Was sollte pseudonymisiert werden?1 2
Grundsätzlich gilt, dass alle personenbezogen Daten pseudonymisiert werden sollten. Personenbezogene Daten sind nach der Richtlinie 95/46/EG der Europäischen Union (im Folgenden als „Datenschutzrichtlinie“ bezeichnet) „alle Informationen über eine bestimmte oder bestimmbare natürliche Person.“ Bestimmbar ist eine Person, die direkt oder indirekt identifiziert werden kann. Dies kann durch eine Kennnummer geschehen, aber auch durch eines oder mehrere spezifische Merkmale, die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Damit wird ersichtlich, dass besonders darauf zu achten ist, nicht allein offensichtlich personenbezogene Informationen zu pseudonymisieren, sondern ebenso Informationen, die die Identifikation einer Person über sekundäre Merkmale ermöglichen können, bspw. Standorte oder Verhaltensmuster.
Allgemein formuliert zielt die Datenschutzrichtlinie darauf ab, den Schutz der Grundrechte und Grundfreiheiten von Personen, insbesondere den der Privatsphäre, in Bezug auf die Verarbeitung personenbezogener Daten zu gewährleisten.
Die Definition „personenbezogener Daten“ besteht aus vier Elementen, deren genauere Analyse aufschlussreich ist, für das Verständnis dessen, was unter „personenbezogen Daten“ zu verstehen ist. Diese vier Elemente sind:
1. alle Informationen
2. über
3. eine bestimmte oder bestimmbaren
4. natürliche Person
1. Alle Informationen
Mit der Formulierung „alle Informationen“ verweist die Datenschutzrichtlinie darauf, dass der Begriff der „personenbezogen Daten“ möglichst weit zu fassen ist, also eine großzügige Auslegung verlangt. „Personenbezogene Daten“ können somit alle Informationen über eine Person sein. Dies können objektive Informationen sein, wie die Körpergröße oder medizinische Befunde, aber auch subjektive Informationen, wie Meinungen oder Beurteilungen von und über eine Person. Beurteilungen aus Unternehmen über Kunden wie: „Titius ist ein zuverlässiger Kreditnehmer“ oder „Titius ist ein guter Arbeitnehmer und hat eine Beförderung verdient“, sind Beispiele hierfür. Dabei müssen diese Informationen nicht notwendig wahr sein, um als personenbezogene Daten zu gelten.
2. Über
Allgemein beziehen sich Information dann auf eine Person, wenn es sich um Informationen über diese Person handelt. In vielen Situationen lässt sich ein Bezug einfach herstellen. Die Informationen in Personalakten oder Krankenakten beziehen sich eindeutig auf eine bestimmte Person. Gleiches gilt für Video- oder Tonaufnahmen. Darüber hinaus existieren allerdings auch viele Situationen, in denen nicht einfach bestimmt werden kann, ob sich bestimmte Information auf eine Person beziehen. Grundsätzlich gilt für diese Fälle: „Daten beziehen sich auf eine Person, wenn sie die Identität, die Merkmale oder das Verhalten dieser Person betreffen oder wenn sie verwendet werden, um die Art festzulegen oder zu beeinflussen, in der die Person behandelt oder beurteilt wird.“3
Ein Beispiel hierfür wäre die Standortüberwachung von Taxis zur Verbesserung der Servicequalität. Auch wenn diese Überwachung allein der Qualität des Services dienen soll, kann sie indirekt Auswirkungen auf die Fahrer haben. Werden die Taxis eines Taxiunternehmens in deren Zentrale mittels GPS geortet, um jedem Kunden das ihm am nächsten befindliche Taxi zuzuweisen, wodurch Zeit und Kraftstoff gespart würde, geht es prinzipiell um die Daten der Fahrzeuge und nicht die der Fahrer. Der Zweck der Datenerhebung besteht also nicht in der Beurteilung oder Überwachung der Fahrer, ob sie die kürzesten Strecken wählen oder sich an Geschwindigkeitsbegrenzungen halten. Dennoch könnten solche Erfassung mit diesem System gemacht werden. Damit ist es grundsätzlich möglich, dass dieses Datenverarbeitungssystem erhebliche Auswirkungen auf Personen haben kann und somit die damit verbunden Daten als „personenbezogen Daten“ eingestuft werden können. Daher sollten die erhobenen Daten der Datenschutzbestimmung unterliegen.
3. Eine bestimmte oder bestimmbare
Eine natürliche Person gilt dann als „bestimmte Person“, wenn sie sich in einer Personengruppe von allen anderen Mitgliedern unterscheidet, sie also eindeutig bestimmbar ist. Befinden sich in einer Datenerhebung mehrere Personen mit dem gleichen Namen und es sind keine weiteren Informationen vorhanden, die eine Person eindeutig identifizierbar machen, gelten diese Personen somit nicht als „bestimmte Personen“, da nicht eindeutig zu bestimmen ist, auf welche natürliche Person sich der entsprechende Datensatz bezieht. Eine „bestimmbare Person“ ist in diesem Zusammenhang folglich eine natürliche Person, für die grundsätzlich die Möglichkeit besteht, ihre Identität festzustellen.
Die Datenschutzrichtlinie nennt diesbezüglich in Artikel 2 allgemeine „Kennzeichen“ für „personenbezogene Daten“. Solche Daten liegen dann vor, wenn eine natürliche Person „direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.“ Eine Person kann direkt durch ihren Namen oder indirekt durch eine Telefonnummer, ein Autokennzeichen oder eine Versicherungsnummer identifiziert werden. Ebenso ist dies aber auch möglich durch die Kombination wesentlicher Kriterien, wie der Wohnort, der Beruf oder die Altersgruppe, die eine Eingrenzung der Gruppe, zu der die Person gehört, ermöglicht. Damit zeigt sich, dass die Informationen, die für eine Identifikation benötigt werden, vom Kontext der Situation abhängen. Während ein häufig vorkommender Familienname nicht ausreichend ist, um eine Person innerhalb einer Landesbevölkerung zu identifizieren, kann dieser innerhalb einer Schulklasse durchaus genügen, um eine Person erfolgreich zu bestimmen.
Die Kategorie „indirekt bestimmte oder bestimmbare Personen“ bezieht sich also auf die Identifikation mittels einzigartiger Kombinationen. Der Umfang dieser Kombinationen spielt dabei keine Rolle. Je nach Kontext lässt sich eine Person anhand weniger Merkmale bestimmen oder es wird eine sehr große Menge davon benötigt. Auch wenn die vorhandenen Daten keinen sofortigen Rückschluss auf bestimmte Personen erlauben, können diese Personen dennoch bestimmbar sein, weil die vorhanden Informationen in Verbindung mit anderen Informationen eine eindeutige Bestimmung dieser Personen möglich machen könnten. Dabei ist es unerheblich, ob diese zusätzlichen Informationen von dem für die Verarbeitung Verantwortlichen gespeichert werden, nicht gespeichert werden oder ihm überhaupt nicht vorliegen.
„Bei der Entscheidung, ob eine Person bestimmbar ist“, so wird es in der Datenschutzrichtlinie definiert, „sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.“ Dies bedeutet, das die rein hypothetische Möglichkeit zur Identifikation einer Person nicht ausreicht, um die Person als bestimmbar anzusehen. Wenn diese Möglichkeit nicht vorhanden oder zu vernachlässigen ist, dann ist die Person nicht als „bestimmbar“ einzustufen und die entsprechenden Informationen gelten nicht als „personenbezogen Daten“. Diese Klassifizierung muss allerdings als dynamischer Prozess betrachtet werden. Was zum aktuellen Zeitpunkt, mit dem aktuellen Stand der Technik nicht möglich ist, kann zu einem späteren Zeitpunkt durchaus umsetzbar sein. Folglich sollte die potenzielle Entwicklung der technischen Möglichkeit in Bezug auf den Zeitraum, in dem die Daten gespeichert werden, mit berücksichtigt werden. Werden die Daten bspw. für einen Monat aufbewahrt und eine Identifikation ist während dieses Zeitraumes so gut wie auszuschließen, sind die Daten nicht als „personenbezogene Daten“ anzusehen. Beträgt die Aufbewahrungsdauer allerdings 10 Jahre und während dieser Zeit könnte eine Identifikation möglich werden, sollte diese Möglichkeit von der für die Verarbeitung der Daten verantwortliche Person berücksichtigt werden. Im Falle einer in der Zukunft eintretenden Möglichkeit zur Identifikation, sind die Daten ab diesem Zeitpunkt als personenbezogene Daten zu werten.
4. Natürliche Person
Die Bestimmungen der Datenschutzrichtlinie gelten für natürliche Personen. Das bedeutet, dass das Recht auf den Schutz personenbezogener Daten sich allgemein auf alle Menschen bezieht und nicht nur auf Staatsangehörige oder Bewohner eines bestimmten Landes. Eine genauere Bestimmung dessen, was eine Rechtspersönlichkeit ausmacht, findet sich im Zivilrecht der einzelnen Staaten. Im Allgemein ist damit die Fähigkeit gemeint, ein Rechtsverhältnis einzugehen, welche mit der Geburt beginnt und mit dem Tod endet. Personenbezogene Daten sind folglich Daten, die sich auf bestimmte oder bestimmbare lebende Personen beziehen.
Da man nicht in jedem Fall feststellen kann, ob eine Person tatsächlich nicht mehr lebt, sollten in der Praxis der Einfachheit halber Daten von verstorbenen so behandelt werden, wie die von lebenden Personen, anstatt beide Gruppen getrennt voneinander zu verarbeiten. Des Weiteren können sich auch Informationen über verstorbene Personen auf lebende beziehen. So können bspw. Informationen über eine erbliche Krankheit des verstorbenen Vaters Rückschlüsse auf dessen Kinder ermöglichen. Wenn sich also Informationen von verstorbenen Personen gleichzeitig auf lebende Personen beziehen und es sich dabei um personenbezogene Daten handelt, können personenbezogene Daten über verstorbene Personen indirekt unter den Schutz der Datenschutzbestimmung fallen.
Da sich die Definition „personenbezogener Daten“ grundsätzlich nur auf Menschen bezieht, d. h. auf natürliche Personen, fallen juristische Personen nicht in den Anwendungsbereich der Datenschutzrichtlinie und deren Schutz findet somit auch keine Anwendung auf sie. Eingeschränkt wird diese allgemeine Bestimmung für die Fälle, in denen die Informationen über die juristische Person einen Bezug zu einer natürlichen Person ermöglichen. In solchen Fällen sind die Daten als personenbezogene Daten anzusehen. Ein Beispiel hierfür wäre, wenn sich der Name einer juristischen Person (Name eines Unternehmens) vom Namen einer natürlichen Person ableitet.
Einige Mitgliedstaaten der EU (Italien, Österreich oder Luxemburg) haben den Geltungsbereich der Datenschutzrichtlinie auf die Verarbeitung von Informationen über juristische Personen ausgeweitet.
Wie im Fall von verstorbenen Personen kann es in der Praxis einfacher sein, alle Informationen entsprechend der Datenschutzverordnung zu verarbeiten, anstatt sie nach juristischen und natürlichen Personen zu differenzieren.
Grenzen des Anwendungsbereiches
Auch wenn die Definitionen für „personenbezogene Daten“ und „Verarbeitung“ in der Datenschutzrichtlinie absichtlich weit gefasst sind, folgt daraus nicht, dass jeder Fall, in dem es hypothetisch möglich wäre konkrete Personen zu bestimmen, auch tatsächlich ein Fall ist, für den die Bestimmungen der Datenschutzrichtlinie gilt. Solche Einschränkungen können bspw. Vorliegen, wenn die Daten nicht automatisiert und in nicht strukturierter Form verarbeitet werden. Ebenso kann der Verwendungszweck eine Einschränkung der Datenschutzrichtlinie darstellen, wenn bspw. Daten von einer natürlichen Person ausschließlich für persönliche oder familiärer Tätigkeiten verwendet werden.
Selbst wenn die Verarbeitung personenbezogener Daten in den Anwendungsbereich der Datenschutzrichtlinie fällt, sind nicht unbedingt alle darin enthaltenen Bestimmungen auf die konkrete Situation anzuwenden. Eine Reihe von Bestimmungen der Richtlinie bieten ein hohes Maß an Flexibilität, damit ein Mittelweg zwischen dem Schutz der Rechte betroffener Personen und den berechtigten Interessen der für die Verarbeitung Verantwortlichen, von Dritten und dem gegebenenfalls bestehenden öffentlichen Interesse gefunden werden kann.4
Der Datenschutz der Datenschutzrichtlinie bezieht sich folglich auf den Schutz vor Formen der Verarbeitung, die für den „leichten Zugriff auf die Daten“ und die damit einhergehenden Risiken typisch sind. Wird bspw. in einem Datenbestand der Name von Personen durch einen jeweils eindeutigen Code ersetzt (z. B. Name → X4321), besteht ein gewisses Risiko der Identifikation für den Fall, dass ein Zugang zu dem für die Verschlüsselung verwendete Schlüssel erlangt wird. Daher sind solche Möglichkeiten miteinzubeziehen. Prinzipiell kann diesbezüglich als Richtlinie die Frage gelten: „ob die Personen bestimmbar sind, wenn alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem für die Verarbeitung Verantwortlichen oder von einem Dritten eingesetzt werden“. Beispiele einer solchen Überlegung wären das Risiko eines Hacking-Angriffs, die Wahrscheinlichkeit, dass eine Person der für den Datenbestand verantwortlichen Organisation den Schlüssel preisgeben könnte oder die Machbarkeit einer indirekten Identifikation. Aus diesen Überlegungen ergibt sich dann, ob die Informationen als „personenbezogene Daten“ einzustufen sind.
Sind die Codes nicht eindeutig, sondern es wird bspw. dieselbe Codenummer für verschiedene Personen in verschiedenen Städten und für Daten aus verschiedenen Jahren verwendet (die Codierung ist also nur soweit differenziert, dass eine Unterscheidung von Personen in einem Jahr in einer Stadt möglich ist), könnten die Personen nur dann bestimmt werden, wenn man weiß, auf welches Jahr und auf welche Stadt sich die Daten beziehen. Sind diese Zusatzinformationen allerdings nicht mehr vorhanden und auch nicht mit vertretbarem Aufwand wiederherzustellen, könnten die Daten als solche angesehen werden, die sich nicht auf bestimmbare Personen beziehen und folglich würde die Datenschutzbestimmung auch keine Anwendung finden.
Wie sich gezeigt hat, gibt es Situationen, in denen Informationen nicht als „personenbezogene Daten“ einzustufen sind. Dies ist dann der Fall, wenn die Informationen keinen Bezug zu einer Person aufweisen oder die Person nicht als bestimmt oder bestimmbar anzusehen ist. Fällt die Information nicht unter die Bestimmung „personenbezogener Daten“, findet die Datenschutzrichtlinie auch keine Anwendung.
Ist die Datenschutzrichtlinie nicht anwendbar, kann es allerdings unter Umständen sein, dass innerstaatliche Datenschutzgesetze zur Anwendung kommen.
Beispiel personenbezogener Daten
Direkte und indirekte Informationen
- Name und Vorname
- Geburtsdatum oder Alter
- Geburtsort
- Privatanschrift
- E-Mail-Adresse
- Kennnummern
- Sozialversicherungsnummer
- Steueridentifikationsnummer
- Nummer bei der Krankenversicherung
- Personalausweisnummer
- Matrikelnummer
- usw.
- ethnische und kulturelle Herkunft
- politische, religiöse und philosophische Überzeugungen
- Gesundheit
- Sexualität
- Gewerkschaftszugehörigkeit
- Standortdaten
- IP-Adresse
- Cookie-Kennung
- Werbekennung Ihres Telefons
- Kreditkartendaten
- Bankdaten
- Kontonummern
- Kreditinformationen
- Kontostände
- usw.
- Besitzmerkmale
- Fahrzeug- und Immobilieneigentum
- Grundbucheintragungen
- Kfz-Kennzeichen
- Zulassungsdaten
- usw.
- Kundennummer
- Informationen die das Privat- und Familienleben im strengen Sinne berühren
- alle Arten von Aktivitäten, etwa im Zusammenhang mit Arbeitsverhältnissen, ökonomischen oder sozialem Verhalten
- biometrische Daten
- biologische Eigenschaften
- physiologische Merkmale
- Gesichtszüge
- Geschlecht
- Haut-, Haar- und Augenfarbe
- Statur
- Kleidergröße
- Fingerabdrücke
- Augennetzhaut
- Gesichtsform
- Stimme
- Handgeometrie
- Venenstruktur
- reproduzierbare Handlungen
- usw.
- spezielle Fähigkeiten oder sonstige Verhaltensmerkmale
- handgeschriebene Unterschrift
- Tastenanschlag
- charakteristische Gangart
- Sprechweise
- usw.
- Daten über Verbraucher, Patienten, Kunden, Mitarbeiter, etc.
- Informationen zu Arzneimittelrezepten
- Kennnummer des Arzneimittels
- Name
- Wirkstoffgehalt
- Hersteller
- Verkaufspreis
- neue Packung oder Nachfüllpackung
- Gründe für die Verwendung
- Gründe für den Verzicht auf Generika
- Vor- und Nachname des verordnenden Arztes
- Telefonnummer
- Ob nun in Form eines Einzelrezepts oder in Form von Mustern, die aus mehreren Rezepten erkennbar sind. Diese Informationen können, auch wenn der Patient anonym ist, als personenbezogene Daten über den das Rezept ausstellenden Arzt angesehen werden.
- usw.
- Werturteile
- Schul- und Arbeitszeugnisse
- usw.
Formate oder Träger der Informationen
- alphabetischer, numerischer, grafischer, fotografischer, akustischer oder in sonstiger Form vorliegende Informationen
- Informationen auf Papier und digitale Informationen
- Besonders Ton- und Bilddaten sind als personenbezogene Daten zu betrachten, weil sie Informationen über eine natürliche Person darstellen können.
Links
EU-Kommision → Was sind personenbezogene Daten?
EU-Kommission → Welche personenbezogenen Daten gelten als sensibel?
-
Die folgenden Informationen basieren auf der Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ der Artikel-29-Datenschutzgruppe der Europäischen Union. ↩
-
Der Text auf dieser Seite ist lediglich als Übersicht und Einführung in das Thema der „personenbezogen Daten“ und deren Schutz gedacht und ist keine rechtlich verbindliche Abhandlung. In diesem Sinne Übernimmt der Autor keinerlei Haftung und keinerlei Anspruch auf Vollständigkeit und Fehlerfreiheit. ↩
-
Arbeitspapier WP 105 der Datenschutzgruppe: Datenschutzfragen im Zusammenhang mit der RFID-Technik, angenommen am 19.1.2005, S. 9. Für ausführliche Informationen siehe Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“, S. 10ff ↩
-
Für weitere Informationen siehe: Stellungnahme 4/2007 zum Begriff „personenbezogene Daten“ der Artikel-29-Datenschutzgruppe der Europäischen Union, S. 5 ↩