Daten sind dann personenbezogen bzw. personenbeziehbar, wenn sie eindeutig einer bestimmten natürlichen Person zugeordnet werden können. Darunter fallen zum Beispiel Informationen wie Ihr Name, Geburtsdatum, Adresse, Postanschrift, personalisierte E-Mailadresse, Krankenversichertennummer und Telefonnummer.
Der europäische Gesetzgeber hat das etwas komplizierter wie nachfolgend definiert (Art. 4 Nr. 1 EU-DSGVO):
„Im Sinne dieser Verordnung bezeichnet der Ausdruck "personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind identifiziert werden kann.“
Sozialdaten sind personenbezogene Daten, die von z.B. einer gesetzlichen Krankenkasse (die BKK Technoform zählt dazu) im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeitet werden. Die oben genannten Daten sind daher auch zugleich Sozialdaten.
Diesen gleichgestellt sind Betriebs- und Geschäftsgeheimnisse. Hierunter sind alle betriebs- oder geschäftsbezogenen Daten, auch von juristischen Personen, zu verstehen, die Geheimnischarakter haben.
Im Sozialgesetzbuch (§ 67 Abs. 2 SGB X) hat der Gesetzgeber das wie folgt definiert:
„Sozialdaten sind personenbezogene Daten (Art. 4 Nr. 1 EU-DSGVO), die von einer in § 35 des Ersten Buches genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden. Betriebs- und Geschäftsgeheimnisse sind alle betriebs- oder geschäftsbezogenen Daten, auch von juristischen Personen, die Geheimnischarakter haben.“
Wenn wir personenbezogene Daten und Sozialdaten verarbeiten, bedeutet das, dass wir diese zum Beispiel erheben, speichern, nutzen, übermitteln oder löschen.
In der europäischen Datenschutzgrundverordnung ist das wie folgt definiert (Art 4 Nr. 2 EU-DSGVO):
"Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.