Im Rahmen des Datenschutzes, spricht man oft von personenbezogene Daten. Was sind aber jetzt personenbezogen Daten und wie werden diese definiert?

Definitionen:
„„Daten“ („personenbezogene Daten“): Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;“ (§4 Abs.1 DSG2000)

Es gibt aber auch noch besonders schutzwürdige Daten beziehungsweise sensible Daten.
Diese werden wie folgt definiert:

„Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben.“(§4 Abs.2 DSG2000)

Das deutsche Bundesamt für Sicherheit und Informationstechnik hat aufgrund dieser Untescheidung folgende Kategeorien der Schutzbedürfnisse erstellt.

Schutzbedarfskategorien:

Normal: Die Schadensauswirkungen sind überschaubar und begrenzt.
Hoch: Die Schadensauswirkungen können erheblich sein.
Sehr hoch: Die Schadensauswirkungen können ein katastrophales, existentiell bedrohliches Ausmaß erreichen.

Beispiele:
Kategorie Normal:
Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden. Eine Beeinträchtigung der persönlichen Unversertheit erscheint nicht möglich.

Kategorie Hoch:
Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt. Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.

Kategorie sehr hoch:
Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich.

Anhand dieser Einteilung der Daten und wie diese genutzt werden, muss eine Schutzbedarfsfestellung für Anwendungen, IT-Systeme, Räume und Kommunikationsverbindungen erhoben werden.

Mehr Infos finden Sie im folgendem Dokument:
BSI-Standard 100-2 / IT-Grundschutz-Vorgehensweise