Immer wieder kommt es bei der Identifizierung dieser
Daten zu Fragen und Missverständnissen.
Die Sache wird ein wenig klarer, wenn man nun zwei
Begriffe zugrunde legt, nämlich wie schon erwähnt die personenbezogenen Daten
und die personenbeziehbaren Daten.
Wie unterscheidet man aber nun beide Begriffe von einander
?
Die Antwort findet man im § 3 (1) Bundesdatenschutzgesetz, dieser sagt folgendes aus:
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
Wie Sie sehen, gibt es die
Differenzierung auch im Gesetzestext, die rechtliche Wertung ist die gleiche.
Schauen wir uns das einmal genauer an:
Aus Daten über bestimmte
Personen geht die Identität eindeutig hervor. Man kann also direkt
entnehmen wer der Betroffene ist.
Ein Beispiel wäre ein Auszug aus einer Adressliste, in
dem der Name des Betroffenen steht.
Aus Daten über eine bestimmbare
Person geht zuerst einmal nicht hervor wer der Betroffene ist, es sind
jedoch aber Informationen enthalten, die es möglich machen die Person zu
identifizieren.
Beispiele wären hier eine Mitgliederliste, auf der nicht
die Namen der Mitglieder verzeichnet sind, jedoch aber eine Mitgliedsnummer.
Anhand dieser Mitgliedsnummer, kann der Betroffene wieder
bestimmt werden.
Nach Meinung der Datenschutz Aufsichtsbehörden, sind auch
dynamische IP Adressen hiervon betroffen, denn zumindest der Provider kann
anhand der IP Adresse Rückschlüsse auf den Betroffenen ziehen.
Wenn man die Begriffe nun genauer untersucht, so wird man
feststellen, dass der Schutz von Persönlichkeitsrechten bei bestimmbaren Daten
höher ist als bei bestimmten Daten.
Den Austausch von Informationen, die direkt auf eine
natürliche Person schließen lassen, also zum Beispiel die Verwendung einer
Nummer anstatt des Namens, nennt man Pseudonymisierung.
Die Pseudonymisierung von Daten macht in der Praxis
durchaus Sinn, man darf hier jedoch aber nicht ausser acht lassen, dass auch
bei pseudonymisierten Daten alle Vorschriften aus dem BDSG beachtet werden
müssen.
Auch bei der Verarbeitung von pseudonymisierten Daten
benötigt die speichernde Stelle eine Gesetzesgrundlage oder eine Einwilligung
des Betroffenen.
xDSB berät Sie gerne.