Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Person kann damit direkt oder indirekt anhand dieser Daten identifiziert werden. Dazu gehören z.B. Name, Adresse, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Matrikelnummer, IP-Adressen und Studienleistungen.

Eine offizielle Definition bietet Art. 4 Nr. 1 DSGVO.

Besonders schutzwürdige personenbezogene Daten sind z.B. Angaben zu rassischer und ethnischer Herkunft, Religion, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheit sowie genetische und biometrische Daten. Besonders schutzwürdige Daten sind in Art. 9 Abs. 1 DSGVO aufgezählt.

Eine offizielle Definition für z.B. genetische und biometrische Daten bieten Art. 4 Nr. 13 und 14 DSGVO.

Die Verarbeitung von personenbezogenen Daten meint jegliche Maßnahmen, die mit personenbezogenen Daten durchgeführt werden. Dabei können diese Maßnahmen sowohl automatisiert als auch nicht automatisiert stattfinden, z.B. Sammeln, Speichern, Verändern, Nutzen, Veröffentlichen oder Nutzen von personenbezogenen Daten.

Eine offizielle Definition bietet Art. 4 Nr. 2 DSGVO.

Bei der Verarbeitung von personenbezogenen Daten muss sichergestellt werden, dass nur Daten verarbeitet werden, die für Ihre Aufgaben unbedingt notwendig sind. Achten Sie auf die Einhaltung der Grundsätze der DSGVO, wie Datensparsamkeit, Zweckbindung und Sicherheit.

Bei Forschungsprojekten, die personenbezogene Daten beinhalten, müssen Sie sicherstellen, dass die betroffenen Personen über die Erhebung und die Verarbeitung ihrer Daten informiert wurden und ggf. eine Einwilligung vorliegt. Wenn Sie für Ihr Forschungsprojekt ein Tool einsetzen und in dieses Programm personenbezogene Daten eingeben, muss mit dem Dienstleister in der Regel ein sog. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden.

Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt. Eine Rechtsgrundlage kann z.B. die Einwilligung der betroffenen Person sein. Aus dem Berliner Datenschutzgesetz ergibt sich die Verarbeitung personenbezogener Daten ohne die Einwilligung häufig aus § 17 BlnDSG zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken.

Bei der Verarbeitung personenbezogener Daten zu den genannten Zwecken muss eine Interessenabwägung durchgeführt werden. Das öffentliche Interesse muss dabei die schutzwürdigen Belange der betroffenen Person erheblich überwiegen. Der Zweck darf nicht auf andere Weise erreicht werden und die Daten nicht zu anderen Zwecken verarbeitet werden nach § 17 Abs. 1 S. 2 BerlDSG.

Sobald es nach dem Forschungszweck und dem statistischen Zweck möglich ist, sind die Daten zu anonymisieren, sofern keine berechtigten Interessen der betroffenen Person entgegenstehen.

Weitere Informationen erhalten Sie in § 17 BerlDSG.

• Ein Verzeichnis über die Verarbeitungstätigkeiten (VzV). Dort wird unter anderem festgehalten, wessen Daten auf welcher Rechtsgrundlage zu welchem Zweck verarbeitet werden. Eine Vorlage kann beim Datenschutzbeauftragten angefordert werden.
• Eine Liste der technisch-organisatorischen Maßnahmen zum Schutz der Daten (als Anhang zum VzV) – hier sind die aktuellen technischen und organisatorischen Maßnahmen (TOM) der FUB-IT maßgeblich sowie die des eventuell eingesetzten Dienstleisters. Diese Liste wird im VzV ebenfalls hinterlegt.
• Bevor die Daten bei den Personen erhoben werden, müssen diese Kenntnis vom Datenschutzhinweis nehmen können. Eine Vorlage stellt Ihnen der Datenschutzbeauftragte zur Verfügung, Diese muss auf Ihr jeweiliges Forschungsprojekt angepasst werden.
• Wenn Sie eine Datenverarbeitung auf die Einwilligung der Betroffenen nach Art. 6 Abs. 1 lit. a DSGVO stützen, muss die Einwilligung nachweislich eingeholt werden. Hierzu benötigen Sie eine dokumentierte/dokumentierbare Einwilligungserklärung. Eine Vorlage ist beim Datenschutzbeauftragten vorhanden.
• Oft benötigen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, falls Sie einen Dienstleister für Ihr Forschungsprojekt mit der Verarbeitung personenbezogener Daten beauftragen. Daneben ist eine TOM-Liste des Auftragnehmers und eine Liste der Unterauftragnehmer erforderlich. Sollte der Dienstleister keinen Auftragsverarbeitungsvertrag anbieten, können Sie ein Muster beim Datenschutzbeauftragten anfragen.
• Mithilfe des ausgefüllten VzV (siehe oben) prüft der externe Datenschutzbeauftragte, ob eine sog. Datenschutzfolgenabschätzung nach Art. 35 DSGVO notwendig ist.
• Weitere Dokumente können nach Absprache ebenfalls erforderlich sein.

Es handelt sich um anonyme Daten, sofern sie sich nicht auf eine bestimmte Person beziehen. Die Daten dürfen auch unter Hinzuziehung zusätzlicher Informationen keinerlei Rückschlüsse auf eine Person zulassen. Folglich gilt die Person als nicht mehr identifizierbar und die Daten sind anonym.

Personenbezogene Daten sind pseudonymisiert, wenn diese durch eine Verschlüsselung geschützt sind. Beispielsweise wird der Name durch einen Code ersetzt. Dabei dürfen Nutzer*innen keinen Zugriff auf die Entschlüsselungsinformationen haben. Ebenso ist es wichtig, dass eine gesonderte Aufbewahrung des Schlüssels gegeben ist sowie durch technische und organisatorische Maßnahmen gesichert ist.

Bei pseudonymen Daten handelt es sich weiterhin um personenbezogene Daten, so dass die DSGVO Anwendung findet. Die Identität kann hierbei wiederhergestellt werden. Anonyme Daten hingegen unterfallen nicht der DSGVO, da der Personenbezug fehlt und die betroffene Person nicht mehr identifizierbar ist.

Die Vorteile einer Pseudonymisierung oder Anonymisierung sind zum einen das fehlende Risiko der betroffenen Personen, sofern Daten unbefugt entwendet oder eingesehen werden. Zum anderen führt insbesondere die Pseudonymisierung zu keinerlei Informationsverlust aufseiten des Verantwortlichen. Bereits pseudonymisierte Daten können einfach anonymisiert werden, indem der Personenbezug unwiderruflich gelöscht wird.

Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. Dabei muss die betroffene Person aktiv zustimmen, beispielsweise durch das Ankreuzen eines Kästchens. Die Einwilligung muss dokumentiert werden und ist jederzeit widerruflich.

Betroffene Personen haben folgende Rechte:

• das Auskunftsrecht (Art. 15 DSGVO)
• das Recht auf Berichtigung (Art. 16 DSGVO)
• das Recht auf Löschung/Vergessenwerden (Art. 17 DSGVO)
• das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• das Widerspruchsrecht (Art. 21 DSGVO)
• das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Etwas anderes könnte sich ergeben, wenn es rechtliche Aufbewahrungspflichten gibt.

Eine Datenpanne liegt vor, wenn die Daten nicht ordnungsgemäß verarbeitet werden, z.B. bei dem Verlust von Speichermedien/ Dokumenten mit personenbezogenen Daten, Datenlecks (Softwarefehler, Hack), unbeabsichtigte Veränderung oder Löschung personenbezogener Daten. In einem solchen Fall müssen unverzüglich die Datenschutzbeauftragten benachrichtigt werden, damit identifiziert werden kann, ob ein Datenschutzvorfall vorliegt.

Personenbezogene Daten sollten umgehend gelöscht werden und der Absendende darauf hingewiesen werden, dass eine Löschung erfolgt ist und unaufgeforderte personenbezogene Daten nicht übermittelt werden sollten.