Personenbezogene Daten: Definition und praktische Beispiele

Fachbeitrag

Der Begriff der personenbezogenen Daten ist im Bundesdatenschutzgesetz legal definiert. Trotz dieser auf den ersten Blick recht eindeutigen Definition, birgt die konkrete Zuordnung in der Praxis doch erhebliche Schwierigkeiten.

Dabei hat die richtige Einordnung von Informationen als personenbezogene Daten weitreichende Konsequenzen für die Praxis…

Definition des Begriffs personenbezogene Daten

Laut § 3 Abs. 1 BDSG handelt es sich bei personenbezogenen Daten um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Doch an dieser Stelle wird es für den ein oder anderen bereits zu unkonkret: Wann ist eine Person bestimmt und wann erst bestimmbar?

Insoweit hilft die Europäische Datenschutzrichtlinie weiter. Denn nach Art. 2 Buchst. a Richtlinie 95/46/EG wird eine Person als bestimmbar angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Personenbezogene Daten in der Praxis

Im Einzelfall stellt sich die Bestimmung, ob es sich bei Informationen um personenbezogene Daten handelt oder nicht, als äußerst schwierig dar. Grundsätzlich gilt, dass alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, auch unter den Begriff der personenbezogenen Daten fallen. Klar zuzuordnen sind der Name, die Telefonnummer sowie Kreditkarten- oder Personalnummern. Aber auch Kontodaten, Kfz-Kennzeichen, das Aussehen, der Gang, die Kundennummer oder die Anschrift zählen zu den personenbezogenen Daten.

Doch auch weniger eindeutige Informationen können einen Personenbezug ermöglichen. Einen vielleicht nicht ganz so eindeutigen Fall hatte der EuGH im Mai diesen Jahres zu entscheiden, in dem es um die Frage ging, ob es sich auch bei Arbeitszeiten um personenbezogene Daten handele. Doch der EuGH stellte klar:

„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.

Bereits in einer früheren Entscheidung hatte der EUGH betont, dass es sich auch bei Daten, die sich sowohl auf die von bestimmten Rechtsträgern gezahlten Bezüge als auch auf deren Empfänger beziehen, personenbezogene sind, da sie Informationen über eine bestimmte oder bestimmbare natürliche Person darstellen.

Nicht vergessen werden darf an dieser Stelle, dass auch IP-Adressen als personenbezogene Daten angesehen werden.

Besondere personenbezogene Daten

Nicht einfacher wird es, wenn es um die Einordnung in die Kategorie der besonderen personenbezogenen Daten geht, die entsprechend ihrem Namen auch besonders schützenswert sind und deren Verwendung daher höheren Anforderungen unterliegt. Auch wenn diese abschließend in § 3 Abs. 9 BDSG aufgezählt sind, können sich in Einzelfällen Unklarheiten ergeben.

So gehören bereits die Information, dass sich eine Person in medizinischer Behandlung befindet sowie die Anzahl von Krankheitstagen nach Ansicht des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW zu den besonderen personenbezogenen Daten. Eine unberechtigte Kenntniserlangung dieser Daten durch einen Dritten kann folglich eine Mitteilungspflicht nach § 42a BDSG (sog. „Security Breach Notification“) auslösen.

Fazit

Die Einordnung bestimmter Informationen als „personenbezogene Daten“ hat weitreichende Konsequenzen, wie etwa ob der Anwendungsbereich des Datenschutzrechts überhaupt eröffnet ist oder welche Vorschriften einschlägig sind. Daher lohnt sich stets eine genaue Prüfung im Einzelfall.

Eine gute Übersicht zum Begriff der personenbezogenen Daten inkl. vieler Beispiele hat die Artikel 29-Gruppe erstellt. Jemand, der sich mit der Einordnung von Informationen als personenbezogene Daten bestens auskennen sollte, ist Ihr Datenschutzbeauftragter – gut also, wenn Sie einen haben…

80 Kommentare zu diesem Beitrag

  1. Ist die Veröffentlichung von Geburtstagslisten z.B. in Gewerkschaftszeitschriften dateschutzrechtlich bedenklich? Die Form sieht bei uns so aus: „Manfred Meier aus Chemnnitz hat im Februar 45. Geburtstag“.

    • Bei den Geburtstagen handelt es sich um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes. Sie sollten die Geburtstage Ihrer Mitglieder daher nicht ohne deren Einwilligung veröffentlichen.

  2. Sind die Veröffentlichung von Name und Schiessergebnis der internen Wettkämpfe unseres Schützenvereins personenbezogenen Daten?

    Weitere Angaben werden nicht gemacht.

  3. Darf man in einem Krankenhaus den Namen eines Patienten über Lautsprecheranlage ausrufen wenn er gesucht wird oder fällt das unter den Datenschutz.

    • Schon der Name oder die Tatsache der Behandlung des Patienten stellt ein Patientengeheimnis dar. Daher sollte sichergestellt werden, dass lediglich der Name ausgerufen wird, aber nicht die Information, dass es sich um einen Patienten handelt. Für den unbeteiligten Zuhörer darf nicht erkennbar sein, ob es sich um einen Patienten, Besucher oder Mitarbeiter des Krankenhauses handelt.

  4. Wie sieht es aus mit Angaben zu juristischen Personen, die allerdings (vermutlich) Rückschlüsse auf die natürliche Person zulassen?. Beispiel: Max Mustermann Gbr. Musterstraße 7, 10111 Musterhausen.

    Fallen diesen juristische Daten auch unter den personenbezogenen Datenschutz nach BDSG?

    • Angaben über juristische Personen oder Personenmehrheiten, wie Personengesellschaften oder Vereine sind vom Anwendungsbereich des BDSG grundsätzlich nicht erfasst. Wenn jedoch Daten über eine juristische Person oder eine Personengesellschaft gleichzeitig auch Einzelangaben über deren einzelne Mitglieder, Gesellschafter oder Organe darstellen, werden diese vom BDSG geschützt.

  5. Fallen im System hinterlegte Geschäftskontakte (Name & Firmen-Mailadresse) unter das BSDG?
    Es handelt sich aussschließlich um das B2B Geschäft.

    • Auch einzelne Geschäftskontakte fallen unter das BDSG, soweit sie die dahinterstehende Einzelpersonen identifizierbar machen (also gerade personifizierte E-Mail-Adresse etc.).

  6. Stellt die Veröffentlichung der Studenten/Gruppen-Liste (Name, Gruppe, Raumzuteilung) personengeschützte Daten dar, die gem. Bundesdatenschutzgesetz geschützt sind und besonderer Genehmigung der Studenten erfordern?

    • Die Antwort hängt davon ab, in welchem Kontext die „Veröffentlichung der Studenten/Gruppen, Raumzuteilung“ erfolgt. Sofern Betroffene aufgrund der Daten in einem bestimmten Kontext identifiziert werden können oder zumindest identifizierbar sind, handelt es sich um personenbezogene Daten. In dem Fall stellt sich die Frage, ob die „Veröffentlichung“ zulässig ist. Ohne nähere Informationen kann hier keine weitergehende Bewertung erfolgen.

  7. Ich habe meinen alten Mobilfunkvertrag per Mail gekündigt, von dem ich weder die Rufnummer noch die Kundennummer kenne. Als Antwort hieß es, man könne mich ohne Geburtsdatenangaben nicht als Vertragspartnerin identifizieren, teilte mir jedoch in der Antwortmail die vollständige Rufnummer und die Kundennummer mit. Ist das keine Datenschutzverletzung?

      • Falsches Argument: Eine E-Mail ist eine Postkarte, kein Brief. Somit wurden die Daten sehr wohl potenziell anderen mitgeteilt. Darf ich Sie per E-Mail über Ihren Kontostand und Ihren Gesundheitszustand informieren (wenn ich diese kennen würde)?

        • Die Übertragung per Email erfolgt heute in den meisten Fällen verschlüsselt (ssl), weshalb die Information erst am im Email-Postfach des Empfängers wieder gelesen werden kann. Aus diesem Grund sollte personenbezogene Daten, welche man in Emails verschickt, vorher verschlüsseln. Dazu kann man die Information entweder in einem verschlüsselten Anhang in der Email übermitteln oder per End-zu-End Verschlüsselung die gesamte Email verschlüsseln. Im Ersten Fall sollte das Passwort zum Entschlüsseln nicht per Email übermittelt werden um den Zugang bei der berechtigten Person sicherzustellen. Natürlich ist ein sicheres Passwort zu wählen.

          Beherzigt man diese Grundsätze spricht nichts gegen die Übermittlung von Vertragsdaten, etc., dann selbst im Falle eines Verlusts die Daten nicht von Fremden verwendet werden können und stellt die Email, dann keine Postkarte dar.

  8. Sind die Anschriften von Unternehmen durch das BDSG geschützte personenbezogene Daten, die zum Beispiel von einer IHK nicht herausgegeben werden dürfen?

  9. Wenn auf einem Stadtfest eine Kamera installiert wird, mit der ein Fahrgeschaft (Karussell) aufgenommen wird, stellt dies personenbezogene Daten des Betreibers dar?

    • Wie oben ausgeführt, stellen personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) dar. Eine solche Personenbezogenheit liegt dann vor, wenn Personen auf den Bildern der Kamera eindeutig erkennbar sind. Ob sie tatsächlich identifiziert werden ist dabei unerheblich.

  10. Ich bin bei einem Lieferant der Automotive Industrie beschäftigt. Um Zugang zu einem Kundenportal zu erhalten (Q-Daten) will der Kunde mein Geb.-Datum und Geb.-Ort haben. Er sagt mir weder, warum und wie er damit umgeht. Ist dies zulässig ?

    • Die Zulässigkeit der Datenerhebung setzt entweder die Einwilligung des Betroffenen oder eine Rechtsgrundlage voraus. Eine solche kann in der Begründung oder Durchführung eines Rechtsgeschäfts liegen.
      Die verantwortliche Stelle muss vorab prüfen, welche Daten für den entsprechenden Zweck tatsächlich erforderlich sind. Die Erhebung und Verarbeitung der personenbezogenen Daten hat sich demzufolge am Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben und zu verarbeiten.

  11. Ist es erlaubt, persönliche Daten wie Adresse und Telefonnummer abzufragen, wenn man auf einer Website einen Kommentar schreibt, um Personen welche z.B. einen rassistischen Kommentar geschrieben haben persönlich zu Kontaktieren?

    • Grundsätzlich ist es dem Betreiber der Webseite überlassen, welche Informationen er von Nutzern im Vorfeld einer Kommentierung abfragt, sofern die Angaben freiwillig erfolgen. Eine übliche Verfahrensweise ist die Abfrage und Speicherung der IP- und E-Mail Adresse des jeweiligen Nutzers.
      Die Pflicht zur Verhinderung von Rechtsverletzungen auf der eigenen Webseite erfordert eine Speicherung von personenbezogenen Daten der Kommentierenden, jedoch würde eine zu weit gehende Registrierungspflicht viele Nutzer von Beiträgen abhalten. Deswegen wird aus haftungsrechtlicher Sicht oft zumindest die E-Mail- und IP-Adresse des Nutzers gespeichert, damit eine gewisse Missbrauchskontrolle gewährleistet ist. Ob durch die Erhebung der Daten eine Ermittlung von Tätern erreicht werden kann steht auf einem anderen Blatt.

  12. Dürfen persönliche berufliche Daten, wie die Beschäftigungstage eines freien Mitarbeiter im Jahr, in einer Hauptversammlung von über 40 Personen ohne Zustimmung der betreffenden Person trotzdem veröfentlicht werden?

    • Die Mitteilung beruflicher Daten wie die Anzahl der Beschäftigungstage ist dann personenbezogen, wenn es eine Identifikation der Person ermöglicht.
      Wenn dies der Fall ist, dann ist für eine öffentliche Bekanntgabe eine Einwilligung des Betroffenen erforderlich, es sei denn, für die Bekanntgabe liegt eine gesetzliche Rechtfertigung vor.
      Ob eine solche vorliegt, lässt sich hier so nicht sagen, kann ihnen aber gegebenenfalls der Auftraggeber sagen.

  13. Im Intranet unserer Firma werden quartalsweise persönliche Daten der Mitarbeiter veröffentlicht, wie beispielsweise Heirat, Geburt, Jubiläum, Ausscheidungen aus dem Unternehmen, Trauerfälle (auch bereits ausgeschiedener Mitarbeiter).
    Ich möchte für jeden dieser Fälle wissen, ob dies ohne Zustimmung der Mitarbeiter erlaubt ist.

  14. In vielen IT-Systemem wird ja gespeichert, wann durch welchen Anwender (Firmenmitarbeiter) welche Änderungen an Dateiinhalten vorgenommen wurden. Handelt es sich bei diesen Informationen um personenbezogene Daten? Falls ja, wie dürfen diese verwendet werden und in welcher Form muss der Anwender über die Speicherung informiert werden?

    • Pauschal lässt sich die Frage nicht beantworten, da es auf den konkreten Sachverhalt ankommt. Grundsätzlich aber gilt, dass in dem Moment, wo Anwenderdaten und Dateiinhalte bzw. Dateiänderungen verknüpft werden, ein Personenbezug vorliegt. Das BSDG erlaubt aber an verschiedenen Stellen die Datenerhebung und –speicherung für eigene Zwecke, bspw. in § § 32, 28 BDSG. § 9 BDSG i.V.m. der Anlage zu § 9 schreibt dem Arbeitgeber sogar die Protokollierung vor (Eingabekontrolle). Insofern muss der Verwender – in Ihrem Fall anscheinend der Arbeitgeber – auch nicht über jegliche Datenspeicherung informieren. Verwenden darf er die Daten aber nur in engen Grenzen, weil sie einer engen Zweckbindung unterliegen. D.h. Daten, die für einen bestimmten Zweck erhoben werden dürfen in der Regel nicht für andere Zwecke genutzt werden.

  15. Darf ein Ortschronist in einer Ausstellung anlässlich einer besonderen Jahrfeier personengebundene Daten veröffentlichen? Dürfen personengebundene Daten bereits Verstorbener veröffentlicht werden?

    • Die Veröffentlichung personenbezogene Daten bedarf der Einwilligung des Betroffenen, es sei denn, für die Veröffentlichung liegt eine gesetzliche Rechtfertigung vor. Ob eine solche vorliegt, lässt sich hier so nicht sagen, kann Ihnen aber sicher die für den Ortschronisten zuständige Behörde sagen.
      Das deutsche Datenschutzrecht endet in der Regel mit dem Tod, d.h., für Verstorbene gilt das Datenschutzgesetz nicht mehr.

  16. Thema Screenshot:
    Wie steht es bei Online Spielen, was genau fällt alles darunter…? Fallen darunter auch die eigenen Charakter oder werden sie nur als Gegenstand gewertet…?
    Da per Support keine Informationen über Meldung einer Person herausgegeben werden darf bzw über seinen Charakter. Und über die Daten des Screenshot vom Melder, des Verstoßes. Da es nirgends so direkt darauf eingegangen wird, scheint zumindest der Fall zu sein.

    • Letztlich handelt es sich ja um die Information, das die Person XY Inhaber eines fiktiven Charakters eines bestimmten Spiels ist, damit ist der Inhaber bestimmbar. Auch fiktive Charaktere können daher personenbezogene Daten sein, welche dem Inhaber dieser Information (Betroffener) zuzurechnen sind.

  17. Thema Email:
    Verstößt es gegen das BDSG, wenn eine firmeninterne Email veröffentlicht wird, die „nur“ Namen des Senders und des Empfängers mit entsprechenden Telefonnummern in der der Signatur enthäl ? Weitere persönliche Daten oder Geheimnisse sind darin nicht enthalten.
    Danke !

    • Leider kann die Frage nicht konkret beantwortet werden. Bei einem Namen und der Telefonnummer, inkl. Durchwahl zum Mitarbeiter, handelt es sich um personenbezogene Daten. Gemäß § 4 Abs. 1 BDSG benötigt man insofern für die Erhebung, Verarbeitung und Nutzung des Datums eine Grundlage (Gesetz, andere Rechtsvorschrift oder Einwilligung). Um die Rechtsgrundlage gegebenenfalls ermitteln zu können, müsste man darüber hinaus den Zweck der „Veröffentlichung“ kennen.

  18. Zu Authentifizierungszwecken speichert ein System (Cloud-Anwendung) pro User jeweils eine Emailadresse und ein Passwort, nicht jedoch den Namen des Users oder weitere personenbezogene Daten. Fällt das dann unter „Log- und Accountdaten“ oder muss man sagen, dass das System „personenbezogene Daten“ speichert und verarbeitet, mit allen Konsequenzen? In letzterem Fall würde das ja auf nahezu alle Systeme mit Authentifizierung zutreffen, da ja typischerweise immer eine Emailadresse hinterlegt wird für eventuelle Passwortrücksetzungen.

    • Definitionsgemäß handelt es sich bei personenbezogenen Daten um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Selbstverständlich sind auch Angaben zum Berufsabschluss personenbezogene Daten, da diese sachlich eine Aussage über die Qualifikation zur Ausübung eines spezifischen Berufes enthalten, die einer bestimmten Person zugeordnet werden können.

  19. Darf ein Gesellschafter einer GmbH die Lohnscheine der Mitarbeiter einsehen? Auch im Hinblick des Paragraph 51a GmbHG?

    • Grundsätzlich könnte die Übermittlung personenbezogener Daten an den Gesellschafter gemäß §§ 4 I, 43 BDSG als Ordnungswidrigkeit ein Verweigerungsrecht begründen, da dieser zunächst einmal „Dritter“ im Sinne des Gesetzes ist.
      § 51a Abs. 1 GmbHG ist aber eine „ andere Rechtsvorschrift“ gemäß § 4 I BDSG und gestattet somit die Datenübermittlung. Daher darf der Gesellschafter Einsicht nehmen. Er muss sich dabei aber natürlich selbst an die Einhaltung der Datenschutzvorschriften halten.

  20. Ich arbeite in der Verwaltung eines Krankenhauses und habe somit Einblick in Patienten Daten. Ich habe meine Ex Schwägerin privat angerufen, habe ich somit gegen den Datenschutz verstossen, ihre Telefonnummer war mir nicht bekannt. Durfte ich die Telefonnummer nicht nutzen? Ich habe diese Telefonnummer aber an keine weitere Person weitergegeben.

    • Auch wenn man die Möglichkeit hat Daten einzusehen und zu nutzen ist für deren Verwendung einen Erlaubnistatbestand notwendig. Für private Zwecke sollten keine Daten aus Unternehmens/Krankenhausdatenbanken nicht verwendet werden, da hier das Vorliegen eines Erlaubnistatbestand meistens verneint werden muss.
      Zu einem anderen Ergebnis kann unter Umständen kommen, sofern der Anruf in Zusammenhang mit einem Aufenthalt im Krankenhaus erfolgte.

        • Sofern ein Mitarbeiter in Rahmen seiner Tätigkeit gegen datenschutzrechtliche Vorschriften bewusst oder grob fahrlässig verstößt und er auf das Datengeheimnis nach §5 BDSG verpflichtet ist, dürfte in dem Verstoß eine arbeitsvertragliche Pflichtverletzung zu sehen sein. Ob und insbesondere welche arbeitsrechtlichen Schritte in Betracht kommen, ist jeweils Frage des Einzelfalls. Da wir keine Rechtsberatung im Rahmen des Blogs leisten dürfen, wenden Sie bitte an einen spezialisierten Rechtsanwalt.

  21. Unsere Personalabteilung wurde neu besetzt, erste „spürbare“ Änderungen sind informative E-Mail-Ankündigungen das Mitarbeiter A das Unternehmen verlassen hat. Der Grund wurde hierbei natürlich erwähnt, einmalig bislang die Info, dass es während der Probezeit geschah. Sind generelle E-Mails über Ein- bzw. Austritt von Mitarbeiter in Ordnung? (Info über Vor- und Nachname sowie der Teamzuordnung).

    • Unternehmen dürfen personenbezogene Daten nutzen bzw. verwenden, wenn dies für die Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist – § 32 BDSG. Ob eine Mitteilung über das Ausscheiden eines Mitarbeiters erforderlich ist, richtet sich nach dem Einzelfall. Als erforderlich wird man die Information über das Ausscheiden eines Mitarbeiters betrachten können, wenn der Mitarbeiter ein zentraler interner Ansprechpartner war; es also für alle Mitarbeiter relevant ist, dass dieser Ansprechpartner nun nicht mehr im Unternehmen ist.
      Eine generelle Praxis stets über das Ausscheiden von Mitarbeitern zu informieren, ist aus Sicht der Arbeiternehmerdatenschutzes eher bedenklich. Wir haben hier einige grundsätzliche Informationen zum Arbeitnehmerdatenschutz zusammengestellt.

  22. Guten Tag,
    ich arbeite ehrenamtlich in einem Dachverband für einen bestimmten Motorrad-Freundeskreis. Mitglied des Dachverbands können einzelne Ortsclub werden. Wir haben keine Einzelmitgliedschaft. Wir haben jetzt folgendes Problem:

    Für die Ermittlung der Jahresbeiträge (werden nach der Anzahl der Mitglieder eines Ortsclubs erhoben) sowie für den Abgleich von Anmeldungen zu offiziellen Veranstaltungen unseres Verbands sowie des uns übergeordneten Weltverbandes haben wir die Clubs aufgefordert, uns eine Mitgliedsliste zu übersenden. Diese soll ausschließlich aus Vor- und Zunamen der Einzelmitglieder bestehen. Unter Berufung auf den Datenschutz verweigern uns jetzt einige Ortsclubs diese Listen.

    Zweite Herausforderung: Da wir mit zahlreichen Unternehmen der Motorradbranche Vergünstigungen für die Mitglieder unserer Ortsclubs ausgehandelt haben, wollen diese natürlich sichergestellt sehen, dass kein Unberechtigter in den Genuss der Vorteile kommt. Aus diesem Grund haben wir eine teilanonymisierte Liste erstellt, in der Vor- und Zuname sowie eine Identifikationsnummer verfasst sind. Diese Identifikationsnummer lässt keine Rückschlüsse darauf zu, in welchem Club das Einzelmitglied Mitglied ist. Diese Daten sind ausschließlich bei uns gespeichert und werden nicht weitergegeben.

    Fragen: a) Dürfen uns die Clubs unter Berufung des Datenschutzes die Listen verweigern? b) Dürfen wir diese anonymisierte Liste unseren Kunden weitergeben?
    Herzlichen Dank für Ihre Bemühungen!

    • Vor- und Zuname stellen zweifelsfrei persönliche Daten im Sinne des Bundesdatenschutzgesetzes (BDSG) dar. Demnach bedarf es für eine Übermittlung der Daten entweder einer Einwilligung durch den Betroffenen oder einer gesetzlichen Rechtfertigung. Es ist denkbar, dass sich hier entweder aus den Satzungen und/oder der Struktur des Verbandes eine Rechtfertigung / Einwilligung ergibt.

      Die Klärung der von Ihnen gestellten Frage bedarf daher einer eingehenderen Prüfung der Organisation und/oder Satzung. Es ist ratsam sich hierfür an einen spezialisierten Rechtsanwalt zu wenden. Eine Rechtsberatung kann in diesem Rahmen leider nicht erfolgen.

  23. Alle unsere Mitarbeiter sollen über einen Dritten in England (Agentur) abgefragt werden, ob a) gegen sie strafrechtlich relevantes vorliegt und/oder sie b) zu den PEP (Politisch exponierten Personen) zählen, was immer das sein soll. Die Agentur in UK bekommt nur die Namen der Personen mitgeteilt, keine weiteren Daten (erstmal). Die Rückmeldung an unsere Compliance soll dann folgendermaßen aussehen. Treffer oder kein Treffer. Bei Treffer, werden gleichzeitig von der Agentur weitere Daten zu dem Namen mitgeliefert, damit intern geprüft werden kann, ob der zurückgemeldetet Hansi Müller auch unser Hansi Müller ist, bspw. Geburtsdaten, Wohnort, was die halt so finden. Ist das nicht datenschutzrechtlich bedenklich, dass ein Dritter so möglicherweise sehr viele Kenntnisse über Angestellt unseres Unternehmens erfahren und ist eine solch generelle Abfrage (alle Mitarbeiter, alle Vergehen) überhaupt rechtens?

    • Aus datenschutzrechtlicher Sicht, sollte für die Datenverarbeitung durch einen Dritten ein Auftragsdatenverarbeitungsvertrag i.S.d. §11 BDSG zwischen Arbeitgeber und Drittem geschlossen worden sein.

      Hinsichtlich der Mitarbeiterbefragung ist zu beachten, dass diese gemäß §32 Absatz 1 Satz1 BDSG zur Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sein muss. Erforderlichkeit ist dann anzunehmen, wenn die Erhebung der Beschäftigtendaten geeignet ist, Zwecke des Beschäftigungsverhältnisses zu verwirklichen und der Arbeitgeber das mildeste aller gleich effektiven Mittel ausgewählt hat.

      Zwingend nötig ist auch eine Abwägung der Persönlichkeitsrechte der Betroffenen gegen das Informationsinteresse des Arbeitgebers. Eine solche Abwägung wird bei personenbezogene Daten, die in die Privat-und Intimsphäre des Arbeitnehmers eingreifen nur dann zugunsten des Arbeitgebers ausfallen können, wenn die Informationen aus dem Privatleben Bezug zum konkreten Arbeitsverhältnis aufweisen und der Arbeitgeber ein berechtigtes Interesse am Erhalt dieser Daten hat. Grundsätzlich sind daher Fragen bezüglich eventueller Vorstrafen nur zulässig, wenn sie Bezug zu der vom Arbeitnehmer zu übernehmenden Tätigkeit haben.

  24. Zur Erstellung einer Branchendatenbank (Unternehmen, die mit Oldtimern, Ersatzteilen dafür oder Dienstleistungen dafür „zu tun haben“) möchte ich ohne Vorliegen einer expliziten Genehmigung die Firmierung und die Adresse veröffentlichen. Wenn die Firmierung lautet: Lieschen Müller GbR oder Lieschen Müller e. K., ist dann der Firmenname von den personenbezogenen Daten „entkoppelt“ – es könnte ja sein, dass Lieschen Müller in dem Unternehmen nicht mehr beteiligt ist. Darf ich die Firmierung, da öffentlich, ohne explizite Erlaubnis veröffentlichen?

    • Der Name der Lieschen Müller GbR oder e.K. bezieht sich auf eine bestimmte oder bestimmbare natürliche Person. Das BDSG ist daher anwendbar. Es ist auch irrelevant, ob die Person noch an dem Unternehmen beteiligt ist. Lediglich die Daten Verstorbener werden vom BDSG nicht geschützt.
      Wenn die Daten aus allgemein zugänglichen Quellen stammen, könnte aber ein Fall des § 28 Abs. 1 Nr. 3 BDSG vorliegen. Hierfür bedarf es aber einer genaueren Prüfung des Sachverhaltes. Wenden Sie sich am besten an einen Rechtsanwalt.

  25. Gilt ein Datum, wie die Bestellnummer, die einen Einkaufsvorgang im Unternehmen und beim Lieferanten eindeutig kennzeichnet und im System des Unternehmens den Namen des Einkäufers referenzierbar macht, auch in dem Fall als personenbeziehbar, wenn das Datum zu Analysezwecken einem Dritten (Dienstleister) zugänglich gemacht wird, der keinerlei Zugriff auf die referenzierten Daten (Einkäufername) hat, sondern nur auf das Referenzmerkmal (Bestellnummer) sowie andere nicht personenbeziehbare Merkmale (Bestellmenge, Preis etc.)? Ist ein Zugriff des Dienstleisters unter diesen Umständen datenschutzrechtlich unbedenklich? Zur Verdeutlichung: Ein Mitarbeiter im Unternehmen kann über die Bestellnummer den Einkäufer ausfindig machen. Der Dienstleister kann dies nicht.

    • Ob eine Bestellnummer ein personenbezogenes Datum ist, hängt von den Umständen des Einzelfalls ab. Besteht für den Dienstleister, wie von Ihnen beschrieben, mangels Zusatzinformationen und Zugriff keine Möglichkeit, den konkreten Einkäufer hinter der Bestellnummer zu bestimmen, hat das Datum keinen Personenbezug.

  26. Einem Mitarbeiter wird in der Probezeit gekündigt. Kurz danach versendet der Vorgesetzte eine Rundmail an die Abteilung, dass dem Mitarbeiter wegen Minderleistung gekündigt wurde.

    Liegt hier ein Verstoß vor? Und würde auch ein Verstoß vorliegen, wenn nur mitgeteilt worden wäre, dass dem Mitarbeiter arbeitgeberseitig gekündigt wurde? Was könnten die Konsequenzen sein?

    • Es ist legitim und für einen geordneten Fortgang der Arbeitsabläufe im Unternehmen auch erforderlich i.S.d. § 32 Abs. 1 BDSG, die Kündigung eines Mitarbeiters unternehmensintern zu kommunizieren. Die Bekanntgabe in einer Rundmail an die betreffende Abteilung ist dafür grundsätzlich auch geeignet. Die Mitteilung des konkreten Kündigungsgrund hingegen ist nicht erforderlich und geht bis auf den betreffenden Mitarbeiter und die Unternehmensleitung auch niemanden etwas an. Datenschutzrechtlich handelt es sich um eine bußgeldbewährte Ordnungswidrigkeit. Zu möglichen arbeitsrechtlichen Konsequenzen empfehlen wir die Konsultation eines Rechtsanwalts.

  27. Wir sind ein Verein der unter anderem Aus- und Fortbildungslehrgänge anbietet. Zum Fortbildungstag gibt es im Lehrgang eine Teilnehmerliste, die zur Identifikation der Teilnehmer dessen Namen und Geburtsdatum enthält. Zum Versenden der Teilnehmerausweise werden weiterhin die Anschriften (wenn bereits im EDV System enthalten) dargestellt bzw. mit der Unterschrift zur Teilnahme abgefordert. Die Liste wird nur im Lehrgang zum Unterschreiben den Teilnehmern zur Verfügung gestellt und nach Versand der Teilnehmerlisten sicher entspr. Aufbewahrungsfristen abgelegt. Liegt hier ein Datenschutzverstoß vor oder ist dies ok? Die Teilnehmerdaten werden den Teilnehmern nicht zur Verfügung gestellt.

    • Grundsätzlich sind immer die Grundsätze der Zweckbindung und Datensparsamkeit einzuhalten. Bei einer Teilnehmerliste, die zur Identifikation der Teilnehmer dient, sollten daher auch nur die dazu erforderlichen Daten eingetragen werden. Das kann neben dem Namen noch ein weiteres Datum sein, um etwa gleichlautende Namen voneinander abzugrenzen. Die kompletten Adressen der Teilnehmer sollten besser separat abgefragt werden. Auch der Versand solcher Listen kann Tücken bergen, dazu müsste man aber wissen, in welcher Form und an wen die Listen versendet werden.

  28. Bei uns in der Firma gibt es seit neuestem einen ‚Infostand‘ wo sich alle Kollegen einer Abteilung einmal am Tag ca . 10 min treffen. Dort werden für jeden sichtbar die ArbeitsLeistung des vergangenen Tages für jeden Mitarbeiter einer Maschine ausgehängt. Zwar nicht mit Name aber mit der Maschinen Nummer, und jeder Mitarbeiter hat seine feste Maschine, also von allen Kollegen leicht zuzuordnen. Darf ein Arbeitgeber ohne Einwilligung persönliche Leistungsdaten veröffentlichen in der Firma?

  29. Wenn der Datenschutz, so wie vorher beschrieben, in Kraft tritt, wird sich die gesammte Versicherungspranche in Luft auflösen. Ein Recht auf Datenlöschung und grenzensoser Haftbarkeit, wie soll das gehen. Die gesammte Branche könte sich juristich nicht gegen Klagen wehren. Herforragendes Gesetz, oder es wird das BGB geändert. Rolf Beckers

  30. Ein Webshop (z.B. Versandapotheke) bietet freiverkäufliches Zubehör für medizinische Zwecke an (z.B. Blutzucker-Teststreifen). Müsste man davon ausgehen, dass jeder Käufer von Blutzucker-Teststreifen Diabetiker ist und durch den Kauf besonders zu schützende Gesundheitsdaten übermittelt hat?

    • Eine berechtigte Frage Max. Abgesehen davon, dass man die in Ihrem Beispiel verwendeten Teststreifen auch anderweitig nutzen kann, ist hier jedoch zu differenzieren: Kann jedermann Produkte im Webshop der Apotheke kaufen, ist zu bezweifeln, dass es sich um ein personenbezogenes Datum handelt. Das Produkt selbst kann theoretisch von jedem für jeden bestellt werden. Sofern es um ein rezeptpflichtiges Produkt geht, wäre dies anders zu sehen. Bei vielen Onlineapotheken besteht beisteht daher beispielsweise die Auflage das entsprechende Rezept mitzuschicken (ggf. mit Verschlüsselung o.ä.). Die Apotheke müsste in diesen Fällen entsprechende technische und organisatorische Sicherheitsmaßnahmen implementieren.

      • Vielen Dank für die Einschätzung! Ihre Antwort klingt plausibel und vernünftig und spiegelt vermutlich auch die gängige Praxis wider.

  31. EIn Unternehmen hat eine Support-Hotline. Darf das Unternehmen die am Telefon angezeigte Rufnummer sowie der im Gespräch ohne Nachfrage erwähnte Name des Anrufers zur Dokumentation und für evtl. Rückfragen ohne explizite Erwähnung notieren/speichern? ODer nur nach expliziter Erlaubnis des Anrufers, auch wenn alle Informationen frei zur Verfügung standen?

    • Bei Namen und Telefonnummern handelt es sich um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes. Generell dürfen personenbezogene Daten nur dann gespeichert werden, wenn dies gesetzlich geregelt ist oder eine Einwilligung des Betroffenen vorliegt (§ 4 Abs. 1 BDSG). Ob das Erheben und Speichern von Daten erlaubt ist, hängt also davon ab, ob der konkrete Sachverhalt von einer einschlägigen Erlaubnisnorm gedeckt ist.

      In dem geschilderten Fall könnte sich die Erlaubnis aus § 28 Abs. 1 BDSG ergeben. Wird z.B. eine Service-Hotline kontaktiert, wäre die Erhebung und Speicherung der Kontaktdaten dann erlaubt, wenn dies zwingend notwendig ist, um das konkretes Anliegen zu bearbeiten (beispielsweise ein Rückruf, um eine angefragte Information zu erteilen oder um einen Kaufvertrag abzuwickeln). Weitere Rückfragen, die sich nicht unmittelbar auf die Anfrage beziehen, wie etwa ein Rückruf zu Werbezwecken, wären von der Erlaubnis nicht mehr gedeckt.

      Das Gesetz sieht jedoch aus bei der erlaubten Speicherung eine Informationspflicht vor. Das bedeutet konkret, dass das Unternehmen über die Tatsache der Datenspeicherung und über den maßgeblichen Verwendungszweck informieren muss.
      Auch bei der Speicherung zu Dokumentationszwecken kommt es auf den zugrunde liegenden Sachverhalt an. Generell dürfen Daten nur solange gespeichert werden, wie ein konkreter Verwendungszweck vorliegt.

  32. Eine Krankenkasse sendet einen Fragebogen an den Hauptversicherten zwecks Überprüfung die Familienversicherung der Exfrau. Der KK ist bekannt das die Eheleute geschieden sind. Der Hauptversicherte füllt den Fragebogen sogar falsch aus.Hätte die KK den Fragebogen nicht an die geschiedene Exfrau senden müssen? Ist das eine personenbezogene Datenschutzverletzung?

    • Eine Datenerhebung ist nur dann zulässig, wenn sie entweder auf eine Rechtsgrundlage oder auf eine Einwilligung des Betroffenen gestützt werden kann. Dabei sind Daten grundsätzlich unmittelbar beim Betroffenen selbst zu erheben und nicht mittelbar über Dritte (Grundsatz der Direkterhebung). Ob die Krankenkasse ihr Vorgehen vorliegend auf eine Rechtsgrundlage stützen kann, hängt von dem konkreten Einzelfall ab und kann hier nicht pauschal beantwortet werden. Liegt keine Rechtsgrundlage vor, ist die Datenerhebung im Zusammenhang mit der Versendung des Fragebogens unzulässig.

  33. Ein Mitarbeiter des Betriebes wird bei seiner Einstellung daraufhin gewiesen, dass er die betrieblichen Einrichtungen nicht für private Zwecke benutzen darf. Trotzdem schrieb er auf dem Rechner des Betriebes eine Vielzahl privater Schriftstücke (Briefe, Behördenschreiben, Hochzeitszeitungen), schützte diese aber durch ein Passwort, damit niemand davon erfahren sollte. Der Rechnerbeauftragte des Betriebes führte im Auftrag der Geschäftsleitung eine Kontrolle aller im Betrieb gespeicherten Dokumente durch und konnte trotz Passwortschutz den Inhalt der Dokumente mit einem Texteditor lesbar machen. Die Betriebsleitung reagierte darauf mit einer Kündigung, der Arbeitnehmer berief sich auf das Datenschutz. Werten Sie diesen Vorgang aus Sicht des Datenschutzes.

    • Eine klare Aussage kann anhand der zur Verfügung gestellt Informationen nicht getroffen werden.
      Das Landesarbeitsgericht Berlin hat Anfang des Jahres einen vergleichbaren Fall (anders als in dem von Ihnen beschriebenen Fall ging es um die private Nutzung des Internetzugangs, die dem Arbeitnehmer nur in den Pausen gestattet war) zugunsten des Arbeitgebers entschieden.
      Mit einem ähnlichen Fall hat sich unlängst auch der Europäische Gerichtshof für Menschenrechte beschäftigt und ebenfalls zugunsten des Arbeitgebers entschieden.
      Ausschlaggebend für ein späteres arbeitsrechtliches Verfahren sind aber die Umstände des Einzelfalls. Relevant dürfte unter anderem der Hinweis auf das Verbot zur privaten Nutzung und die diesbezügliche betriebliche Übung sein.

  34. Für einen Kunden bieten wir ein bei uns gehostetes Datenbanksystem an, welches es ausgewählten Kunden des Mitarbeiters erlaubt, Bewertungen zu technischen Themen/Erfindungen/Patenten zu verfassen. Neben der Bewertung an sich, wird auch im System festgehalten, wer diese Bewertung verfasst hat. Handelt es sich dabei um personenbezogene Daten, die unter das BDSG fallen?
    Vielen Dank im voraus für Ihre Antwort!
    Roland

  35. Ich habe bei meiner Versicherung eine Umsatzliste von den gekauften Fonds innerhalb meiner Riesterrente angefordert, aber eine Umsatzliste eines anderen Kunden incl. Angabe Fondsguthaben, Versicherungsnummer und Vor/Zuname erhalten. Ebenso wurden meine Unterlagen wohl an jmd Unbefugten Versand da weder anhand des Namens oder Versnr ein Zahlendreher/ein Versehen möglich ist. In wie fern wurde hier genau gegen das BDSG verstoßen? Welche Strafe droht der Versicherung konkret? Habe ich ein Recht auf Schadenersatz oder sontiges? Ich freue mich auf eine Rückmeldung. Vielen Dank schonmal!

    • Wenn Ihre personenbezogenen Daten von der Versicherung an eine andere Person übermittelt wurden, handelt es sich um eine unberechtigte Datenverarbeitung gem. § 43 Abs. 2 Nr. 1 BDSG. Dies stellt eine Ordnungswidrigkeit dar. Eine solche kann gem. § 43 Abs. 3 BDSG von der Datenschutzaufsichtsbehörde mit einer Geldbuße von bis zu 300.000 Euro geahndet werden. Insofern empfiehlt es sich, sich in solchen Fällen an die zuständige Aufsichtsbehörde zu wenden, die dann die erforderlichen Schritte unternimmt und ggf. auch ein Bußgeld verhängt. Sollten Sie durch die unberechtigte Datenverwendung einen Schaden erlitten haben, können Sie natürlich auch zivilrechtlich gegen die Versicherung vorgehen und Schadenersatz geltend machen.

  36. Datenschutz im Bekanntenkreis:
    Meine Tochter ist bereits 8 Jahre verheiratet. Ich möchte nun gerne Name und Adresse der Mutter meines Schwiegersohnes von meinen Schwiegersohn wissen. Er selbst hat keine Einwände, möchte aber bei der Mutter erst deshalb die Erlaubnis dazu einholen. (Wir haben mit Schweigersohn ein sehr gutes Verhältnis, sein Vater ist bereits verstorben.) Kann der Schwiegersohn auch ohne Anfrage bei seiner Mutter und als Schwiegereltern deren Name und Anschrift mitteilen? Meiner Meinung ist das selbstverständlich, etwas anderes wäre es, wenn meine Tochter noch nicht verheiratet wäre aber nach 8 Jahren Ehe gehe ich davon aus, dass man da nicht fragen muss. Besten Dank für eine Antwort.

    • Der von Ihnen geschilderte Sachverhalt fällt nicht unter den Anwendungsbereich des Bundesdatenschutzgesetzes. Sie benötigen diese Information ja sicherlich für persönliche bzw. familiäre Zwecke. Ihr Schwiegersohn benötigt daher aus rein rechtlicher Sicht keine Erlaubnis seiner Mutter, um Ihnen deren Name und Adresse mitzuteilen.

  37. Mit diesem letzten Kommentar zum hiesigen Beitrag schließen wir hier den Kommentarbereich, um eine wachsende Unübersichtlichkeit und Überschneidung von Themen zu vermeiden.

    Wir bedanken uns für die zahlreichen Beiträge.

Kommentare sind geschlossen.