Personenbezogene Daten
Die Datenschutz-Grundverordnung (DSGVO) gilt für die Verarbeitung von personenbezogenen Daten (Art. 2 Abs. 1 DSGVO; vgl. auch Art. 2 BayDSG).
Personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ (Art. 4 Nr. 1 DSGVO)
Personenbezogen sind Daten also nicht nur dann, wenn eine natürliche Person direkt anhand bestimmter Daten (z.B. des Namens) bestimmt werden kann. Es genügt dabei, wenn eine Person indirekt anhand besonderer Merkmale, zum Beispiel Handschrift, Standortdaten oder IP-Adresse identifiziert werden kann. Bei der Feststellung, ob eine Identifizierung möglich ist, sind alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine natürliche Person zu bestimmen.
Daraus ergibt sich, dass eine Pseudonymisierung (Art. 4 Nr. 5 DSGVO) den Personenbezug grundsätzlich nicht entfallen lässt. Bei einer Pseudonymisierung kann der Verantwortliche oder ein beliebiger Dritter die betroffene Person nämlich durch zusätzliche Informationen (z.B. einer Kennnummer) identifizieren. Auch auf pseudonymisierte Daten ist die DSGVO daher grundsätzlich anwendbar.
Anonym sind Daten nur, wenn sie sich auch zusammen mit zusätzlichen Informationen keiner bestimmten Person zuordnen lassen.
Für den Personenbezug ist unbeachtlich, welches Speichermedium verwendet wird (Papier, Festplatte, DVD) und ob das Verfahren automatisiert oder händisch ist.
Beispiele für personenbezogene Daten, die an der Schule verarbeitet werden, finden sich in deren Datenschutzhinweisen (siehe hierzu die Ausführungen unter Datenschutzhinweise im Internetauftritt für Schulen in dieser Handreichung).
(vgl. auch die Muster-Datenschutzhinweise für Schulen).