Personenbezogene Daten sind kurz gesagt alle Informationen, die uns zu Individuen machen, also zu einzigartigen Menschen. Wer im Besitz vieler Informationen zu einem anderen Menschen ist, kann diese Person beeinflussen oder im schlimmsten Fall sogar bewusst steuern. Wer Angst davor haben muss, dass andere Personen zu viel von ihm wissen, der verhält sich auch von sich aus nicht mehr natürlich – seine Persönlichkeitsrechte sind dann stark eingeschränkt (siehe hierzu auch das „Volkszählungsurteil“ des BVerfG). Das ist der Grund, weshalb es mit der europäischen Datenschutzgrundverordnung (DSGVO) und dem deutschen Bundesdatenschutzgesetz (BDSG) sowohl internationale als auch nationale große Gesetzeswerke gibt, die diese Daten und ihre Besitzer – also letztlich jeden Einzelnen von uns – schützen sollen. Wer unberechtigt oder aus dem falschen Grund heraus personenbezogene Daten anderer Menschen verarbeitet, verletzt deren Grundrechte.

Was gilt für personenbezogene Daten?

Für personenbezogene Daten gilt:

Es handelt sich um Informationen über eine natürliche Person (also einen Menschen), nicht über eine juristische Person (z.B. über ein Unternehmen).

Die Informationen identifizieren eine Person oder machen sie identifizierbar.

Personenbezogene Daten sind ein elementares Gut, ihr Schutz ist ein Grundrecht.

Ist eine Person mit Hilfe eines personenbezogenen Datums sofort genau auszumachen, so wird sie damit (direkt) identifiziert. Braucht man zusätzlich zum personenbezogenen Datum noch weitere Informationen, so wird die Person (indirekt) identifizierbar. Ein Beispiel: Der Name identifiziert eine Person direkt, die IP-Adresse eines Computers kann eine Person identifizierbar machen, weil der Internet-Anbieter weiß, welchem Anschluss die IP-Adresse zu einem bestimmten Zeitpunkt zugeteilt war. Entscheidend ist also nicht, dass man selbst sofort auf eine bestimmte Person schließen kann, sondern nur, dass es grundsätzlich möglich ist. Daraus ergibt sich eine wichtige Konsequenz: Sehr viele Informationen können personenbezogene Daten sein! Manche sind offensichtlich wie Name, Adresse, Telefonnummer, E-Mail-Adresse etc., andere weniger, wie z.B. Kaufverhalten (wann kaufe ich was wo ein?), Kreditlinie oder eben auch eine IP-Adresse.

Nutzung personenbezogener Daten

Man darf personenbezogene Daten anderer Personen grundsätzlich nicht nutzen, also in irgendeiner Form verarbeiten, es sei denn, dass es einen Tatbestand gibt, der die Nutzung rechtfertigt (= Verbot mit Erlaubnisvorbehalt). Diese Ausnahmen sind:

  • die (freiwillige und informierte!) Einwilligung der betroffenen Person
  • Notwendigkeit der Datenverarbeitung für eine Vertragserfüllung
  • gesetzliche Vorgaben, eine rechtliche oder hoheitliche Verpflichtung oder der Schutz lebenswichtiger Interessen
  • ein berechtigtes Interesse seitens des Verarbeiters, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen

So ist es z.B. aktuell aufgrund der Corona-Pandemie zulässig, dass man in Restaurants und ähnlichen Orten Anwesenheitsprotokolle ausfüllen muss, weil es im Interesse des Gemeinwesens ist. Zugleich aber ist es unzulässig, unaufgefordert E-Mails an Personen zu verschicken, wenn diese nicht vorab explizit dem Versand zugestimmt haben. Auch Cookie-Banner, in denen mehr als notwendige Cookies ohne Zutun des Anwenders aktiviert sind, sind unzulässig (und Websites ohne Cookie Banner sowieso).

Die Nutzung der Daten hat zweckgebunden zu erfolgen, man darf also nicht Daten, die man für Zweck A erhoben hat, ohne Erlaubnis für Zweck B benutzen. Eine Einwilligung zur Datennutzung darf nicht „erpresst“ werden, da sie dann nicht freiwillig erfolgt. Auch darf man keine Kopplung mit einem anderen Zweck oder einer anderen Aktion erzwingen (Kopplungsverbot).