Christian Szidzek - Datenschutzgrundverordnung für Dummies

In den meisten Fällen können personenbezogene Daten direkt einer bestimmten Person zugeordnet werden. Es gibt jedoch auch Fälle, in denen das nicht so ohne Weiteres der Fall ist. Denken Sie dabei etwa an Ihr Autokennzeichen, hinter dem Sie sich als Halter verbergen. Nur weil jemand Ihr Kennzeichen kennt, weiß er noch lange nicht, wer Sie sind. Oder an Ihre Steuernummer. Keine Sorge, Sie müssen nicht gleich zucken, nur weil das Wort Steuern auftaucht, hier sind Sie sicher! Immerhin geht es in diesem Buch um Datenschutz. Andere Beispiele für personenbezogene Daten, die einer bestimmbaren Person zugeordnet werden können, sind zum Beispiel Mitarbeiterkennziffern bei der Lohnbuchhaltung oder Kundennummern. In all den Fällen also, in denen die Person nur dann bestimmt werden kann, wenn zusätzliche Informationen herangezogen werden, handelt es sich um Daten einer bestimmbaren Person. Die DSGVO bezeichnet solche Daten auch als pseudonymisierte personenbezogene Daten.

Der Pseudonymisierung kommt in der DSGVO eine besondere Bedeutung zu. In Art. 32 Abs. 1 a) DSGVO, der die Anforderungen an die Sicherheit von Datenverarbeitungen definiert, steht die Pseudonymisierung neben der Verschlüsselung als Schutzmaßnahme an erster Stelle. Wo immer möglich, sollte also versucht werden, personenbezogene Daten zu pseudonymisieren, wenn nicht gar zu anonymisieren . Zur Anonymisierung gleich mehr. Die Pseudonymisierung wird in Art. 4 Nr. 5 gesetzlich definiert. Lesen Sie gerne dort noch einmal nach.

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Typische Beispiele für pseudonymisierte Daten sind zum Beispiel die Personalnummer. In dem Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz (kostenlos im Internet abrufbar: https://www.gdd.de/downloads/whitepaper-zur-pseudonymisierung)werden die Rahmenbedingungen einer solchen DSGVO-konformen Pseudonymisierung, mögliche Verfahren und technisch-organisatorische Anforderungen sowie verschiedene Anwendungsszenarien ausführlich beschrieben.

Anonymisierte Daten sind vom Anwendungsbereich der DSGVO generell ausgenommen. Darunter sind solche Informationen zu verstehen, die so verändert sind, dass die betroffene Person nicht mehr identifizierbar ist. Eine Möglichkeit, Daten zu anonymisieren, besteht darin, Einzelangaben aus Datenbeständen herauszufiltern. So könnten etwa aus dem noch konkret zuzuordnenden Datenbestand Name, Anschrift, Familienstand, Alter zur statistischen Verwendung alle Angaben gelöscht werden bis auf den Familienstand, wollte man zum Beispiel wissen, wie viele ledige Personen in einem bestimmten Ortsteil leben. Man kennt dann zwar die Zahl der Verheirateten und Ledigen, aber kann diese nicht mehr den dahinterstehenden Personen zuordnen. Maßgebend ist, dass die Daten derart verändert werden, dass diese nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten Person wieder zugeordnet werden können. Das würde bedeuten, die ursprünglich erfolgte Datenerhebung neu durchführen zu müssen. Damit kommt dem Aufwand der Re-Identifizierung eine entscheidende Bedeutung bei der Beurteilung zu, ob es sich um ein anonymisiertes Datum handelt oder nicht. Wann die Daten so verändert sind, dass der Re-Identifizierungsaufwand unverhältnismäßig hoch ist, ist nicht immer leicht zu bestimmen. Laut Erwägungsgrund 26 sollen zur Ermittlung dabei objektive Kriterien herangezogen werden, wie etwa die Kosten und der Zeitaufwand einer Re-Identifizierung unter Berücksichtigung der jeweils aktuell verfügbaren Technologie. Was ein Erwägungsgrund ist, können Sie noch einmal nachlesen in Kapitel 1 Ein Monster namens DSGVO unter der Überschrift Erwägungsgründe .

In verschiedenen Dokumenten, die bei der Verarbeitung personenbezogener Daten erzeugt werden müssen, ist es nicht erforderlich alle einzelnen Datenfelder konkret zu benennen. Sie können dort allgemeine Angaben machen und lediglich Kategorien von Daten oder von Betroffenen angeben. Das ist zum Beispiel der Fall, wenn Sie eine Übersicht über Verarbeitungstätigkeiten nach Art. 30 erstellen müssen oder Ihren Datenverarbeitungsopfern Datenschutzinformationen nach Art. 13 zur Verfügung stellen wollen.

Sie können im Rahmen Ihrer Dokumentationspflichten im Datenschutz, die Sie später in diesem Buch noch kennenlernen werden, einzelne Datenfelder angeben, wie zum Beispiel: Wohnort, Postleitzahl, Straße und Hausnummer als Daten, die Sie verarbeiten. Das ist präzise und dagegen ist nichts einzuwenden. Sie können diese Datenfelder aber auch unter einem Oberbegriff clustern und einfach nur Kategorien angeben, wie Adressdaten . Das erleichtert das Leben ein wenig und ist zulässig.

Stammdaten (Name, Adresse, Kunde, Nummer, Kontaktdaten etc.)

Adressdaten

Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer, Fax-Nummer)

Bestell-, Kauf-, Nutzungs-Historie

Abrechnungs-, Rechnungs-, Zahlungsdaten

Verhaltensdaten

Ortungsdaten (zum Beispiel GPS)

Daten zu strafrechtlichen Verurteilungen und Verstößen

Persönliche Kennziffern (Sozialversicherungsnummer, Führerscheinnummer u. a.)

Bank- und Kreditkarten-Daten

… und viele mehr

Bei der Angabe derjenigen, die Sie einer Datenverarbeitung unterziehen, genügt es in offiziellen Dokumenten ebenfalls, lediglich Kategorien dieser Betroffenen anzugeben. Hier können Sie mit folgenden Begriffen arbeiten:

Bewerber

Beschäftigte

Externe Mitarbeiter

Lieferanten

Dienstleister

Kunden

Interessenten

Gesellschafter

Kooperationspartner

Patienten

Mollusken

… und was Ihnen sonst noch einfällt

Sie haben jetzt erfahren, was Datenschützer unter personenbezogenen Daten verstehen. Nicht, dass im Datenschutz nicht alle personenbezogenen Daten ohnehin schon schützenswert sind. Es gibt indes personenbezogene Daten, die sozusagen »gleicher sind als andere«, um es mit den Worten George Orwells in dessen Werk Animal Farm zu formulieren. Wir wissen an dieser Stelle nicht, was Ihr Name oder Ihr Geburtsdatum dazu sagt, aber die DSGVO betrachtet bestimmte sogenannte besondere Kategorien personenbezogener Daten als noch schützenswerter als Ihren Namen oder Ihr Geburtsdatum. Welche Daten unter die besonderen Kategorien fallen, ist dabei in Art. 9 Abs. 1 DSGVO geregelt. Und das sind die folgenden Daten.

Besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO:

Angaben über die rassische und ethnische Herkunft

Angaben über politische Meinungen

Angaben über religiöse oder weltanschauliche Überzeugungen

Angaben zur Gewerkschaftszugehörigkeit

Genetische Informationen

Biometrische Informationen

Angaben zur Gesundheit

Informationen zum Sexualleben oder der sexuellen Orientierung