Das Datenschutzrecht enthält die Regelungen, unter welchen Bedingungen persönliche (personenbezogene) Daten verarbeitet werden können. Personenbezogenen Daten sollen nur aufgrund einer bestimmten Rechtsgrundlage verarbeitet werden und es müssen dabei weitere Bedingungen berücksichtigt werden. Damit soll die Privatsphäre und das Interesse einer Person an der Geheimhaltung ihrer Daten geschützt werden.
Unter personenbezogenen Daten versteht man nicht nur Daten im engeren Sinn (z. B. Name, Geburtsdatum, Telefonnummer usw.), sondern auch andere Informationen über eine Person (z. B. Charaktereigenschaften, verbale Beurteilungen einer Arbeitskraft, Prognose der Zahlungsfähigkeit einer Person usw.). Aber auch Tonaufnahmen oder digitale Fotos, auf denen die Person abgebildet ist, gelten als personenbezogene Daten. Daten unterliegen aber immer nur dann dem Datenschutzrecht, wenn sie sich auf eine bestimmte oder bestimmbare Person beziehen bzw. zurückführen lassen. Rein statistische Daten, die nichts über eine bestimmte Person aussagen, sind keine personenbezogenen Daten und unterliegen nicht dem Datenschutzrecht.
Beispiel: Die Aussagen „402 Personen starben im Jahr 2023 in einem Verkehrsunfall“ oder „50,4% der weiblichen Studierenden in Österreich haben einen Nebenjob“ enthält keine personenbezogenen Daten, weil sie keine Information über eine bestimmte Person enthält.
Ob sich Daten einer bestimmten Person zuordnen lassen, ist eine äußerst komplexe Frage. Daten müssen einem Namen zugeordnet sein, um als personenbezogene Daten zu gelten. Es reicht, wenn die Person, auf die sich Daten oder Informationen beziehen, für die Datenverarbeitung Verantwortlichen zumindest bestimmbar sind.
Umstritten ist, ob auch die Identifizierungsmöglichkeit einer anderen Person miteinbezogen muss (absoluter vs. relativer Personenbezug, vgl. EuG T-557/20). Es ist darauf abzustellen, ob es für den Verantwortlichen mit einem vertretbaren und rechtlich zulässigen Aufwand möglich ist, die natürliche Person direkt oder indirekt zu identifizieren (DSB 31.10.2018, DSB-D123.076/0003.DSB/2018). Dabei sind auch absehbare technologische Entwicklungen zu berücksichtigen, die eine Kombination von Datensätzen (z. B. Mitglied des Schützenvereins Hohenems und wohnhaft in der Postgasse 10) ermöglichen und auf diese Weise eine Identifizierung ermöglichen.
Beispiel: Dynamischen IP-Adressen können dann als personenbezogene Daten gelten, wenn der Verantwortliche (z. B. ein Webseiten-Betreiber) rechtliche Möglichkeiten hat, um die Person hinter der dynamischen IP-Adresse mit Hilfe Dritter bestimmen zu lassen (vgl EuGH C-582/14 Breyer). Google wird eine dynamische IP-Adresse oft auf eine Person zurückführen können (z. B. bei gleichzeitigem Login in das Google-Konto), sodass eine dynamische IP-Adresse für Google ein personenbezogenes Datum darstellt und nur nach Datenschutzregeln verarbeitet werden darf.
Manchmal ist die Rede von pseudonymen oder anonymen Daten. Bei der Pseudonymisierung wird der Name der betroffenen Person (oder ein anderes Identifikationsmerkmal) durch ein Pseudonym (zumeist ein Code, bestehend aus einer Buchstaben- oder Zahlenkombination) ersetzt. Eine solche Pseudonymisierung erfolgt oft bei medizinischen Studien, damit die (sensiblen) medizinischen Daten der Testpersonen bzw. Patienten besser geschützt sind. Dabei bleibt aber ein Schlüssel zur Verknüpfung zwischen dem Pseudonym (Code) und der betroffenen Person erhalten (und sicher verwahrt). Pseudonymisierte Daten sind trotz Pseudonymisierung immer noch personenbezogene Daten, da der Personenbezug wiederhergestellt werden kann. Damit unterliegen pseudonymisierte Daten auch dem Datenschutzrecht. Im Gegensatz dazu wird bei der Anonymisierung die Zuordnung der Daten zu den Personen unwiderruflich gekappt, sodass diese Daten nicht mehr einer Person zugeordnet werden können. Eine vollständige Anonymisierung ist technisch sehr schwer sicherzustellen.
Unter sensiblen Daten versteht man personenbezogene Daten, die besonders geschützt sind. Zu diesen „besonderen Kategorien personenbezogener Daten“ zählen nach Art 9 DSGVO folgende Arten von personenbezogenen Daten:
Die Verarbeitung dieser Daten ist grundsätzlich untersagt und nur in bestimmten Fällen zulässig, z. B. aufgrund einer aufgrund einer ausdrücklichen Einwilligung zum Zweck einer medizinischen Behandlung. Der Verantwortliche darf aber sich – im Unterschied zu herkömmlichen personenbezogenen Daten – aber jedenfalls nicht auf berechtigte Interessen stützen, um eine Verarbeitung dieser Daten zu rechtfertigen.
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?
Letzte Änderung: 14.05.2024