Personenbezogene Daten

Nach der Definition des Art. 4 Ziff. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, wenn sie direkt oder indirekt, insbesondere durch die in Art. 4 Ziff. 1 DSGVO genannten Identifizierungsmerkmale identifiziert werden kann. Klaren Personenbezug haben beispielsweise Name, Anschrift, Telefonnummer oder auch das Aussehen einer natürlichen Person. Um personenbezogene Daten handelt es sich aber z. B. auch bei der IP-Adresse, bei Aufzeichnungen über die Arbeitszeiten, beim Autokennzeichen oder bei Kontodaten. Bei diesen Arten von Daten ist der Personenbezug herstellbar, weil ein Dritter oder mehrere Stellen zusammen die Identifikation herstellen können. Insoweit hat z.B. der Internet Provider die Möglichkeit einer IP-Adresse eine konkrete Person zuzuordnen.
Nach Absatz 26 der Erwägungsgründe zur DSGVO sollen, um festzustellen, ob eine Person identifizierbar ist, alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einem Dritten “nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren”. Bei der Beurteilung, ob Mittel im vorgenannten Sinne vorliegen, sind alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand heranzuziehen, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technik zu berücksichtigen ist. Bei anonymisierten Daten ist die betroffene Person nicht identifizierbar, diese Daten zählen also nicht zu personenbezogenen Daten (z.B. Wahlunterlagen). Pseudonymisierte Daten können demgegenüber Personenbezug haben und zwar dann, wenn Zusatzinformationen/-wissen vorliegt, mit dessen Hilfe die Daten wieder einer natürlichen Person zugeordnet werden können.