Biographie
Corinna Zürn betreut im Datenschutz-Team als externe Datenschutzbeauftragte die Datenschutzbelange zahlreicher Kunden aus verschiedenen Branchen. Zudem ist sie interne Datenschutzbeauftragte der audius Gruppe.
Normaler Abstand nach oben
Normaler Abstand nach unten
Das kleine Wörtchen „personenbezogen“ ist bei Datenschützern allgegenwärtig und der Dreh- und Angelpunkt der (Datenschutz-)Welt – quasi für den Datenschutzbeauftragten wie die Luft zum Atmen. Doch ist für andere Akteure der Datenverarbeitung die Definition des Begriffes „personenbezogen“ nicht immer klar und deutlich. Etwa für denjenigen, der die Daten verarbeiten möchte oder muss oder auch für den Betroffenen, dessen Daten verarbeitet werden,
Die Datenschutzgrundverordnung spricht hier von Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Man spricht hier auch von bestimmte oder bestimmbare Person. Hierzu gehören etwa der Name einer Person, das Geburtsdatum oder eine Adresse, aber auch Telefon- oder Personalnummern usw.
Ein Foto beinhaltet jede Menge personenbezogene Daten, die eine Identifizierung eindeutig machen: Haar-, Augen- und Hautfarbe, Geschlecht, Größe und Statur zum Beispiel. Kleider- oder Schuhgrößen gehören hier auch dazu. Fotos oder gar Videos können unter bestimmten Umständen auch sensiblere Daten enthalten, etwa Daten, die auf Krankheiten oder Beeinträchtigungen hinweisen oder Merkmale, die auf politische Gesinnung oder ethnische Herkunft schließen lassen. Diese sensiblen Daten gehören zu den besonderen Kategorien von personenbezogenen Daten und sind laut der DSGVO besonders schützenswert.
Schwieriger zu erkennen sind dagegen Daten, die nur indirekt auf eine Person hinweisen. Dies ist der Fall, wenn ich zur eindeutigen Bestimmung der Person noch eine oder mehrere Informationen benötige. Dazu gehört die Zuordnung von Kennnummern zu einem Namen. Solche Nummern können die Sozialversicherungsnummer oder die Personalausweisnummer, aber auch die Personalnummer, eine Nutzerkennung eines Computers oder einer Maschine oder ganz simpel die Telefonnummer oder das Autokennzeichen sein. In der digitalen Onlinewelt ist es wichtig sich bewusst zu machen, dass auch die IP-Adresse, Cookies oder Standortdaten personenbezogene Daten sind. Gerade diese Daten sind es, die durch ein sehr großes Aufkommen im Netz ein sehr genaues Profil einer Person ergeben, zu der man dann einen sehr genauen Bezug herstellen kann, auch wenn eine IP-Adresse etwa nur mit einem hohen Aufwand einer direkten Person zugeordnet werden kann, vom Internetzugangsanbieter einmal abgesehen.
Oft gilt die Meinung, dass geschäftliche Kontaktdaten von Ansprechpartnern nicht der DSGVO unterliegen, da es sich hier um Informationen handele, die ohnehin sehr vielen Personen oder sogar öffentlich bekannt seien. Tatsächlich birgt die Verarbeitung solcher Daten kein besonders hohes Risiko, dennoch fällt die Verarbeitung dieser personenbezogenen Daten unter die DSGVO und benötigen entsprechend eine Rechtsgrundlage. Da diese Daten sehr, sehr häufig eine Rechtsgrundlage haben, die im Geschäftsumfeld nicht immer bewusst wahrgenommen wird, entsteht dieser Eindruck. Visitenkarten oder auf Websites veröffentlichte (Geschäfts-)Kontakte mit dem Zweck diese für Email-Korrespondenz oder Telefonkontakt zu nutzen stützen sich entweder auf die Rechtsgrundlage von Artikel 6 Abs. 1 lit. b der Erfüllung eines Vertrags oder der Durchführung vorvertraglicher Maßnahmen oder eben auch einer „konkludenten“ Einwilligung der betroffenen Person. Wenn diese Person ihre Kontaktdaten auf einer Website veröffentlicht oder auf einer Messe beispielsweise Ihre Visitenkarte übergibt oder auslegt, so kann davon ausgegangen werden, dass sie die Nutzung wünscht und ihr zustimmt. Hier kann von einer (konkludenten) Einwilligung laut Artikel 6 Abs. 1 lit. a ausgegangen werden.
