Samstag, 2. September 2017

Woran erkenne ich den Schutzbedarf personenbezogener Daten?

Personenbezogene Daten sind zu schützen, einige Daten haben sogar einen besonders hohen Schutzbedarf. Kann man das den Daten eigentlich ansehen? 


Was bedeutet Personenbezug?


Im Datenschutz geht es um den Schutz personenbezogener Daten. Das klingt nach einer Binsenweisheit. Doch was hat es mit dem Personenbezug auf sich? Was versteht man unter personenbezogenen Daten? Im bisherigen Bundesdatenschutzgesetz (BDSG-alt) findet man dazu: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

Woran erkenne ich den Schutzbedarf personenbezogener Daten?
Woran erkenne ich den Schutzbedarf personenbezogener Daten?

In der EU-Datenschutzgrundverordnung (EU-DSGVO/GDPR), die ab 25. Mai 2018 anzuwenden ist, steht: „Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“



Nicht alle Daten sind gleich


Bei den personenbezogenen Daten gibt es Unterschiede hinsichtlich des Schutzbedarfs. So besagt das BDSG-alt: Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten haben einen besonders hohen Schutzbedarf.

Auch die DSGVO nennt besondere Kategorien personenbezogener Daten. Dies sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Solche Daten dürfen nur unter ganz bestimmten Bedingungen verarbeitet werden (Artikel 9 EU-DSGVO), entsprechend hoch ist ihr Schutzbedarf vor missbräuchlicher Nutzung.

Es kommt auf die möglichen Folgen an


Das Prinzip dahinter ist, dass die personenbezogenen Daten in einer höheren Schutzstufe einen entsprechend höheren Schutzbedarf haben. Die Schutzstufe hängt davon ab, welche Folgen es für die Betroffenen hätte, wenn die Daten missbraucht werden. Ein gängiges Schutzstufen-Konzept finden Sie unter http://ogy.de/schutzstufenkonzept (PDF).

So werden zum Beispiel Daten über das Einkommen einer Person oder über Sozialleistungen, die eine Person erhält, eingestuft als Daten, deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen könnte, also sein Ansehen negativ beeinflussen könnte. Entsprechend befindet sich die Schutzstufe für diese Daten bei einer Skala von A (sehr niedrig) bis E (sehr hoch) auf der Stufe C.

Weitere Beispiele zu Daten und ihrem Schutzbedarf finden Sie auch unter http://ogy.de/schutzstufen-2 (PDF).

Kennen Sie den Schutzbedarf personenbezogener Daten?


Frage: Der Beruf einer Person hat oftmals mit dem Ansehen zu tun. Deshalb hat der Beruf genauso wie der Kontostand einen mittleren Schutzbedarf. Stimmt das?

  1. Ja, denn beide Daten können erfahrungsgemäß Einfluss auf das Ansehen einer Person haben. 
  2. Nein, denn der Beruf lässt sich im Gegensatz zum Kontostand häufig in öffentlichen Verzeichnissen nachsehen. 

Lösung: Die Antwort 2. ist richtig. Berufsangaben findet man häufig in Branchenverzeichnissen, im Telefonbuch oder im Internet. Nach Schutzstufen-Konzept ist deshalb der Beruf eine Angabe mit niedrigem oder geringem Schutzbedarf.

Frage: Personenbezogene Daten, die man im Internet findet, haben keinen Schutzbedarf, sie sind ja öffentlich. Stimmt das?

  1. Nein. Zum einen dürfen Daten aus dem Internet nicht einfach verwendet werden, zum anderen können die Daten ungewollt (z.B. durch kriminelle Dritte) ins Internet gelangt sein.
  2. Ja: Alles, was man im Internet findet, ist öffentlich zugänglich und damit frei zu verwenden.

Lösung: Die Antwort 1. ist richtig. Daten im Internet können nicht einfach genutzt werden, nur weil man sie über den Browser findet. Zum Beispiel dürfen Unternehmen Telefonnummern von Verbrauchern, die sich im Internet finden, nicht einfach für Werbeanrufe missbrauchen. Zudem passiert es leider häufig, dass Daten ungewollt im Internet landen, sogar Passwörter lassen sich ungeschützt im Internet aufspüren. Deren Verwendung ist natürlich nicht erlaubt.