Mythos 1: Personenbezogene Daten

In der Blog-Reihe "7 Mythen und Märchen über die DSGVO" klären wir die 7 häufigsten Missverständnisse. Einer der Schlüsselbegriffe in der Datenschutz-Grundverordnung (DSGVO) ist "personenbezogene Daten". Es gibt oft Missverständnisse über dieses Konzept. Es geht nicht nur um Namen, sondern auch um datenschutzrelevante Informationen. In diesem Blog erklären wir dir, was es mit personenbezogenen Daten auf sich hat.

Wer ist der Glatzkopf mit dem roten Spitzbart?

Kennen wir ihn noch? Die Rede ist von Bill aus dem klassischen Kinderspiel "Wer ist es?". Das Spiel wird mit zwei Spielern gespielt. Jeder Spieler hat ein Spielbrett mit 24 Bildern von Porträts von Personen, die eingeklappt werden können. Die Personen auf jeder Karte haben unterschiedliche Eigenschaften. Es gibt mehrere Versionen von jeder Eigenschaft auf dem Spielbrett (z.B. ein paar Leute mit Brille, ein Paar mit roten Haaren, einige mit Schnurrbart, usw.), aber letztendlich sind alle Bilder einzigartig. Unterhalb der Porträts befindet sich der Name der Person. Jeder Spieler hält eine Karte für eine bestimmte Person, die sich ebenfalls auf dem Spielbrett befindet. Ziel ist es, die Identität der Person auf der Karte des Gegners herauszufinden. Dies geschieht durch das Stellen von geschlossenen Fragen über die Person ("Ist deine Person glatzköpfig, hat deine Person eine Brille," usw.)? Als Kind hatten wir es noch nicht kapiert; aber was wir hier gemacht haben, war, persönliche Daten zu kombinieren, um jemanden zu identifizieren (Mann + Glatze + roter Spitzbart = Bill).

Der Irrtum

Es ist ein Missverständnis, dass personenbezogene Daten nur Namen oder sensible Informationen betreffen. “Personenbezogene Daten" ist ein sehr weit gefasster Begriff. Viele der Antworten auf die geschlossenen Fragen, die wir uns gegenseitig in "Wer ist es?" stellen, sind personenbezogene Daten (Geschlecht, Vorhandensein/Abwesenheit von Haaren, Haarfarbe, Augenfarbe, Auffäligkeit an den Augen (Brille?)). Denn durch die Kombination dieser Informationen können wir eine Person identifizieren. Im Spiel nutzen wir vor allem die äußeren Eigenschaften der Personen. Der Begriff der personenbezogenen Daten umfasst aber noch viel mehr Daten, nämlich, wie von der DSGVO definiert: alle Informationen über eine identifizierte oder identifizierbare natürliche Person.

Identifizierbar

Um festzustellen, ob eine natürliche Person "identifizierbar" ist, sind alle angemessenen Mittel zu berücksichtigen, die dem für die Verarbeitung Verantwortlichen oder einer anderen Person zur Verfügung stehen, um die natürliche Person direkt oder indirekt zu identifizieren. Eine Information kann helfen, jemanden direkt zu identifizieren, z.B. über den Vor- und Nachnamen einer Person; oder eine Information kann helfen, jemanden indirekt zu identifizieren, z.B. über eine Mitgliedsnummer eines Sportvereins. Es ist nicht erforderlich, dass der für die Verarbeitung Verantwortliche die betroffene Person mit den Informationen effektiv identifizieren kann. Die Tatsache, dass jemand anderes dies tun kann, bedeutet, dass die Informationen als personenbezogene Daten betrachtet werden. Beispiel: eine Mitgliedsnummer eines Sportvereins. Nicht jeder kann eine Person mit dieser Nummer identifizieren. Dazu bedarf es weiterer Informationen des Vereins: Welche Mitgliedsnummer gehört zu welchem Namen? Diese Informationen sind nicht für jedermann zugänglich. Die Tatsache, dass jemand anderes (ein Mitglied des Sportvereins) Zugang zu dieser Datenbank hat - und die Verknüpfung zwischen Mitgliedsnummer und Name herstellen kann - bedeutet jedoch, dass eine Mitgliedsnummer eine persönliche Information ist.

Name nicht nötig

Um jemanden zu identifizieren, ist es nicht notwendig, seinen oder ihren Namen zu kennen. Eine Person kann auch identifiziert werden durch z.B. die Kombination von ihrem Standort und einem anderen persönlichen Merkmal ("der älteste Mann des Dorfes") oder durch andere Merkmale wie äußere, soziale oder kulturelle Merkmale und ob sie zu einer bestimmten Gruppe gehört oder nicht gehört ("der Junge aus dem Hockeyclub mit lila Haaren").

Vernünftige Mittel

Um festzustellen, ob jemand identifizierbar ist, wird geprüft, ob die Identifizierung vernünftigerweise für den Verantwortlichen oder eine andere Person vernünftigerweise möglich erscheint. Es wird dann überlegt, welche Mittel sinnvollerweise eingesetzt werden könnten. Um festzustellen, was als "vernünftige Mittel" anzusehen ist, müssen alle möglichen Faktoren berücksichtigt werden, wie z.B. die Kosten, der Zeitaufwand für die Identifizierung, die zum Zeitpunkt der Identifizierung verfügbare Technologie, aber auch zukünftige technologische Entwicklungen.

Anonymisierte Daten

Die DSGVO gilt nicht für anonymisierte Daten. Die Anonymisierung ist der Prozess, bei dem personenbezogene Daten für Identifikationszwecke unbrauchbar gemacht werden; die Daten sind daher keine personenbezogenen Daten mehr und daher findet die DSGVO keine Anwendung. Bei der Anonymisierung geht es nicht nur darum, Namen oder Kontaktdaten aus einem Datensatz auszulassen, denn es handelt sich bei "Kunde 33" oder "Student s8496969623" immer noch um personenbezogene Daten. Wirklich anonyme Daten können erstens durch Aggregation gewonnen werden. Dabei werden Daten zu Informationen zusammengeführt, wie z.B.: Der durchschnittliche Patient mit der Erkrankung X ist zwischen 60 und 70 Jahre alt. Eine weitere Methode ist die Randomisierung. In diesem Fall werden bestimmte Informationen in einem Datensatz durch zufällige Informationen ersetzt. So können z.B. innerhalb einer Gruppe von Untersuchungsteilnehmern das Geburtsjahr und der Wohnort nach dem Zufallsprinzip geändert werden. Wenn das Alter für die Studie relevant ist, kann die Teilnehmergruppe in verschiedene Altersgruppen eingeteilt werden. Dann kann das Alter eines Teilnehmers durch das Alter einer anderen Person aus der gleichen Altersgruppe ersetzt werden. Auf diese Weise kann man eine Aussage über die Gruppe der Teilnehmer einer bestimmten Altersgruppe treffen, jedoch nicht auf individueller Ebene. Betrachtet man einen Einzelfall, so ist die Identität des Teilnehmers aufgrund seines Alters nicht mehr leicht nachzuvollziehen.

Neben personenbezogenen Daten und anonymisierten Daten gibt es auch pseudonymisierte Daten. Dieses zweite Thema wird als nächstes behandelt. Wir werden auch die folgenden Themen besprechen:

  • Aufzeichnung der Verarbeitungstätigkeiten
  • Datenschutzbeauftragter (DSB)
  • Datenschutz-Folgenabschätzung (Privacy Impact Assessment - PIA)
  • Vereinbarungen
  • Einwilligung

Du willst Klarheit darüber, was die DSGVO genau für deine Organisation bedeutet? Dann wirf in den nächsten Wochen einen Blick auf unsere Blog-Seite und lese/lerne, wie du Irrtümer über die DSGVO ausräumen kannst.

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company