Wir werden untersuchen, wie wir herausfinden können, welche personenbezogenen Daten verarbeitet werden und wie wir die betroffene Person identifizieren können.
Kurz gesagt
Was sind personenbezogene Daten?
Die DSGVO bezieht sich auf die vollständige oder teilweise Verarbeitung personenbezogener Daten durch automatische Systeme oder auf die Erhebung personenbezogener Daten, die Teil eines Datenerfassungssystems sind oder sein sollen, auf andere als automatische Weise.
Personenbezogene Daten enthalten hauptsächlich Informationen über natürliche Personen, die direkt oder indirekt durch die betreffenden Daten definiert oder identifiziert werden können oder die indirekt durch diese Informationen in Kombination mit anderen Informationen erkannt werden können.
Personenbezogene Daten können auch bestimmte Arten von personenbezogenen Daten oder Daten im Zusammenhang mit Vorstrafen und Straftaten enthalten. Solche Daten gelten als besonders schutzbedürftig und können nur unter eingeschränkten Bedingungen verarbeitet werden.
Pseudonymisierte Daten können dazu beitragen, Bedenken hinsichtlich des Schutzes der Privatsphäre zu minimieren, indem sie die Identifizierung von Personen erschweren; dennoch handelt es sich bei diesen Informationen immer noch um personenbezogene Daten. Personenbezogene Daten können jedoch Informationen über Einzelpersonen darstellen, die als Einzelunternehmer, Angestellte, Gesellschafter und Geschäftsführer von Privatunternehmen tätig sind, da diese Personen persönlich identifizierbar sind und als Einzelpersonen bezeichnet werden.
Identifizierung der betroffenen Person. Was sind die Bestandteile der Identifizierung?
Eine Person wird „identifiziert“ oder „identifizierbar“, um sie von anderen zu unterscheiden. Um eine Person zu identifizieren, kann eine Vielzahl von Identifikationsfaktoren erforderlich sein. Die Datenschutz-Grundverordnung enthält eine nicht erschöpfende Liste von Unterscheidungsmerkmalen, darunter:
Zu den „Online-Kennungen“ gehören IP-Adressen und Kennungen von Cookies, die persönliche Informationen darstellen können. Andere Faktoren können eine Person identifizieren.
Direkte Identifizierung einer natürlichen Person
Wenn Sie eine Person allein durch die Analyse der von Ihnen verarbeiteten Informationen von anderen Personen unterscheiden können, dann wird die Person erkannt (oder identifizierbar).
Um sie zu identifizieren, muss man nicht unbedingt den Namen einer Person kennen, sondern es genügen eine Reihe anderer Merkmale, um sie zu identifizieren.
Wenn aus diesen Informationen eine Person konkret identifiziert werden kann, kann es sich um personenbezogene Daten handeln.
Indirekt Identifizierung einer natürlichen Person
Es ist zu bedenken, dass eine Person durch die von Ihnen mitgeführten Informationen indirekt identifiziert werden kann und somit personenbezogene Daten darstellen kann. Auch wenn Sie zusätzliche Daten benötigen, um jemanden zu erkennen, bleibt die Person erkennbar. Bei den zusätzlichen Daten kann es sich um Daten handeln, die Sie bereits haben, oder um Informationen, auf die Sie aus einer anderen Quelle zugreifen müssen.
In manchen Situationen besteht die geringfügige hypothetische Möglichkeit, dass jemand die Daten so zusammensetzt, dass die Person identifiziert werden kann. Im Kontext der Datenschutz-Grundverordnung ist dies jedoch im Allgemeinen keine notwendige Voraussetzung dafür, dass die Person identifizierbar ist. Es wäre hilfreich, wenn Sie alle beteiligten Variablen in Betracht ziehen würden. Wenn Sie entscheiden, ob Personen identifiziert werden können, müssen Sie die Instrumente bestimmen, die eine interessierte Partei verwenden kann.