Art. 4 Abs. 1 DSGVO

Nicht jedes Datum im Unternehmen unterliegt dem Schutz der DSGVO. Lediglich personenbezogene Daten sind schutzbedürftig. Was personenbezogene Daten sind, beschreibt die Legaldefinition des Art. 4 Abs. 1 DSGVO:
Die Bezeichnung „personenbezogene Daten“ kennzeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.; Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Daraus wird erkennbar, dass Produktionsdaten zumeist nicht dem Schutz der DSGVO unterliegen. Wird z. B. in einem produzierenden Betrieb eine CNC-Fräse für die Bearbeitung eines Werkstücks programmiert, so handelt es sich hierbei zwar um Daten, nicht aber um solche mit Personenbezug. Werden in dem Unternehmen jedoch Protokolle der Internet-Nutzung erfasst, handelt es sich um personenbezogenes Datenmaterial, denn die Arbeitnehmerin/der Arbeitnehmer ist damit in ihrem/seinem Surfverhalten identifizierbar. Häufig ist es aus betriebswirtschaftlichen Gründen ratsam, auch nicht personenbezogene Daten in das Datenschutzmanagement zu integrieren, um Geschäftsgeheimnisse zu bewahren. Ist dies der Fall, wird der gesetzliche Pflichtenkatalog verlassen.

Trotz der zunächst eindeutig erscheinenden Definition kann es zu Grenzfällen kommen, in welchen nicht mit hinreichender Sicherheit eine Aussage über die Schutzbedürftigkeit von Daten getroffen werden kann. In derartigen Fällen sollte man im Zweifel immer „zugunsten des Datenschutzes“ entscheiden.
Durch die DSGVO geschützt werden ausschließlich die Rechte und Freiheiten natürlicher Personen. Dies bedeutet, dass juristische Personen und die zu ihnen gehörigen Daten nicht in den Schutzbereich des Gesetzes einbezogen sind. Der Begriff „natürliche Person“ ist seinerseits legaldefiniert. Dies jedoch nicht in der DSGVO, sondern im § 1 des Bürgerlichen Gesetzbuches (BGB). Bei natürlichen Personen handelt es sich somit um lebende Menschen, ungeachtet ihres Alters oder ihrer Geschäftsfähigkeit. Den natürlichen Personen gleichgestellt sind die so genannten Personengesellschaften, selbst wenn diese eine eigene Rechtspersönlichkeit innehaben können. Personengesellschaften sind

Natürliche Personen

Durch die DSGVO geschützt werden ausschließlich die Rechte und Freiheiten natürlicher Personen. Dies bedeutet, dass juristische Personen und die zu ihnen gehörigen Daten nicht in den Schutzbereich des Gesetzes einbezogen sind. Der Begriff „natürliche Person“ ist seinerseits legaldefiniert. Dies jedoch nicht in der DSGVO, sondern im § 1 des Bürgerlichen Gesetzbuches (BGB). Bei natürlichen Personen handelt es sich somit um lebende Menschen, ungeachtet ihres Alters oder ihrer Geschäftsfähigkeit. Den natürlichen Personen gleichgestellt sind die so genannten Personengesellschaften, selbst wenn diese eine eigene Rechtspersönlichkeit innehaben können. Personengesellschaften sind:

• Gesellschaft bürgerlichen Rechts (GbR),
• Offene Handelsgesellschaft (OHG),
• Kommanditgesellschaft (KG),
• Stille Gesellschaft,
• GmbH & Co. KG,
• Reederei.

Gemeint sind somit Gesellschaften, in welchen es einen oder mehrere persönlich haftende Gesellschafter gibt.

Hiervon abzugrenzen sind die Kapitalgesellschaften, also Vereinigungen, welche lediglich mit ihrem Gesellschaftsvermögen haften; die juristischen Personen. Juristische Personen des Privatrechts sind:

• eingetragener Verein (e.V.),
• Aktiengesellschaft (AG),
• Kommanditgesellschaft auf Aktien (KG aA),
• Gesellschaft mit beschränkter Haftung (GmbH),
• eingetragene Genossenschaft (eG).

Daten juristischer Personen sind nicht durch die DSGVO geschützt, sodass man das Datenschutzmanagement in der Regel auf Bereiche, in welchen mit Daten natürlicher Personen gearbeitet wird, begrenzen kann. In zwei Bereichen kann es jedoch zu Ausnahmen kommen mit der Folge, dass auch Daten aus dem Umfeld juristischer Personen schutzbedürftig sein können:

Die Ein-Mann-GmbH

Nicht auszuschließen ist die Situation, dass eine GmbH über lediglich einen einzigen Gesellschafter verfügt. Ist dieser Gesellschafter dann gleichzeitig auch alleiniger Geschäftsführer, so ist von einer Personenidentität zwischen Gesellschaft und Gesellschafter auszugehen. Dies begründet sich aus der die Gesellschaft und ihre Handlungen alleinig beherrschenden Position des Gesellschafters und gleichzeitigen Geschäftsführers; so wie die Gesellschaft handelt, handelt auch die sie allein beherrschende natürliche Person und umgekehrt.

Somit ist eine Ein-Mann-GmbH wie eine natürliche Person zu behandeln.

Kontaktdaten von Mitarbeiterinnen und Mitarbeiter

Häufig hingegen ist die Situation, dass man Daten von Ansprechpartnern erfasst, welche bei, an sich nicht schutzbedürftigen, juristischen Personen beschäftigt sind. Diese Situation ist nicht unmittelbar gesetzlich geregelt. Hier kann aber davon ausgegangen werden, dass die Speicherung lediglich geschäftlicher Kontaktdaten dem Bereich der juristischen Person zuzuordnen ist und durch die Betroffenen somit hingenommen werden muss. Insbesondere gilt dies für: Name, Tätigkeitsbereich, geschäftliche Adresse, Telefon- und Faxnummer, E-Mail-Adresse und vergleichbare Daten für die geschäftliche Kommunikation und Kontaktaufnahme. Werden aber darüber hinaus weitere Informationen, ggf. sogar mit persönlichem Hintergrund, erfasst (Stichwort „CRM“), handelt es sich um schutzbedürftige Angaben zur natürlichen Person.

Identifizierte natürliche Personen

„Bestimmt“ ist eine natürliche Person dann, wenn man dieser ein Datum konkret zuweisen kann.

Beispiele:

• Die Gehaltsabrechnung von Herrn X,
• die Adresse von Frau Y,
• die Lieferadresse sowie Daten des Zahlungsverkehrs beim Kunden XY (sofern es sich um eine natürliche Person handelt).

Identifizierbare natürliche Personen

Die Frage, wann eine natürliche Person identifizierbar wird, ist nicht immer leicht zu beantworten. Grundsätzlich kann von einer Identifizierbarkeit ausgegangen werden, sofern zunächst nicht auf eine Person rückführbare Datensätze mit weiteren Angaben verbunden werden und hierdurch ein Personenbezug entsteht.

Beispiele:

• Nicknames von Nutzern bestimmter Internetangebote lassen die dahinter stehende natürliche Person zunächst nicht erkennen. Verknüpft der Provider diese Daten aber mit Angaben aus der Nutzeranmeldung, kann nachvollzogen werden, wer sich hinter dem Nickname verbirgt.
• Die Erstellung von Leistungsauswertungen am Arbeitsplatz unter Verwendung der Personalnummer ermöglicht es zunächst nicht, zu erkennen, welche Mitarbeiterin bzw. welcher Mitarbeiter tatsächlich gemeint ist. Jedoch kann die Personalabteilung diese Nummern konkreten Beschäftigten zuordnen, auch wenn sie selbst diese Auswertungen weder erstellt noch bezieht.

Häufig stellt sich die Situation dergestalt dar, dass zwar nicht das Unternehmen selbst oder der vorgesehene Empfänger den Personenbezug herstellen kann, wohl aber eine dritte, in den aktuellen Vorgang jedoch nicht involvierte Stelle.

Beispiel:

• Ein Unternehmen betreibt einen Internet-Auftritt. Um diesen optimal zu gestalten, wird ein Analyse-Dienst mit Sitz in den USA mit der Erstellung einer dezidierten Nutzeranalyse beauftragt. Um die Analyse fertigen zu können, erhält das Unternehmen die IP-Adressen der jeweiligen Besucher der Seite. Das die Daten empfangene Unternehmen ist nicht in der Lage, die (dynamischen) IP-Adressen einer konkreten Person zuzuordnen. Dies kann ausschließlich der jeweilige Provider, welcher jedoch in keinerlei Verbindung mit dem Analysedienst steht. Somit ist im Grunde die Identität der betroffenen Personen nicht gefährdet, da das in den USA ansässige Unternehmen selbst nicht in der Lage ist, einen Personenbezug herzustellen.

In der herrschenden Meinung der datenschutzrechtlichen Literatur sowie in zahlreichen Gerichtsentscheidungen wird jedoch die Auffassung vertreten, dass es gleichgültig ist, ob die verarbeitende Stelle, der Empfänger oder ein beliebiger Dritter den Personenbezug herstellen kann. Ist dies in irgendeiner Weise möglich, gilt das Datum als personenbeziehbar und ist somit den Regelungen der DSGVO unterworfen. Dies gilt auch dann, wenn zwischen dem Inhaber der Daten und der Stelle, welche einen Personenbezug herstellen kann, keinerlei Verbindung besteht, wie dies im obigen Beispiel der Fall wäre.