Personenbezogene Daten sind alle Angaben, die sich einer bestimmten natürlichen Person (also einem Menschen) zuordnen lassen und sie dadurch identifizieren oder identifizierbar machen können (Art. 4 Abs. 1 DSGVO).
Beispiele: Name, Geburtsdatum, Kontaktdaten wie Adressen und Telefonnummern, Kontodaten, Sozialversicherungsnummern, Ortungsinformationen, Suchhistorie, Fotos.
Abgrenzung zu sachbezogenen Daten:
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, Art. 4 DSGVO.
Sachbezogene Daten sind demgegenüber alle Daten, die Tatsachen oder Bewertungen von Sachverhalten sind.
Problematisch sind diejenigen Daten, die nicht als solche Identifizierungskriterien sind (z.B. Kontonummer, Online-Kennung), sondern die an sich Sachdaten sind (z.B. Standortdaten), aber mit der Person so eng verknüpft sind, dass sie zu personenbezogenen Daten werden (z.B. Standortdaten bei einem einer Person ausschließlich zugewiesenen Mobiltelefon).
Mögliche Abgrenzung: Amtswalterdaten / Identifikationsdaten
Aktuell sehr umstritten ist, ob sog. Amtswalterdaten, also die zur Identifikation eines bestimmten Amtswalters erforderlichen – und genügenden – Daten nicht als personenbezogene Daten angesehen werden müssen und deshalb dem Anwendungsbereich der DSGVO entzogen sind.
Generell sollten die zur bloßen Identifikation einer bestimmten Person üblichen Daten (Nachname, Vorname, Titel, Amtsbezeichnung, Adresse, Kommunikationsdaten) nicht als personenbezogene Daten iSd DSGVO angesehen werden. Die Verarbeitung solcher Daten ist die Grundvoraussetzung, um überhaupt eine Beziehung zur Einzelperson herzustellen und die spezifischen Garantien der DSGVO zu erfüllen - umgekehrt macht es keinen Sinn, die Einzelperson gemäß Art. 13 DSGVO darüber zu informieren, dass ihr Name gespeichert wird.
Die DSGVO bezieht sich auf die Verarbeitung personenbezogener Daten und die Speicherung in Dateisystemen. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe. Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird. Die Speicherung in Dateisystemen kann sowohl digital als auch analog (Akten) erfolgen; auch eine Akte ist eine „strukturierte Datenbank“. Das Gegenstück zur automatisierten Verarbeitung ist die manuelle Verarbeitung. Insgesamt gilt die DSGVO nicht nur für die IT-gestützte Personalarbeit, sondern auch dann, wenn die Personalarbeit rein manuell und analog erfolgt.
§ 26 BDSG:
Erweiterung des Anwendungsbereichs zum Beispiel auf handschriftlich gefertigte Notizen während eines Bewerbungsgesprächs oder die Informationserhebung in Gesprächen oder eine Übermittlung durch Telefonate.
Der Autor der Website:
Dr. Michael Luber, LL.M.Eur. ist Leitender Ministerialrat im Bayerischen Staatsministerium der Finanzen und für Heimat. Er ist Leiter des Personal- und Grundsatzreferats der Personalabteilung des Ministeriums und stellvertretender Abteilungsleiter. Zuvor war er u.a. in der Bayerischen Staatskanzlei tätig. Herr Dr. Luber arbeitet an verschiedenen beamtenrechtlichen (Online-)Kommentaren mit und ist Mitautor von Monographien zum Neuen Dienstrecht in Bayern, zum Amtshaftungsrecht (www.staats-haftung.de) und zum Kostenrecht. Er hat Jura an der Ludwig-Maximilians-Universität München studiert und wurde dort zum Dr. iur. promoviert. Er war Teilnehmer des 23. Lehrgangs für Verwaltungsführung.
Die Website ist privat erstellt und nicht als dienstliche Äußerung zu verstehen.
Stand 01.03.2021