Was sind personenbezogene Daten?

Was sind personenbezogene Daten überhaupt? Was verstehen wir darunter? Welche Kategorien und Arten gibt es?

Zuerst eine Definition. Sie ist der DSGVO (Datenschutz Grundverordnung der EU) entnommen.

Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen.

In den meisten Ländern betreffen diese Daten ausschliesslich natürliche Personen. In der Schweiz wird dabei der Begriff Personendaten verwendet. Diese beziehen sich im Gegensatz zur DSGVO vorläufig allerdings auch auf juristische Personen.

In unserem Beitrag verwenden wir sowohl den Begriff personenbezogenen Daten wie auch Personendaten als Synonyme.

Weitere Informationen dazu finden sich unter: https://de.wikipedia.org/wiki/Personenbezogene_Daten

Somit sind also alle Daten, die mit einer Person in Zusammenhang gebracht werden können, personenbezogene Daten.

Wir unterteilen sie nach zwei Kriterien:

  1. Nach Anforderungen des Datenschutzes und nach der Verwendbarkeit der Daten zur Identifikation von Personen.
  2. Nach der Art. D.h. wir unterscheiden, wozu die Daten verwendet werden. Es kann sich dabei um Kundendaten, Patientendaten, etc. handeln.

Klassen personenbezogener Daten

Diese Daten lassen sich aus verschiedenen Gesichtspunkten in Klassen einteilen. Erstens liefern die Datenschutz Gesetze dazu Kriterien. Dort werden besonders geschützte Daten als gesonderte Klasse aufgelistet.

In einer zweiten Sicht betrachten wir die Daten bezüglich der Möglichkeit zur Identifikation von Personen. Denn nicht alle Personendaten sind dazu gleichermassen brauchbar. Einige Informationen lassen sich mit Software besser nutzen, um die betroffene Person zu erkennen.

Und schliesslich haben wir in einer dritten Klasse einige Bemerkungen zu den übrigen Informationen zusammengefasst. Selbstverständlich müssen wir uns hier beschränken. Wir haben uns durch unsre Erfahrungen in den Projekten leiten lassen. So finden Sie Hinweise zu einer kleinen Auswahl anderer personenbezogener Daten.

Klasse 1:  besonders geschützte Daten

Der gesetzliche Datenschutz (DSGVO) sieht für die folgenden Daten einen besonderen Schutz vor:

  • Ethnische Herkunft
  • Rassische Herkunft
  • Politische Meinungen
  • Gewerkschaftszugehörigkeit
  • Religiöse und weltanschauliche Überzeugungen
  • Genetische Daten
  • Biometrische Daten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Diese Daten dürfen nicht verarbeitet werden.

Klasse 2: zur Identifikation verwendbaren Daten

Nicht alle Daten eignen sich gleich gut zur Identifikation einer Person. Vergessen wir nicht: Wir beschäftigen uns ausschliesslich mit Personendaten in Datenbanken. Die Identifikation von Personen heisst somit Folgendes: Wir müssen jeden gespeicherten Datensatz einer Person eindeutig zuordnen können. Der von der Datenbank automatisch vergebene Identifikator genügt dazu nicht. Denn wir haben in jeder Datenbank Dubletten. Das sind Datensätze mit unterschiedlichen Identifikatoren. Dennoch gehören sie zu derselben Person.

Die Person in einer Datenbank muss eindeutig identifiziert sein. Sonst können wir sie nicht der richtigen betroffenen Person zuordnen. Zur Identifikation müssen wir die in der Datenbank abgelegten Merkmale beiziehen. Nicht alle Merkmale eignen sich dazu gleich gut. Wir haben deshalb eine Liste zusammengestellt. In ihr finden sich die Merkmale, die dazu besonders geeignet sind. Die detaillierte Beschreibung dieser Merkmale finden Sie zusätzlich hier.

  • Name (Familienname)
  • Vorname(n)
  • Adresse
  • Geburtsdatum
  • Telefonnummern
  • E-Mail-Adressen
  • Sozialversicherungsnummer
  • Andere eingeführte Identifikationsschlüssel.

Klasse 3: weitere personenbezogene Daten

Die eigentliche Nutzinformation der Personendaten ist meist in weiteren Attributen abgelegt. Je nach Anwendung sind es zusätzliche Angaben, wie beispielsweise:

  • Berufsbezeichnungen
  • Arbeitgeber
  • Titel
  • Wirtschaftliche Angaben
  • Foto

Dies sind nur ein paar Beispiele. Die Liste könnte beliebig fortgesetzt werden. I

In der Abbildung unten wichtige Personendaten abgebildet. Die unterschiedliche Einfärbung weist auf die Klasse der Daten hin.

Datenschutz, DSGVO, personenbezogene Daten, Personendaten
Klassen personenbezogener Daten

 

Arten von personenbezogenen Daten

Wir können die personenbezogenen Daten auch nach den Arten einordnen. Solche Arten sind beispielsweise:

  • Kundendaten
  • Patientendaten
  • Mitgliederdaten
  • Versichertendaten
  • Spenderdaten
  • Personaldaten

Diese Einteilung legt das Augenmerk auf die Verwendung der Daten. Die zwei Arten: Kundendaten und Patientendaten haben wir ein wenig detaillierter beschrieben.

Kundendaten

In den Kundendaten fassen wir alle Daten zusammen, die mit dem Ziel eines Verkaufs abgelegt werden.
Damit gehören also alle Informationen auch zu möglichen Kunden dazu. So sind alle Leads und Kontakte ebenfalls Kundendaten.

Fast jedes Unternehmen verwaltet seine Kundendaten in einer Datenbank. Dabei ist die Struktur der Datenbank ist unterschiedlich, ob es sich um Firmen- oder Privatkunden. Deshalb lohnt es sich zwischen Datenbanken mit Privat- und solchen mit Firmenkunden zu unterscheiden.

Die Kundendaten im Privatkundengeschäft (B2C) sind die üblichen Personendaten. Die Person wird über Namen, Vornamen, Adresse identifiziert. Er erhält eine eindeutige Kundennummer.

Bei Kundendaten im Geschäft mit Firmenkunden (B2B) kompliziert die Aufgabe. Der eigentliche Kunde ist die Firma. Dort kommen verschiedene Personen kommen als Ansprechpersonen infrage. Daraus ergibt sich eine mehrstufige Struktur in der Datenbank. Fast immer werden Firmen (Organisationen) und Personen in zwei verschiedenen Tabellen verwaltet. Die Ansprechperson ist mit Name und Vornamen und evtl. weiteren Merkmalen identifiziert. Sie ist jedoch von einem Unternehmen angestellt. Sie gehört also zueiner Firma. Ihre Adresse ist somit die Firmenadresse. Wenn das Unternhemn gross ist, so hat es oft mehrere davon. Welche Adresse ist nun die richtige? Ein weiteres Problem: In der Regl kann ein Aussenstehender nicht feststellen, ob eine Person immer noch in einem Unternehmen arbeitet. Manchmal bleiben die Kontaktadressen noch jahrelang in den Datenbanken. Dies, obwohl die Mitarbeiterin schon lange pensioniert ist oder an einer anderen Stelle arbeitet. Fazit: Die Verwaltung von Kundendaten in einer Firma ist weit anspruchsvoll als diejenige von Privatkunden.

Patientendaten

Die Patientendaten sind wohl die Personendaten mit dem höchsten Schutzanspruch. Sie sind deshalb auch vom Gesetz besonders geschützt. Zudem sind jede und jeder selbst betroffen. Wir sind alle früher oder später Patienten. Wenn falsche Daten über uns abgespeichert sind, so reagieren wir äusserst empfindlich. Wir sind damit für das Thema Datenschutz in diesem Bereich sensibilisiert.

Auf eine Problematik  in Patientendaten sei besonders hingewiesen. Es handelt sich dabei um das Thema Dubletten. Dubletten sind doppelte Datensätze in Datenbanken. Sie gehören jedoch zu derselben Person. Bei den Patientendaten können Dubletten schwerwiegende Konsequenzen haben. So sind die medizinischen Informationen einer Person bei ihren Patientendaten abgelegt. So sind die Informationen auch abrufbar. Sind nun Dubletten vorhanden, kann Folgendes geschehen. Die Datenbank liefert dann bei einer Abfrage nur einen Teil der Information des Patienten. Der andere Teil ist bei der Dublette abgelegt. Diese wird jedoch bei der Abfrage nicht aufgerufen. Die Informationen werden vergessen. Sind diese nicht angezeigten medizinischen Informationen in Notfällen wichtig, so können die Folgen gravierend sein. In modernen Systemen wird heute bei der Erfassung von Patientendaten ein Dublettencheck durchgeführt. Nichtsdestotrotz sind gemäss unseren Erfahrungen zwischen 0,5 und 1 Prozent der Patienten-Datensätze Dubletten.

Jürg Simonett

Dipl. El. Ing. ETH, Dr. sc. techn.

CEO
Senior Consultant bei System- und Datenintegrationsprojekten
bei CrowTen seit 1996

Jürg Simonett