Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sind personenbezogene Daten im Sinne der DSGVO. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Dabei ist zu beachten, dass selbst eine Pseudonymisierung unterzogener personenbezogener Daten unter Heranziehung zusätzlicher Informationen die Identität einer natürlichen Person zu erkennen geben könnten. In diesem Fall unterliegen selbst pseudonymisierte Daten dem Datenschutz. Zur Feststellung der Identifizierbarkeit einer natürlichen Person werden alle Mittel in Betracht gezogen, die nach allgemeinem Ermessen wahrscheinlich genutzt werden. Allgemeines Ermessen bezieht sich dabei auf objektive Faktoren, wie Kosten der Identifizierung, Zeitaufwand, verfügbare Technologie unter Berücksichtigung technologischer Entwicklungen. Nicht unter den Datenschutz fallen anonyme Informationen, die soweit anonymisiert wurden, dass die betroffene Person nicht mehr identifiziert werden kann. In der Pseudonymisierung sehen die Verordnungsgeber der DSGVO ein probates Mittel zur Senkung des Risikos der Bestimmbarkeit natürlicher Personen.

Zu den gesundheitsbezogenen Daten zählen alle Daten, die sich auf den Gesundheitszustand einer betroffenen Person beziehen, wie Informationen über den früheren, gegenwärtigen und künftigen körperlichen und geistigen Gesundheitszustand. Dies betrifft auch Informationen über die natürliche Person im Zuge der Anmeldung und Erbringung von Gesundheitsdienstleistungen. Dem Datenschutz unterliegen unabhängig von der Herkunft der Daten (Arzt, Angehörige eines Gesundheitsberufs, Krankenhaus, Medizinprodukt, In-vitro-Diagnostikum (IVD), Nummern, Symbole, Kennzeichen zur Identifizierung einer natürlichen Person), wie z. B. eine Patientennummer, Informationen von der Prüfung oder Untersuchung eines Körperteils, einer körpereigenen Substanz, aus genetischen Daten oder biologischen Proben stammend, Informationen über Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen, physiologischen oder biomedizinischen Zustand.

Personenbezogene Daten von Kindern sind im besonderen Fokus der DSGVO. Kinder können Risiken, Folgen oder Garantien nicht abschätzen und sind sich ihrer Rechte nicht ausreichend bewusst. Besonderer Schutz gilt daher der Verwendung von Daten von Kindern zu Werbezwecken, die Erstellung von Persönlichkeits- oder Nutzerprofilen, der Erhebung personenbezogener Daten von Kindern bei der Nutzung von Diensten.

Unter besonderen Kategorien personenbezogener Daten versteht die DSGVO die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder wertanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit heraussuchen lassen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Die Verarbeitung dieser Daten ist untersagt. Ausnahmen davon finden sich in Artikel 9 DSGVO.