Umgang mit persönlichen Daten findet fast überall statt. Persönliche Daten werden täglich in Hülle und Fülle gesammelt und gespeichert. Um diese Daten bestmöglich zu schützen, haben sich die Gesetzesgeber strenge Anforderungen einfallen lassen.
Gemäß Artikel 4 der Allgemeinen Datenschutzverordnung (DSGVO) sind personenbezogene Daten
alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann
Demzufolge ist eine natürliche Person nicht nur aufgrund des Namens und physischer Merkmale identifizierbar, sondern auch aufgrund der politischen Orientierung und religiöser Ansichten.
Sämtliche in der DGSVO genannten Informationen, die auf die Identität einer Person schließen lassen, gelten als personenbezogene Daten. Dabei ist es egal, ob die Identifikation direkt oder indirekt möglich ist.
Für juristische Personen – wie etwa Vereine oder Stiftungen – greift das DSGVO-Gesetz zu personenbezogenen Daten nicht. Anders verhält es sich allerdings, wenn sich die Einzelangaben einer juristischen Person auf eine dahinter stehende natürliche Person beziehen (Beispiel: Geschäftsführer einer GmbH).
Beispiele für personenbezogene Daten
Personenbezogene Daten gibt es zahlreich. Einige Beispiele haben wir dir zum einfachen Verständnis im Folgenden aufgelistet:
- Allgemeine Daten über eine Person (z.B. Name, Geburtsdatum und -ort, Alter, Anschrift, E-Mail-Adresse, Telefonnummer, …)
- Bankdaten (z.B. Kontonummer, Kontostand)
- Kennnummern (z.B. Steuer-ID, Sozialversicherungsnummer, Personalausweisnummer, Passnummer, Matrikelnummer, Kfz-Kennzeichen)
- IP-Adresse
- Standortdaten
- Physische Merkmale (z.B. Geschlecht, Hautfarbe, Statur, Gang)
- u.v.m.
Die (dynamische) IP-Adresse ist ein besonderer Fall eines personenbezogenen Datums. In den USA als Gesamtheit gibt es noch keine einheitlichen Regelungen zum Datenschutz. Daher ist auch nicht klar, wie mit personenbezogenen Daten wie der IP-Adresse umgegangen werden soll.
Worin sich eine dynamische von einer statischen IP-Adresse unterscheidet, ist einfach erklärt: Eine statische IP-Adresse ist einem Internetanschluss oder Gerät permanent zugewiesen. Eine dynamische IP-Adresse hingegen ist vom Einwählen bis zur Trennung vom Netzwerk gültig. Somit wird bei jedem Einwählen eine neue IP-Adresse vergeben.
Dynamische IP-Adressen können laut dem EuGH ein personenbezogenes Datum sein. Theoretisch ist die Identifizierung durch einen Dritten – den Zugangsanbieter – möglich. Sofern der Website-Betreiber das theoretische Recht hat, solche Informationen anzufordern, gilt die dynamische IP-Adresse als personenbezogenes Datum.
Auch nach Auffassung des BGH ist die dynamische IP-Adresse ein personenbezogenes Datum. Die Speicherung ist lediglich unter den Voraussetzungen des § 15 Abs. 1 TMG erlaubt. Die Daten dürfen nur ohne Einwilligung des Nutzers über Ende des Nutzungsvorgangs erhoben und verwendet werden, sofern dies erforderlich ist, um die Grundfunktionalität der Dienste sicherzustellen. Dies muss im unter Berücksichtigung der Grundrechte und -freiheiten des Nutzers erfolgen.
Da wir schon dabei sind: Wie sieht es eigentlich mit dem Thema Tracking aus?
Für Website-Betreiber sind Tracking-Daten Gold wert, da sie konkret Aufschluss über ihre Nutzer geben können, woraufhin optimierte Marketing-Maßnahmen abgeleitet werden können. Da personenbezogene Daten Dreh- und Angelpunkt des Trackings sind, spielt auch hier der Datenschutz eine sehr große Rolle. Demnach darf das Tracking nicht einfach ohne Rechtsgrundlage vonstattengehen. Als Rechtsgrundlage kommt häufig nur die explizite Einwilligung des Betroffenen – des Website-Besuchers – infrage.
Welches Datum ist kein personenbezogenes?
Wie bereits erwähnt, zählen Daten über juristische Personen – wie das Gründungsdatum eines Vereins – nicht als personenbezogenes Datum.
Welche Kategorien personenbezogener Daten gibt es?
Die Europäische Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) unterscheiden zwischen verschiedenen Arten von personenbezogenen Daten. Abhängig von der jeweiligen Kategorie gelten unterschiedliche Vorschriften zur Verarbeitung und Vernichtung solcher Daten.
Besondere personenbezogene Daten können besonders sensibel sein und bedürfen besonderen Schutz. Dazu zählen nach Artikel 9 DSGVO z.B. religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten oder Daten zum Sexualleben.
Personenbezogene Daten und der Datenschutz
Welche Daten müssen geschützt werden? Sensible Daten wie personenbezogene Daten sind schützenswert. Deren Schutz fällt unter das Recht auf informationelle Selbstbestimmung. Das bedeutet, dass jede Person selbst darüber entscheiden darf, welche personenbezogen Daten sie von sich preisgibt und wer dazu befugt ist, diese einzusehen und zu verwenden.
Gelangen persönliche Daten in die falschen Hände, kann dies zu immensen Schäden führen.
Die Verarbeitung personenbezogener Daten
Grundsätzlich gilt, dass dir die Verarbeitung von personenbezogenen Daten ohne deren Zustimmung nicht erlaubt ist. Ebenso verhält es sich mit der Weitergabe personenbezogener Daten an Dritte. Jedoch ist die Verarbeitung personenbezogener Daten gemäß DSGVO Art. 6 unter anderem in folgenden Fällen erlaubt:
- Einwilligung der betroffenen Person
- Bei einer vertraglichen oder rechtlichen Verpflichtung
- Zum Schutz lebenswichtiger Interessen
Auch bei dem Bestehen eines sogenannten berechtigten Interesses ist es dir erlaubt, personenbezogene Daten zu verarbeiten – vorausgesetzt, die betroffene Person wird nicht in ihren Grundfreiheiten und Grundrechten maßgeblich beeinträchtigt.
Einwilligung der betroffenen Person
Auf Websites wird häufig um eine Einwilligung in z.B. Cookies und die Verarbeitung personenbezogener Daten gebeten. Die Einwilligung ist die Rechtsgrundlage, die gerne zur Verarbeitung personenbezogener Daten hergenommen wird, wenn keiner der zuvor genannten anderen Rechtsgrundlagen verwendet werden kann. Dabei muss die betroffene Person die freie Entscheidung darüber haben, ob sie einwilligt oder nicht.
Keine Einwilligung kann jedoch auch dazu führen, dass bestimmte Funktionen von z.B. einer Website nicht angeboten werden können, wenn diese auf die Verarbeitung der personenbezogenen Daten angewiesen sind. Beispielsweise kannst du in einem Kontaktformular keine Anfrage absenden, ohne, dass der von dir eingegebene Name und zugehörige Telefonnummer gespeichert werden dürfen.
Vertragliche Verpflichtung
Beim Kauf in einem Online-Shop werden personenbezogene Daten benötigt, um diesen abschließen zu können und dir z.B. das T-Shirt per Post zuzusenden.
Rechtliche Verpflichtung
Inhaber eines Unternehmens sind dazu verpflichtet, einer zuständigen Behörde gegenüber im Rahmen der Sozialversicherung personenbezogene Daten ihrer Mitarbeiter – wie das monatliche Einkommen – zur Verfügung stellen.
Schutz lebenswichtiger Interessen
Notärzte, die einen lebensbedrohlich verletzten Patienten behandeln müssen, dürfen auch ohne dessen Zustimmung auf dessen personenbezogene Daten zugreifen und in der Datenbank nach weiteren medizinischen Informationen zu suchen.
Berechtigtes Interesse
Inhaber eines Unternehmens sind dazu befugt, personenbezogene Daten ihrer Mitarbeiter zu verarbeiten, um die Sicherheit von internen IT-Systemen zu gewährleisten oder Betrug auszuschließen.
Welche personenbezogenen Daten dürfen NICHT verarbeitet werden?
Die DSGVO konkretisiert in Artikel 9, welche personenbezogenen Daten nicht verarbeitet werden dürfen:
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
☝️ Diese Regelung greift nicht, sofern mindestens einer der im vorherigen Abschnitt erläuterten Fälle zutrifft.
Wann dürfen personenbezogene Daten verarbeitet werden?
Die Grundsätze, wie personenbezogener Daten verarbeitet werden dürfen, sind in Artikel 5 der DSGVO geregelt. Hierzu zählen:
Rechtmäßigkeit und Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise verarbeitet werden. Dabei muss die Verarbeitung der Daten in einer verständlichen und nachvollziehbaren Weise erläutert werden.
Zweckbindung
Wenn du personenbezogene Daten verarbeiten möchtest, musst du den konkreten Zweck festlegen. Dieser muss eindeutig und legitim sein. Das Verarbeiten in einer nicht vereinbarten Weise ist nicht erlaubt. Es ist nicht erlaubt, den Zweck nachträglich zu ändern.
Datenminimierung
Die Verarbeitung personenbezogener Daten muss auf das für den Zweck benötigte Minimum reduziert werden.
Richtigkeit
Personenbezogene Daten müssen auf dem neuesten Stand sowie richtig sein. Alle nicht richtigen oder veralteten personenbezogenen Daten müssen gelöscht werden.
Speicherbegrenzung
Grundsätzlich ist die Speicherung personenbezogener Daten zeitlich begrenzt. Personenbezogene Daten zur Identifizierung einer Person dürfen nur solange gespeichert werden, bis sie nicht mehr benötigt werden. Anschließend müssen die Löschung der personenbezogenen Daten erfolgen. Dies gilt nicht, wenn eine gesetzliche Pflicht zur Aufbewahrung greift. In diesem Fall dürfen die Daten zwar nicht gelöscht, aber auch nicht über die bestimmte gesetzliche Pflicht hinaus verwendet werden.
Integrität und Vertraulichkeit
Es ist wichtig, personenbezogene Daten vertraulich zu behandeln. Es liegt hierbei in der Verantwortung des Verarbeitenden, konkrete Sicherheitsmaßnahmen zu ergreifen, um unbefugten Zugriff auf diese Daten zu verhindern.
Rechenschaftspflicht
Die für die Verarbeitung der Daten verantwortliche Person muss sicherstellen und Aufsichtsbehörden gegenüber nachweisen können, dass die Anforderungen der Datenschutzgrundverordnung eingehalten werden.
Manage die Verarbeitung personenbezogener Daten kinderleicht rechtskonform!
Als Betreiber einer Website bist du mit Sicherheit mehr als interessiert daran, persönliche Daten über deine Besucher zu sammeln und zu verarbeiten. Oder du setzt vielleicht unbewusst Dienste ein, die still und heimlich genau das tun oder sogar Daten ohne dein Wissen an Dritte weitergeben. Hier kannst du also schneller als du denkst den Überblick verlieren und schnell ins Spektrum des Rechtswidrigen abdriften.
In deiner Datenschutzerklärung solltest du detaillierte Informationen zu der Verarbeitung personenbezogener Daten erläutern. Des Weiteren musst du in vielen Fällen sicherstellen, dass diese Verarbeitung erst nach einer Einwilligung erfolgt.
Hierbei greifen dir sogenannte Cookie Banner gewaltig unter die Arme. Mit unserem Consent Management Plugin Real Cookie Banner für WordPress kannst du die Einwilligungen in verwendete Dienste und in die Verarbeitung personenbezogener Daten schnell und spielend einfach handhaben. Mehr als 100 bereits erstellte Vorlagen für populäre Dienste und zugehörige Content Blocker helfen dir dabei, deine Website im Einklang mit der DSGVO, der ePrivacy-Richtlinie und dem TTDSG zu managen.