Nach der DSGVO sind personenbezogene Daten alle identifizierbaren Informationen über eine Person definiert. Dazu können Informationen wie Name, Adresse, E-Mail-Adresse, IP-Adresse, biometrische Daten und mehr einer Person gehören.
Die DSGVO ist die weitreichendste Datenschutzgesetzgebung der Welt. Sie regelt die Erhebung, Speicherung und Vernichtung personenbezogener Daten für alle Bürgerinnen und Bürger der EU. Auch Organisationen, die geografisch außerhalb der EU ansässig sind, sind davon nicht ausgenommen. Diese übergeordnete Verordnung gilt für alle personenbezogenen Daten von EU-Bürgern.
Es gibt nur einen Bereich der Verwirrung: Was genau sind personenbezogene Daten? Und was fällt unter die DSGVO?
Schließlich führt das Versäumnis, eine ausdrückliche Zustimmung zur Erhebung personenbezogener Daten einzuholen, dazu, dass Sie die DSGVO nicht einhalten. Das kann zu Geldstrafen in zweistelliger Millionenhöhe führen.
Hier werden wir die genaue Definition von personenbezogenen Daten im Rahmen der DSGVO behandeln. Wir werden einige Beispiele vorstellen und die Auswirkungen dieser Definition erörtern.
Was sind überhaupt personenbezogene Daten?
Gemäß der DSGVO sind personenbezogene Daten definiert als:
„‚Personenbezogene Daten‘ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen.
Wenn das vage klingt, dann liegt das daran, dass es so ist.
Die DSGVO legt nicht genau fest, was als personenbezogene Daten gilt. Eine abschließende Liste gibt es nicht. Es ist rein spekulativ und basiert auf der Auslegung der DSGVO.
Die Verordnung stellt ferner klar, dass sie nur anwendbar ist, wenn eine Person direkt oder indirekt „durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind“, identifiziert werden kann.
Im Grunde genommen alles über sie. Vermutlich wurde das Gesetz absichtlich vage formuliert, um die gesamte Bandbreite der personenbezogenen Daten einzubeziehen, die erhoben werden können. Aber es macht die Nichteinhaltung der DSGVO sehr wahrscheinlich.
Beispiele für personenbezogene Daten im Rahmen der DSGVO
Es ist schwierig zu verstehen, wann und wo etwas als personenbezogene Daten gilt. Um Ihnen dabei zu helfen, finden Sie hier fünf mögliche Szenarien. Können Sie erraten, was für jeden einzelnen als personenbezogene Daten gilt?
1. Sie besitzen einen Hundesalon und möchten online expandieren. Sie erstellen eine Website, die Informationen über Internetprotokolladressen und Cookie-Kennungen sammelt. Sie haben auch ein Forum, in dem Leute über alles sprechen, was mit Hunden zu tun hat – ihr Konto ist mit der Hunderasse verknüpft, die sie besitzen.
Antwort: Hier handelt es sich bei den Cookies definitiv um personenbezogene Daten. Im Gegensatz dazu ist es die Hunderasse möglicherweise nicht, da sie nicht zur Identifizierung der betreffenden Person verwendet werden kann.
2. Sie betreiben ein Forum, auf dem Menschen anonym über ihre Lokalpolitik diskutieren. Es werden keine Informationen über den Wohnort, den Namen, das Alter oder den Beruf einer Person gemacht. Es werden nur ihre politischen Meinungen aufgeführt.
Antwort: Auch wenn die politischen Meinungen anonym abgegeben werden, gelten sie dennoch als personenbezogene Daten. Somit unterliegen sie der DSGVO.
3. Sie arbeiten für ein Online-Umfrageunternehmen. Im Rahmen Ihrer Umfrage sammeln Sie anonyme Informationen über die Kaufentscheidungen der Personen. Die Kaufentscheidungen werden in einer Datenbank gespeichert und zur Bewertung öffentlicher Trends verwendet.
Antwort: Da die Kaufinformationen bereits anonymisiert sind, dann ist die DSGVO hier nicht relevant. Die Einwilligung muss zunächst noch eingeholt werden. Danach ist aber keine weitere DSGVO-Konformität notwendig, sofern keine weiteren Informationen erhoben werden.
4. Sie erstellen eine App, mit der Benutzer mit Personen in ihrer unmittelbaren Umgebung chatten können. Die App sammelt Standortdaten und speichert die Konversation auch dann, wenn eine Person die App gelöscht hat.
Antwort: Die Standortdaten, der Inhalt der Konversation und alle weiteren Informationen im Zusammenhang mit ihrem Konto fallen unter die DSGVO. Das bedeutet, dass Zustimmung und Einhaltung unerlässlich sind. Die DSGVO schreibt aber auch vor, dass personenbezogene Daten nur so lange wie nötig aufbewahrt werden dürfen. Daher kann es sein, dass Sie nicht DSGVO-konform sind, wenn Sie die Daten lange aufbewahren, nachdem jemand die App gelöscht hat.
5. Sie erstellen eine Website, auf der Benutzer Fotos ihrer Gesichter morphen können. Auf der Website können Sie das Foto hochladen und dann das endgültige Bild herunterladen. Wenn der Benutzer jedoch die Seite verlässt, merkt sich die Website nicht mehr an zuvor hochgeladene Bilder.
Antwort: Unter normalen Umständen gilt ein Foto als personenbezogene Daten. In diesem Fall jedoch, da das Foto automatisch gelöscht wird, ist der Websitebesitzer nicht durch die DSGVO geregelt. Die DSGVO würde nur Informationen wie gesammelte Cookies abdecken.
Wie Unternehmen mit personenbezogenen Daten umgehen können
Nach der DSGVO ist es für Unternehmen von entscheidender Bedeutung, mit personenbezogenen Daten sorgfältig und sorgfältig umzugehen. Verstöße gegen die DSGVO können hohe Geldstrafen oder sogar rechtliche Schritte nach sich ziehen.
Es gibt zwei Möglichkeiten, dies zu verhindern:
- Anonymisierung
- Pseudonymisierung
Anonymisierung wird von jedem allgemein verstanden. Hierbei werden jegliche personenbezogenen Daten entfernt oder verschlüsselt, um eine einfache Identifizierung der beteiligten Personen zu verhindern. Besonders nützlich ist die Verschlüsselung, da sie es ermöglicht, persönliche Daten durch andere Daten zu ersetzen.
Auf diese Weise können personenbezogene Daten problemlos übertragen oder verwendet werden, ohne sich erhebliche Sorgen über die Auswirkungen einer Datenschutzverletzung machen zu müssen.
Ähnlich funktioniert die Pseudonymisierung . Sie ermöglicht es, personenbezogene Daten durch „künstliche Identifikatoren“ zu ersetzen. Dies ermöglicht es Unternehmen, die gesammelten Daten zu analysieren, ohne eine Datenschutzverletzung zu riskieren, und bleibt innerhalb der Parameter der Nutzereinwilligung.
Hier sind einige Beispiele für Pseudonymisierung:
- Ein Benutzername in einem Online-Forum (anstelle des offiziellen Namens)
- Ein Unternehmen, das die Käufe von Nutzern analysiert, generiert nach dem Zufallsprinzip Pseudonyme und gefälschte Adressdaten
- In einer klinischen Studie erhält ein Proband anstelle seines Namens eine „Studiennummer“
Schlussfolgerung
Das ist unsere vollständige Aufschlüsselung dessen, was im Rahmen der DSGVO als personenbezogene Daten gilt. Wenn Sie ein Online-Geschäft betreiben oder routinemäßig personenbezogene Daten sammeln, sind Sie wahrscheinlich von der DSGVO betroffen. Daher ist es wichtig, sich über die einschlägigen Gesetze im Klaren zu sein und zu wissen, wie Sie die Vorschriften einhalten können.
Wenn Sie der Meinung sind, dass Sie von der DSGVO betroffen sind, empfehlen wir Ihnen, die 88-seitige Verordnung selbst zu lesen.
Quellen:
https://www.ucl.ac.uk/data-protection/guidance-staff-students-and-researchers/practical-data-protection-guidance-notices/anonymisation-and#Pseudonymisation
https://www.gdpreu.org/the-regulation/key-concepts/personal-data/
https://www.british-assessment.co.uk/insights/what-is-personal-data-under-gdpr/
https://www.itgovernance.eu/blog/en/the-gdpr-what-exactly-is-personal-data
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/what-is-personal-data/
https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp