Frage:
Werden Internetforenbeiträge unter DSGVO als personenbezogene Daten betrachtet?
reed
2018-05-06 23:20:56 UTC
view on stackexchange narkive permalink

DSGVO definiert "personenbezogene Daten" als Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

"personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person" beziehen '); Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere unter Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physischen, physiologischen, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person;

Nach dieser Definition klingt es wie alles , was ein Benutzer auf einer Website schreibt, für die eine Registrierung erforderlich ist (auch wenn nur eine E-Mail und ein Passwort vorhanden sind) gelten als personenbezogene Daten, auch wenn diese Daten wie bei Internetforenbeiträgen öffentlich sein sollen, auch wenn der Beitragsinhalt nur eine einfache Meinung, ein Gedanke oder eine einfache ist Geschichte. Ist das richtig? Oder gibt es bestimmte Fälle, in denen Forenbeiträge möglicherweise nicht als personenbezogene Daten behandelt werden?

Einer antworten:
user6726
2018-05-08 00:32:41 UTC
view on stackexchange narkive permalink

Im allgemeinen Fall erscheint es aufgrund des (verschlungenen) Wortlauts unwahrscheinlich. In bestimmten Fällen handelt es sich bei diesem Beitrag um personenbezogene Daten, wenn der russische Präsident "Mein Name ist Wladimir Putin" veröffentlicht. Auf der anderen Seite könnten Sie aufgrund meines Schreibens zu dem Schluss kommen, dass ich aus den USA stamme, und Sie könnten sogar zu dem Schluss kommen, dass ich im Bundesstaat Washington bin, aber das unterscheidet mich nicht von 7,5 Millionen anderen, also aus diesen Gründen das sind keine personenbezogenen Daten. Schließlich könnten Sie mich jedoch spezifisch anhand anderer Dinge identifizieren, die ich möglicherweise zu SE gesagt habe.

Die Definition hängt von zwei Teilen ab. Erstens sind personenbezogene Daten "Informationen , die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen". Alle von einer natürlichen Person bereitgestellten "Informationen" beziehen sich auf diese Person (ebenso wie alle "Informationen", die sich auf eine solche Person beziehen). Der zweite Teil definiert "identifizierbare natürliche Person", dh wer ist eine "identifizierbare Person"? Grundsätzlich kann jede Person anhand eines Etiketts oder einer Beschreibung der Tatsachen über sie identifiziert werden, sodass jede Person nach dieser Definition eine identifizierbare Person ist. Dies bedeutet, dass jeder Text, der sich auf eine Person bezieht (nicht einmal Text, der die Person identifizieren kann), "persönliche Daten" sind. Offensichtlich kann jede Person durch eine Sammlung von Identifikatoren eindeutig identifiziert werden. Das Problem ist, dass der Wortlaut des Gesetzes nicht ausdrücklich "Verwendung dieser angeblichen personenbezogenen Daten" besagt. Wenn ich erwähne, dass ich einen Verwandten namens Knudt habe, wären das technisch gesehen personenbezogene Daten: Ich habe Informationen angegeben, die sich auf eine Person beziehen, obwohl Sie keine Ahnung haben (und möglicherweise nicht herausfinden konnten), wer diese Person ist. P. >

Ein anderer Begriff, den die Verordnung an einigen Stellen definiert und verwendet, ist "Pseudonymisierung", definiert als

die Verarbeitung personenbezogener Daten in einer Weise, dass die Person Daten können ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden, sofern diese zusätzlichen Informationen vorliegen Informationen werden separat aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden.

Der Punkt von Interesse ist, dass dies besagt, dass " personenbezogene Daten ", die einer Person nicht zugeordnet werden können, sind dennoch personenbezogene Daten. Ich denke, der wichtigste Teil der Verordnung ist Kunst. 6, in dem die Rechtmäßigkeit der Verarbeitung definiert wird, insbesondere Absatz 4., in dem Schutzmaßnahmen wie die Pseudonymisierung berücksichtigt werden können.

Wenn dies der Fall ist, ist das Gesetz schlecht formuliert. Sie hätten sagen können, dass personenbezogene Daten alle Informationen sind, mit denen eine Person direkt oder indirekt identifiziert werden kann. Wenn Sie "alle Informationen in Bezug auf" sagen, klingt dies so, als ob es sich tatsächlich um Informationen handelt, die vom Benutzer bereitgestellt werden, selbst wenn es sich nur um einen Witz handelt, der in einem Forum veröffentlicht wurde, wodurch der Benutzer die volle Kontrolle über alles hat, was er online schreibt (z. B. Einwilligung widerrufen und Daten löschen). Auf jeden Fall befürchte ich, dass Posts zu bestimmten Themen (Politik, Gesundheit usw.) wahrscheinlich als sensible Daten angesehen werden.
Anscheinend wurde bereits entschieden, dass es sich bei einer IP-Adresse um personenbezogene Daten handelt, vermutlich um "Informationen, die sich auf ... eine identifizierbare natürliche Person beziehen". Ich kenne die Details jedoch nicht. Wenn wir diesen Vorschlag akzeptieren, ist es schwer zu erkennen, dass Daten, die von einer IP-Adresse gesendet werden, keine persönlichen Daten sind, wenn die IP-Adresse nicht entfernt wird. Bei der Frage wird außerdem davon ausgegangen, dass die Daten über ein registriertes Benutzerprofil veröffentlicht wurden.
Darüber hinaus halte ich es nicht für ein Versehen, dass in der Verordnung nicht ausdrücklich "Verwendung dieser Daten" steht, da ein Teil ihres Zwecks darin besteht, Menschen vor Eingriffen in ihre Privatsphäre zu schützen. Es kann private Informationen geben, die nicht dazu beitragen, jemanden zu identifizieren.
"Wenn ich erwähne, dass ich einen Verwandten namens Knudt habe, wären das technisch gesehen personenbezogene Daten: Ich habe Informationen angegeben, die sich auf eine Person beziehen, obwohl Sie keine Ahnung haben (und möglicherweise nicht herausfinden konnten), wer diese Person ist." - Wenn Sie anhand der Daten nicht herausfinden können, wer die Person ist, handelt es sich nicht um personenbezogene Daten innerhalb der Definition in der DSGVO.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...