Die DSGVO gilt immer dann, wenn sogenannte personenbezogene Daten verarbeitet werden. Doch was sind eigentlich personenbezogene Daten? Habe ich in meinem Unternehmen mit solchen Daten zu tun?
Die erste Frage beantwortet die DSGVO etwas umständlich so:
[Personenbezogene Daten sind] „ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Nach der Rechtsprechung (des Europäischen Gerichtshofes) ist der Begriff der personenbezogenen Daten möglichst weit auszulegen.
Das bedeutet, dass nicht nur Daten einer Person wie Name, Adresse oder Telefonnummer dazugehören, sondern auch alle Informationen, die auf eine Person Rückschlüsse bieten können. Beispielsweise ist auch die (in der Regel dynamisch vergebene) IP-Adresse eines Internet-Anschlusses oder Mobilfunkgerätes ein solches personenbezogenes Datum (so bereits 2017 der BGH, Urt. v. 16.05.2017, Az. VI ZR 135/13, https://dejure.org/2017,15139). Die IP-Adresse kann zusammen mit einem Zeitpunkt einem Anschlussinhaber und damit einer natürlichen Person zugeordnet werden. Sie unterliegt also dem Datenschutzrecht. Dass nur der Provider die Zuordnung zur Person kennt spielt erst einmal keine Rolle. Ähnlich würde es sich beispielsweise bei Fahrzeugidentifikationsnummern verhalten, die Rückschlüsse auf vorherige und aktuelle Halter/Eigentümer zulassen würde, auch wenn die Identifikation zunächst nur einer Behörde möglich wäre.