Anders, als man es als Laie vermuten könnte, sind personenbezogene Daten auch solche Daten, aus denen man indirekt Rückschlüsse auf die Person ziehen kann. Relevant sind daher beispielsweise auch Webanalysedaten, welche die IP-Adresse des Nutzers enthalten. Solche Daten werden von Google oder Facebook automatisiert eingeholt, wenn Ihre Webseite dies erlaubt. Um die Frage:”Wann dürfen personenbezogene Daten weitergegeben werden?” beantworten zu können, müssen Sie wissen, was nach DS-GVO personenbezogene Daten sind.

Welche personenbezogenen Daten gibt es?

Ohne dass der Nutzer seinen Namen oder seine Adresse eingegeben hat, ist es theoretisch möglich, den Standort des Computers ausfindig zu machen. Somit treffen die Pflichten der DS-GVO jeden Betreiber einer Internetseite, die solche Analysedaten erhebt. Selbst, wenn es sich um eine Seite handelt, die vom Nutzer nur angeschaut werden kann, also keine weiteren Funktionen enthält. Auch Fotos gehören übrigens zu den personenbezogenen Daten.

Was sind besondere Kategorien personenbezogener Daten?

Einem erweiterten Schutz überliegt die Verarbeitung besonderer personenbezogener Daten. Besondere personenbezogene Daten sind sensible Angaben, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.

Ebenfalls dazu gehören genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die Verarbeitung solcher Daten ist nur in Ausnahmefällen oder mit ausdrücklicher Einwilligung des Betroffenen erlaubt. Falls Ihr Unternehmen solche Daten erfasst, ist eine individuelle Rechtsberatung zu empfehlen.

Umfang der Verarbeitung personenbezogener Daten

Ein Kernpunkt der Datenschutzerklärung ist die Nennung des Umfangs der Datenverarbeitung. Für den Verbraucher muss nachvollziehbar sein, in welcher Weise seine Daten genutzt werden.

Nennen Sie konkret, welche Daten erhoben und verwendet werden. Wichtig: Der Umfang der Datenverarbeitung muss für die einzelnen möglichen Vorgänge beschrieben werden, also beispielsweise Newsletter-Bestellung, Registrierung eines Nutzerkontos oder Aufgabe einer Bestellung. Es muss weiterhin beschrieben werden, wie die Datenverarbeitung erfolgt.

Das gilt bei Erfassung durch Privatpersonen

Sofern Sie als Privatperson ausschließlich persönliche oder familiäre Zwecke mit der Datenverarbeitung verfolgen, sind Sie laut Art. 2 DS-GVO vom Anwendungsbereich der Verordnung ausgeschlossen. Sobald aber im Rahmen Ihres Internetauftritts automatisiert personenbezogene Analysedaten erhoben werden, kann trotzdem eine Verpflichtung bestehen. Je nach Gestaltung Ihrer Webseite sollten Sie sich hinsichtlich Ihrer datenschutzrechtlichen Verpflichtungen immer individuell beraten lassen.