Die DSGVO verwendet teilweise bekannte Begriffe neu oder führt auch neue Begriffe ein beziehungsweise greift die Rechtsentwicklung der letzten Jahre, insbesondere durch die Rechtssprechung des EuGH in der Verwendung der Begriffe auf. Nachstehend ein Überblick über die wichtigsten Begriffe und deren Bedeutung.

Unverändert ist in der DSGVO, dass personenbezogene Daten nur solche Daten sind, die sich auf natürliche Personen beziehen. In anderen Ländern, wie zum Beispiel der Schweiz, können auch auf Unternehmen bezogene Daten besonderen Datenschutzregelungen unterliegen. Allerdings gilt das nicht nur für eindeutig identifizierte Personen, sondern auch für identifizierbare Personen.

 

Identifizierbar ist dabei eine Person, wenn die ursprüngliche Information mit weiteren Informationen verknüpft einen Rückschluss auf die konkrete Person zulässt, wobei dies auch über Daten Dritter erfolgen kann (wie zum Beispiel die IP Adresse, wenn der Datenverarbeiter über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen). Keine personenbezogenen Daten liegen (mehr) vor, wenn die Daten dergestalt anonymisiert wurden, dass ein (erneuter) Personenbezug nicht mehr möglich ist. Vorübergehend keine personenbezogenen Daten liegen vor, wenn und solange die Daten pseudonymisiert oder verschlüsselt vorliegen. Hier wird erst dann der Personenbezug wiederhergestellt, wenn die Pseudonyme aufgelöst oder die Daten entschlüsselt werden.

Neu in der DSGVO ist die Definition, wann eine „Verletzung des Schutzes personenbezogener Daten“ vorliegt. Eine Schutzverletzung liegt dann vor, wenn eine Verletzung der Sicherheit vorliegt, die,

  • unbeabsichtigt oder unrechtmäßig
  • zur Vernichtung
  • zum Verlust
  • zur Veränderung
  • zur unbefugten Offenlegung oder
  • zum unbefugten Zugang

personenbezogener Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Der bisherige Katalog besonders geschützter Daten ist ergänzt worden und umfasst nunmehr insbesondere genetische, biometrische und gesundheitsbezogene Daten, sowie Daten über strafrechtliche Verurteilungen und Straftaten. Besondere Regelungen gelten daneben für das Profiling, also für jede Art der automatisierten Verarbeitung personenbezogener Daten, die bestimmte persönliche Aspekte nutzt, um Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren oder vorherzusagen. Praktische Beispiele für solche besonders geschützten Daten sind:

  • Persönliche Merkmale wie ethnische Herkunft, Wohnort, Größe, Gewicht, Augenfarbe, Konfession, Sexualleben und sexuelle Ausrichtung sowie vergleichbare Daten im höchstpersönlichen Lebensbereich des Betroffenen einschließlich Datenformaten, die solche Daten anderer Form wiedergeben, wie zum Beispiel Bilder, Videos,
  • Gesundheitsdaten, einschließlich Daten aus der Erbringung von Gesundheitsdienstleistungen und Daten, aus denen auf den Gesundheitszustand des Betroffenen geschlossen werden kann,
  • Persönliche Vorlieben wie zum Beispiel Einkaufsverhalten, Zahlungsverhalten, Bonitätsauskünfte (auch solche, die von Dritten bezogen werden),
  • Kreditkarten- und Bankinformationen,
  • die Fingerabdruckinformation aus entsprechenden Smartphones,
  • Geo-Daten wie regelmäßige Aufenthaltsorte, gesuchte und tatsächliche Fahrtziele, Daten aus ortsbasierten Diensten,
  • Weltanschauliche Überzeugungen und politische Meinungen sowie Zugehörigkeit zu einer Gewerkschaft (z.B. als Information in Bewerbungen),
  • Informationen über Aufenthaltsorte von Personen während der Arbeitszeit.

Auswirkung der Kategorisierung als besonders geschützte Daten ist dabei, dass soweit solche Daten verarbeitet werden, unter anderem für diese Datenverarbeitung eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Dabei ist zu beachten, dass zum Beispiel der Fingerabdruck, der im Smartphone gespeichert und zum Beispiel durch eine App genutzt wird, ein biometrisches Merkmal darstellt und damit für diese Verarbeitung ein besonderes Schutzniveau erforderlich ist.