BDSG a.F. Kommentare und Erläuterungen
§ 3 Weitere Begriffsbestimmungen
Absatz 1 Text
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Vorbemerkung
In § 3 sind Legaldefinitionen zu den wichtigsten gesetzlichen Begriffen zusammengestellt. Weitere Legaldefinitionen finden sich an anderen Stellen des Gesetzes. Für andere nicht weniger bedeutende und klärungsbedürftige Begriffe fehlen Legaldefinitionen, z.B. für: schutzwürdige Interessen, Merkmal, Art der Daten. Zu beachten ist, dass das BDSG eine Reihe von Begriffen anders definiert, als sie in der Umgangssprache oder in der IT-Fachsprache verwendet werden. So werden beispielsweise die Begriffe „Verarbeiten“, „Datenverarbeitung“, „Speichern“ und die weiteren Verarbeitungsphasen in Absatz 4 nicht im Sinne der Technik der automatisierten Datenverarbeitung, sondern „ungeachtet der dabei angewendeten Verfahren“, d.h. medienneutral, definiert.
Personenbezogene Daten
„Personenbezogene Daten“ ist der wichtigste und am häufigsten verwendete Begriff des BDSG. Das Gesetz verwendet den Begriff durchweg in der Mehrzahl, gilt aber auch wenn es um ein einzelnes personenbezogenes Datum geht, beispielsweise wenn eine Anschrift zu berichtigen ist.
Einzelangaben über persönliche und sachliche Verhältnisse
Personenbezogene Daten sind „Einzelangaben über persönliche oder sachliche Verhältnisse“. Die Begriffsbestimmung ist sehr weit. Sie umfasst jede Information über eine Person. Es kommt nicht darauf an,
- zu welchem Zweck die Daten erfasst worden sind,
- woher die Information stammt
- in welcher Form sie dargestellt wird (natürliche Sprache, formalisierte Sprache, maschinenlesbarer Code, Zeichensprache)
- wie die Zeichen dargestellt sind (analog, digital, numerisch, alphanumerisch)
- ob es Text- oder Bild- oder Toninformationen sind,
- ob die Information allgemein bekannt (offenkundig) ist,
- ob sie richtig oder falsch ist richtig/falsch) spielt im Prinzip keine Rolle. Nur wenn aus dem Kontext vollkommen klar ist, dass die Angaben reine Fantasie des Autors sind, fehlt es an einer Aussage über den Betroffenen.
Der Begriff „Angabe“ umfasst jede Information. Vorgänge und Prozesse in der realen Welt („Raumzeittatsachen“). So sind z.B. Spuren als solche keine Angaben, da sie nicht Elemente von Informationsprozessen sind. Aus ihnen können aber - mittels Repräsentation (Abbildung) durch Text, Ton oder Bild - Angaben hergestellt werden. Allgemein ausgedrückt: Der Datenschutz bewegt sich auf der Ebene der Information, nicht auf der der realen Außenwelt.
Der Begriff „Angaben über persönliche oder sachliche Verhältnisse einer Person“ umfasst alle Informationen, die über die Bezugsperson etwas aussagen. Neben Informationen über Intim- und Privatsphäre werden auch die berufliche und die geschäftliche Sphäre umfasst Das Gesetz kennt keine „freien Daten“. Es muss sich um die eigenen Verhältnisse des Betroffenen handeln. Daten über die Verhältnisse einer anderen Person sind grundsätzlich nur dieser zuzuordnen.
Beispiele für Angaben zu persönlichen und sachlichen Verhältnissen:
- körperliche Merkmale (Größe, Gewicht, Konfektionsmaße, Haarfarbe, Fingerabdrücke, Gesichtsausdruck, Gebärden),
- innere, geistige Zustände (Einstellungen, Motive, Wünsche, Einstellungen),
- Handlungen, Äußerungen und sonstige Verhaltensweisen (Reisen, besuchte Länder, Konsum- und Freizeitaktivitäten, ärztliche Behandlungen, Ausbildung, berufliche Tätigkeiten, Internet-Besuche, finanzielle Aktivitäten, Bezug von Leistungen),
- Werturteile,
- negative Angaben (nicht vorbestraft, Nichtschwimmer, keine Spanischkenntnisse)
- Verbindungen und Beziehungen (Verwandtschaftsverhältnisse, Freunde/Bekannte, Mitgliedschaften, Kontextinformationen bei Bild- und Tonaufnahmen),
- Namen und Namensersatzangaben (Geburtsnamen, frühere Namen, Künstler- oder Decknamen/Pseudonyme, Konto- und Kreditkartennummern, Telefonnummern, IP-Adressen, Personenkennzeichen, Kfz.- Kennzeichen, Aktenzeichen, Sozialversicherungsnummer, Ausweisnummern, Kundennummern, Personalkennzeichen, Kenn- oder Schlüsselwort, PIN, Transaktionsnummer TAN, E-Mail-Adressen, Benutzernamen, genetische Fingerabdrücke, biometrische Daten). Fehlt zu Namen oder namensähnlichen Angaben jeder Kontext, so entfällt die Eigenschaft als personenbezogene Angabe.
Unter den Begriff personenbezogene Daten fallen nur Einzelangaben.
Im Gegensatz dazu stehen zusammenfassende Angaben bzw. aggregierte Daten, Diese sind normalerweise keine personenbezogenen Daten, es sei denn, eine Angabe kann einer Person zugeordnet werden. Beispiel: Die Mitarbeiter der Betriebseinheit A hatten im Kalenderjahr x zusammen 80 Fehltage: kein personenbezogenes Datum. Sie hatten keine Fehltage, d.h. es ist ein personenbezogenes Datum, weil Einzelangabe für jeden Betroffenen.
Es müssen die Angaben von mindestens drei Personen zusammengefasst sein; bei nur zwei Angaben kann jeder Beteiligte den Wert des anderen ausrechnen. Die Zusammenfassung der Angaben von mehr als drei Personen ist erforderlich, wenn die Angaben eines Beteiligten quantitativ durchschlagen.
Wo Angaben gespeichert sind, ist für den Begriff des personenbezogenen Datums gleichgültig. Die gesetzlichen Regelungen greifen im nicht-öffentlichen Bereich freilich nur ein, wenn sie automatisiert verarbeitet oder in einer Datei gespeichert oder aus einer Datei übermittelt werden.
Natürliche Person
Personenbezogene Daten sind nur solche Angaben, die sich auf eine natürliche Person beziehen. Jeder lebende Mensch ist natürliche Person. Weder Alter noch Nationalität oder Wohnsitz spielen eine Rolle.
Ebenso wie das allgemeine Persönlichkeitsrecht nach Art.2 Abs.1 Grundgesetz (GG) enden die Rechte aus dem BDSG mit dem Tode. Daten über Verstorbene werden aber nach diversen spezialgesetzlichen Datenschutzbestimmungen, wie Arzt-, Statistik- und Steuergeheimnis, weiter geschützt. Daten eines Verstorbenen können zugleich Angaben über eine lebende Person sein; z.B. betrifft die Angabe über eine erbliche Krankheit auch die Nachkommen. Die Würde des Menschen nach Art.1 Abs.1 GG ist auch nach seinem Tode zu respektieren. Das Schutzniveau ist aber niedriger als das des BDSG.
Angaben über Ungeborene, etwa aus pränataler Diagnostik, werden nicht als deren Daten, wohl aber als Daten der Mutter vom Gesetz erfasst.
Angaben über juristische Personen und Personenmehrheiten, wie Personengesellschaften, Vereine und Gruppen werden nicht erfasst. Auch die Richtlinie 95/46/EG (EU-Datenschutzrichtlinie) verzichtet auf eine Einbeziehung. Einige Länder haben juristische Personen und/ oder Handelsgesellschaften in den Schutzbereich einbezogen. Dies erscheint aus europarechtlicher Sicht problematisch, weil das die Datenschutzrechte der mitbetroffenen natürlichen Person vermindern und weil die Harmonisierung des Binnenmarktes gestört werden kann.
Bestimmt oder bestimmbar
Das Merkmal „bestimmt oder bestimmbar“ ist Voraussetzung für die Anwendbarkeit des Bundesdatenschutzgesetzes. Ist sie nicht erfüllt, so unterliegen die Daten nicht seinem Schutz, und jedermann kann mit ihnen, was den Datenschutz betrifft, nach Belieben verfahren. Der Aspekt der Bestimmtheit oder Bestimmbarkeit betrifft die Relation zwischen den Daten und der (betroffenen) Person. Das Vorhandensein dieser Relation ist notwendige Bedingung für das Vorliegen personenbezogener Daten. Es ist aber nicht hinreichend. Hinzukommen muss stets noch ein thematischer Bezug zur Person, damit gerade sie als „betroffen“ qualifiziert werden kann. Dazu muss es um ihre, d.h. ihre eigenen Verhältnisse gehen. So können beispielsweise Angaben über die klimatischen, sozialen oder wirtschaftlichen Verhältnisse einer Stadt problemlos einer Person zugeordnet werden, die dort wohnhaft ist. Würde diese bloße Verknüpfbarkeit ausreichen, so wäre der Anwendungsbereich des Gesetzes uferlos, und die Rechte der Betroffenen würden sich gegenseitig aushöhlen.
Der Begriff der Bestimmbarkeit ist schwierig zu handhaben. Dies liegt einerseits an seiner interpretatorischen Offenheit, andererseits daran, dass Verfahren der statistischen und wissenschaftlichen Verarbeitung immer stärker in den direkt personenbezogenen Bereich des Verwaltungsvollzug und der Geschäftsabwicklung eingedrungen sind. Dabei geht es etwa um die Verbesserung von Bewertungs- und Entscheidungsprozessen durch den Einbau statistisch-empirischer Komponenten (Scoring-Verfahren, Kreditlinienmanagement, Geo-Marketing, Data Mining) und um die Entwicklung moderner ID-Management- und Verschlüsselungssysteme, die es erlauben, die Verarbeitung der klassischen (Klartext-) Identifizierungsdaten wie Namen und Anschrift von der Massenverarbeitung abzutrennen und qualifiziert zu schützen. Nicht zuletzt hält das BDSG selbst die verantwortlichen Stellen dazu an, Klartext-Identifikationen wo immer möglich durch Anonymisierung und der Pseudonymisierung zu erübrigen (§ 3a). Für weite Bereiche der Internet-Kommunikation liegt der Personenbezug nicht klar auf der Hand, weil die Akteure zunächst einmal hinter IP-Adressen und Pseudonymen verborgen sind, deren Auflösung mit Imponderabilien verbunden ist.
Bestimmt
Die Person ist bestimmt, wenn feststeht, dass sich die Angaben auf diese Person und nicht auf eine andere beziehen. Meist wird der Betroffene durch die verarbeiteten Daten bestimmt. Der Name reicht in der Regel aus, wenn die Daten nur einen bestimmten Kreis von Personen betreffen (etwa Daten in der Personalabteilung eines Kleinbetriebs). Bei Namensdoppelgängern sind weitere Angaben, wie Anschrift, Beruf oder Geburtsdatum erforderlich. Ebenso kann eine Person je nach organisatorischem Kontext allein durch eine Kennziffer oder ein Kennzeichen (Personalnummer, Sozialversicherungsnummer, Ausweisnummer, Aktenzeichen) bestimmt sein. Durch eine optische Abbildung ist der Betroffene bestimmt, wenn er durch einen Betrachter erkannt werden kann. Nicht verfremdete Bilder einer Person im Internet sind daher in der Regel als den Betroffenen bestimmend anzusehen. Werden Daten über eine anwesende Person erhoben oder sonst verarbeitet, so ergibt sich deren Bestimmtheit bereits allein aus ihrer Gegenwart; ob ihr Name oder andere Identifikationsmerkmale bekannt oder feststellbar sind, ist ohne Bedeutung (sog. handshake identification).
Bestimmbar
Ob die Person bestimmt oder nur bestimmbar ist, ist für die Anwendbarkeit des BDSG unerheblich. Dagegen ist die Grenze zwischen Bestimmbarkeit und Nichtbestimmbarkeit für die Anwendung des BDSG ausschlaggebend. Das Gesetz definiert den Begriff des Anonymisierens dahin, das Angaben
„nicht... oder nur noch mit unverhältnismäßigem Aufwand... einer... Person zugeordnet werden können“ (§ 3 Abs. 6).
Die gesetzlichen Begriffe „personenbezogen“ und „anonymisiert“ sind komplementär; sie schließen sich also gegenseitig aus. Ist eine Angabe anonymisiert, so ist sie nicht (mehr) personenbezogen. Damit sind die das „Anonymisieren“ definierenden Elemente auch für die Definition der „personenbezogenen Daten“ heranzuziehen. Ein Personenbezug fehlt daher nicht erst bei absoluter Unmöglichkeit, den Betroffenen zu bestimmen, sondern bereits dann, wenn das Risiko einer erfolgreichen Bestimmung des Betroffenen so gering ist, dass es praktisch irrelevant erscheint.
Den Aufwand differenziert das Gesetz näher als Aufwand an Zeit, Kosten und Arbeitskraft (§ 3 Abs. 6). Während die Arbeitskraft sich prinzipiell auch in Kosten ausdrücken lässt, hat der Faktor Zeit eine eigenständige Bedeutung. Ein großer Zeitbedarf (etwa für notwendige Recherchen) kann bereits für sich gesehen prohibitiv wirken; eine wirtschaftliche Betrachtung erübrigt sich dann. Erheblichen Aufwand kann die Überwindung von Zugangssicherungen bereiten. Der Aufwand ist zu dem durch die Bestimmung des Betroffenen zu erlangenden Informationswert ins Verhältnis zu setzen. An der Verhältnismäßigkeit fehlt es – und der Personenbezug ist demgemäß zu verneinen –, wenn der Aufwand den Informationswert so wesentlich übertrifft, dass man vernünftigerweise davon ausgehen kann, dass niemand den Versuch der Personenbestimmung unter Verwendung der betreffenden Daten unternehmen wird.
Zusatzwissen
Die Frage, ob gegebene Daten der Bezugsperson zugeordnet werden können, hängt entscheidend davon ab, was über sie bereits bekannt ist (sog. „Zusatzwissen“). Nach der Richtlinie 95/46/EG ist auch das Zusatzwissen Dritter von Bedeutung, jedoch nur, soweit es „vernünftigerweise“ eingesetzt werden wird. Zu veranschlagen ist daher sowohl bereits vorhandenes als auch mit nicht unverhältnismäßigem Aufwand beschaffbares Zusatzwissen.
Die Möglichkeit einer Zusammenführung von (bislang anonymen) Daten mit einem zur Personenbestimmung geeigneten Zusatzwissen führt nicht zur Bestimmbarkeit der Betroffenen, wenn gesetzliche oder vertragliche Regelungen sie verbieten und wenn deren Beachtung durch entsprechende Maßnahmen wirksam und dauerhaft mit so hoher Sicherheit gewährleistet ist, dass das Risiko einer Zusammenführung praktisch vernachlässigt werden kann.
Beinhaltet eine vertragliche Verpflichtung des Empfängers gegenüber dem Übermittler nur eine anonyme Nutzung der Daten, z.B. für statistische Auswertungen, umfasst das die Unterlassung aller Versuche der Bestimmung Betroffener mit Hilfe von Zusatzwissen. Erst hinreichend getroffene Vorkehrungen, wie etwa Kontrollen und Sanktionen, welche auch praktisch eine vertragswidrige Handlung ausschließen, rechtfertigen eine Einstufung der Daten als nicht-personenbezogen. Praktisch wichtigstes Beispiel ist die gemeinsame Nutzung eines Schlüssels oder einer Zuordnungsliste, die anonyme Pseudonyme mit echten ID-Merkmalen verknüpft, durch zwei oder mehrere Stellen, die einander zu deren Geheimhaltung vertraglich verpflichtet sind.
Relativer Personenbezug
Die Bestimmbarkeit des Betroffenen ist nicht als konstante Eigenschaft der Daten zu verstehen, sondern ist vom je gegebenen Kontext abhängt. Der Personenbezug ist relativ zu sehen. Die Relativität zeigt sich bei folgenden Fallkonstellationen.
1. Sind Daten , die einer Stelle vorliegen, personenbezogen, weil ihr zur Herstellung des Personenbezugs erforderliches Zusatzwissen zugänglich ist?
Hierbei ist das der Stelle zur Verfügung stehende oder zugängliche Zusatzwissen maßgeblich. Die Unverhältnismäßigkeit des Aufwandes ist unter Berücksichtigung der gerade für sie bestehenden alternativen Beschaffungsmöglichkeiten und des für sie bestehenden Informationswertes zu bestimmen. Auch sind die gerade für sie bestehenden rechtlichen Bindungen zugrunde zu legen. Aus besonderen Amts- oder Berufspflichten kann ein Verbot folgen, zur Personenbestimmung geeignete Zusatzinformationen zu beschaffen. So ist es etwa wissenschaftlichen Forschungseinrichtungen und ihren Beschäftigten untersagt, Betroffene zu bestimmen, wenn ihnen Datenbestände nur zur statistischen Auswertung überlassen worden sind. Entsprechend schließt das für die Anbieter von Post- oder Telekommunikationsdiensten geltende Verbot, ihnen zum Transport überlassene Daten zu verwenden, jeden Bestimmungsversuch aus. Das Gleiche gilt für Auftragsverarbeiter nach § 11 und andere Stellen und Personen, denen Daten treuhänderisch anvertraut sind. In all diesen Fällen ist bereits die auf eine Personenbestimmung gerichtete Beschaffung geeigneter Zusatzinformationen unzulässig; das Zusatzwissen ist daher grundsätzlich als (rechtlich) nicht erreichbar einzustufen.
2. Fehlt Daten, die übermittelt werden sollen, der Personenbezug, weil dem Empfänger das zur Herstellung des Personenbezugs erforderliche Zusatzwissen nicht zugänglich?
Hier kommt es darauf an, ob der Empfänger zur Identifizierung Betroffener erforderliches Zusatzwissen zur Verfügung steht. Demgemäß kommt es allein auf seine Gegebenheiten an. Wie der Personenbezug aus Sicht der übermittelnden Stelle zu beurteile ist, ist unmaßgeblich. Bei einer Übermittlung an eine unbestimmte Vielzahl von Empfängern, etwa durch Veröffentlichung, ist konsequenter Weise das durch alle möglichen Empfänger erreichbare und mit verhältnismäßigem Aufwand eine Personenbestimmung ermöglichende Zusatzwissen zu unterstellen.
Unsicherheit in Bezug auf den Personenbezug
Die Anonymität eines Datenbestandes kann in der Praxis oft nicht mit letzter Sicherheit beurteilt werden. Mit dem wachsenden technischen Potential von Angreifern (z.B. Hackern) können bislang als sicher geltende Anonymisierungsverfahren unwirksam werden. Inwieweit Zusatzwissen existiert, ob es für Empfänger der Daten verfügbar ist, welchen Aufwand sie für eine Personenbestimmung leisten müssen und ob dieser für sie, besonders im Hinblick auf alternative Beschaffungsmöglichkeiten, unverhältnismäßig ist, ist für die verantwortliche Stelle oft schwer abzuschätzen. Die Frage, ob personenbezogene Daten weitergegeben werden, ist dann ungewiss. Nimmt die verantwortliche Stelle das Risiko einer Personenbestimmung in Kauf und realisiert sich dieses später, so hat sie, wenn keine Übermittlungsbefugnis bestand, rechtswidrig personenbezogene Daten übermittelt. Das Gesetz kennt insoweit kein erlaubtes Risiko. Der verantwortlichen Stelle bleibt daher nichts anderes übrig, als vorsorglich alle Daten wie personenbezogene Daten zu behandeln.
→ § 3 BDSG a.F. Kommentar Absatz 1 Teil 1
→ § 3 BDSG a.F. Kommentar Absatz 1 Teil 2
→ § 3 BDSG a.F. Kommentar Absatz 1 Beispiele
Online-Kommentare
§ 3 BDSG a.F. Kommentar Absatz 2 →
← § 2 BDSG a.F. Kommentare § 3a BDSG a.F. Kommentare →
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.