Personenbezogene Daten — Definition, Beispiele & DSGVO-Schutz

Was sind personenbezogene Daten? — Definition nach Art. 4 Nr. 1 DSGVO

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt — insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten oder einer Online-Kennung — bestimmt werden kann.

Der Begriff ist bewusst weit gefasst. Der Europäische Gerichtshof (EuGH) und die deutschen Datenschutzaufsichtsbehörden legen ihn extensiv aus. Wichtig ist nicht, ob der Verantwortliche die Person tatsächlich identifiziert, sondern ob die Möglichkeit der Identifizierung besteht — auch unter Zuhilfenahme zusätzlicher Informationen Dritter.

Für Unternehmen bedeutet das: Nahezu jede Information über Kunden, Mitarbeiter, Geschäftspartner oder Website-Besucher fällt unter den Schutz der DSGVO. Ein externer Datenschutzbeauftragter hilft Ihnen, die Grenzen korrekt zu ziehen.

Welche Daten sind personenbezogen? — Umfassende Beispielliste

Die folgende Übersicht zeigt, welche Daten als personenbezogene Daten nach DSGVO gelten. Die Aufzählung ist nicht abschließend, da der technologische Fortschritt ständig neue Identifizierungsmöglichkeiten schafft.

Direkt identifizierende Daten

Diese Daten ermöglichen die unmittelbare Zuordnung zu einer bestimmten Person:

• Name (Vorname, Nachname, Geburtsname)
• Anschrift (Straße, Hausnummer, PLZ, Ort)
• E-Mail-Adresse (insbesondere personalisierte Adressen wie vorname.nachname@domain.de)
• Telefonnummer (Festnetz, Mobil)
• Geburtsdatum und Geburtsort
• Personalausweisnummer, Reisepassnummer
• Sozialversicherungsnummer
• Steuer-ID und Steuernummer
• IBAN und Kontonummer
• Foto oder Videoaufnahme des Gesichts

Indirekt identifizierende Daten

Diese Daten identifizieren eine Person nicht allein, ermöglichen jedoch in Kombination mit anderen Informationen eine Zuordnung:

• IP-Adresse (EuGH-Urteil C-582/14: auch dynamische IP-Adressen sind personenbezogen)
• Cookie-ID und Tracking-Identifier
• Standortdaten (GPS-Koordinaten, WLAN-basierte Ortung)
• Kfz-Kennzeichen
• Matrikelnummer, Personalnummer
• Kundennummer
• Pseudonyme (wenn Rückschluss möglich)
• Bewegungsprofile aus App-Nutzung oder Navigationssystemen

Online-Identifikatoren

Erwägungsgrund 30 DSGVO stellt klar, dass auch digitale Kennungen personenbezogene Daten sind:

• Device-ID (Gerätekennung von Smartphone, Tablet, PC)
• Werbe-ID (Apple IDFA, Google Advertising ID)
• Browser-Fingerprint (Kombination aus Browser-Version, Plugins, Bildschirmauflösung)
• RFID-Tags und NFC-Kennungen
• MAC-Adresse des Netzwerkadapters
• Session-IDs und Login-Token

Besondere Kategorien personenbezogener Daten — Art. 9 DSGVO

Bestimmte personenbezogene Daten unterliegen einem erhöhten Schutzniveau. Ihre Verarbeitung ist grundsätzlich untersagt (Art. 9 Abs. 1 DSGVO), es sei denn, eine der Ausnahmen in Art. 9 Abs. 2 DSGVO greift:

• Rassische und ethnische Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Genetische Daten (Art. 4 Nr. 13 DSGVO)
• Biometrische Daten zur eindeutigen Identifizierung (Fingerabdruck, Iris-Scan, Gesichtserkennung)
• Gesundheitsdaten (Diagnosen, Medikation, Krankschreibungen)
• Daten zum Sexualleben oder zur sexuellen Orientierung

Praxistipp: Verarbeiten Sie besondere Kategorien personenbezogener Daten, ist eine Datenschutz-Folgenabschätzung (DSFA) häufig verpflichtend. Außerdem besteht meist eine Pflicht zur Benennung eines Datenschutzbeauftragten.

Was sind KEINE personenbezogenen Daten?

Nicht jede Information fällt unter den Schutz der DSGVO. Folgende Datenkategorien sind keine personenbezogenen Daten:

• Anonymisierte Daten: Informationen, bei denen der Personenbezug irreversibel entfernt wurde. Eine Rückführung auf die betroffene Person ist mit vernünftigem Aufwand nicht mehr möglich. Beispiel: Vollständig aggregierte Umfrageergebnisse ohne Rückschlussmöglichkeit.
• Unternehmensdaten: Reine Firmendaten wie Handelsregisternummer, Umsatzzahlen oder Unternehmensanschrift — sofern sie sich nicht auf eine natürliche Person beziehen. Achtung: Bei Einzelunternehmen (e.K.) und Freiberuflern sind Firmendaten häufig gleichzeitig personenbezogene Daten!
• Statistische Daten: Rein aggregierte Kennzahlen wie „45 % der Nutzer verwenden Chrome“ — solange kein Rückschluss auf Einzelpersonen möglich ist.
• Daten Verstorbener: Die DSGVO schützt nur lebende natürliche Personen (Erwägungsgrund 27). Nationale Regelungen können jedoch zusätzlichen Schutz vorsehen.
• Sachbezogene Daten: Maschinentemperaturen, Wetterdaten oder chemische Messwerte — sofern keine Zuordnung zu Personen erfolgt.

Pseudonymisierung vs. Anonymisierung — Art. 4 Nr. 5 DSGVO

Die Unterscheidung zwischen Pseudonymisierung und Anonymisierung ist für die DSGVO-Anwendbarkeit wichtig:

Wichtig: Pseudonymisierung ist eine technisch-organisatorische Maßnahme (TOM), keine Befreiung von der DSGVO. Der Zuordnungsschlüssel muss separat und sicher aufbewahrt werden. Mehr zu technischen Schutzmaßnahmen finden Sie unter TOM Datenschutz.

Grundsätze der Datenverarbeitung — Art. 5 DSGVO

Jede Verarbeitung personenbezogener Daten muss den sechs Grundsätzen des Art. 5 DSGVO entsprechen. Diese bilden das Fundament des europäischen Datenschutzrechts:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten dürfen nur auf rechtmäßige Weise verarbeitet werden. Die betroffene Person muss nachvollziehen können, wer ihre Daten zu welchem Zweck verarbeitet. Diese Transparenzpflicht setzt eine klare, verständliche Datenschutzerklärung voraus.

2. Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Verarbeitung zu anderen Zwecken ist grundsätzlich unzulässig, es sei denn, die Weiterverarbeitung ist mit dem ursprünglichen Zweck vereinbar (Art. 6 Abs. 4 DSGVO).

3. Datenminimierung

Es dürfen nur Daten erhoben werden, die für den Verarbeitungszweck angemessen und erheblich sind. Überflüssige Datenfelder in Formularen, unnötige Pflichtangaben oder das vorsorgliche Sammeln von Daten („auf Vorrat“) verstoßen gegen diesen Grundsatz.

4. Richtigkeit

Personenbezogene Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen. Unternehmen benötigen Prozesse zur regelmäßigen Datenbereinigung.

5. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Danach sind sie zu löschen oder zu anonymisieren. Ein dokumentiertes Löschkonzept ist unverzichtbar — die Aufbewahrungsfristen variieren je nach Rechtsgebiet (z.B. 6 Jahre HGB, 10 Jahre AO).

6. Integrität und Vertraulichkeit

Durch geeignete technische und organisatorische Maßnahmen (TOMs) muss ein angemessenes Schutzniveau gewährleistet werden — insbesondere Schutz vor unbefugter Verarbeitung, Verlust, Zerstörung oder Schädigung. Konkrete Maßnahmen umfassen Verschlüsselung, Zugangskontrollen und regelmäßige Sicherheitsaudits.

Rechtsgrundlagen für die Verarbeitung — Art. 6 DSGVO

Jede Verarbeitung personenbezogener Daten erfordert eine Rechtsgrundlage. Art. 6 Abs. 1 DSGVO nennt sechs mögliche Erlaubnistatbestände:

1. Einwilligung (Art. 6 Abs. 1 lit. a): Die betroffene Person hat freiwillig, informiert und unmissverständlich zugestimmt. Die Einwilligung muss jederzeit widerrufbar sein.
2. Vertragserfüllung (Art. 6 Abs. 1 lit. b): Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich — z.B. Lieferadresse für eine Online-Bestellung.
3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Gesetzliche Pflichten erfordern die Verarbeitung — z.B. steuerrechtliche Aufbewahrungspflichten.
4. Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d): Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person — in der Praxis selten relevant.
5. Öffentliches Interesse (Art. 6 Abs. 1 lit. e): Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.
6. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich — sofern nicht die Interessen der betroffenen Person überwiegen. Erfordert laufend eine Interessenabwägung.

Bei der Auftragsverarbeitung muss der Auftraggeber (nicht der Auftragnehmer) über eine gültige Rechtsgrundlage verfügen. Der Auftragsverarbeiter handelt ausschließlich auf Weisung.

Betroffenenrechte — Art. 15 bis 22 DSGVO

Personen, deren Daten verarbeitet werden, haben umfangreiche Rechte gegenüber dem Verantwortlichen:

• Auskunftsrecht (Art. 15): Recht auf Bestätigung und detaillierte Information über die verarbeiteten Daten, Verarbeitungszwecke, Empfänger und Speicherdauer.
• Berichtigungsrecht (Art. 16): Anspruch auf Korrektur unrichtiger Daten und Vervollständigung unvollständiger Daten.
• Recht auf Löschung (Art. 17, „Recht auf Vergessenwerden“): Löschpflicht, wenn Daten nicht mehr erforderlich sind, die Einwilligung widerrufen wird oder die Verarbeitung unrechtmäßig war.
• Recht auf Einschränkung (Art. 18): Daten werden „gesperrt“ und dürfen nur noch eingeschränkt verarbeitet werden.
• Datenübertragbarkeit (Art. 20): Recht, die eigenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen oder für Direktwerbung — bei Direktwerbung ist der Widerspruch unbedingt zu beachten.
• Automatisierte Einzelentscheidungen (Art. 22): Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden — relevant bei KI-gestütztem Scoring oder Profiling.

Frist: Anfragen müssen innerhalb eines Monats beantwortet werden (Art. 12 Abs. 3 DSGVO). Ein dokumentierter Prozess zur Bearbeitung von Betroffenenanfragen gehört zu den Kernaufgaben eines Datenschutzbeauftragten.

Pflichten des Verantwortlichen beim Umgang mit personenbezogenen Daten

Unternehmen, die personenbezogene Daten verarbeiten, treffen umfangreiche Rechenschaftspflichten (Art. 5 Abs. 2 DSGVO). Sie müssen die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können:

• Verarbeitungsverzeichnis führen (Art. 30 DSGVO): Dokumentation aller Verarbeitungstätigkeiten mit Zweck, Datenkategorien, Empfängern und Löschfristen.
• Technische und organisatorische Maßnahmen implementieren (Art. 32): Angemessenes Schutzniveau durch Verschlüsselung, Pseudonymisierung, Zugangskontrollen und regelmäßige Tests.
• Datenschutz-Folgenabschätzung durchführen (Art. 35): Bei voraussichtlich hohem Risiko für Betroffene — insbesondere bei umfangreicher Verarbeitung besonderer Datenkategorien.
• Datenschutzbeauftragten benennen (Art. 37): Pflicht für öffentliche Stellen und Unternehmen mit umfangreicher Datenverarbeitung (in Deutschland: ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten).
• Datenschutzverletzungen melden (Art. 33/34): Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden und ggf. Benachrichtigung der Betroffenen.
• Auftragsverarbeitungsverträge abschließen (Art. 28): Bei Einschaltung externer Dienstleister, die personenbezogene Daten im Auftrag verarbeiten.
• Datenschutz durch Technikgestaltung (Art. 25, Privacy by Design): Datenschutz bereits bei der Entwicklung von Systemen und Prozessen berücksichtigen.

Bußgelder: Verstöße gegen die DSGVO können mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 DSGVO). In Deutschland hat die zuständige Aufsichtsbehörde für Sachsen, die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB), bereits empfindliche Bußgelder verhängt.

Warum DATUREX — Ihr externer Datenschutzbeauftragter für DSGVO-Compliance

Die korrekte Handhabung personenbezogener Daten ist für jedes Unternehmen eine zentrale Herausforderung. Als externer Datenschutzbeauftragter unterstützt die DATUREX GmbH aus Dresden Unternehmen in ganz Sachsen bei der DSGVO-konformen Datenverarbeitung:

• Bestandsaufnahme: Wir identifizieren alle personenbezogenen Daten in Ihrem Unternehmen und erstellen ein vollständiges Verarbeitungsverzeichnis.
• Rechtsgrundlagen-Check: Prüfung jeder Verarbeitungstätigkeit auf eine gültige Rechtsgrundlage nach Art. 6 DSGVO.
• TOM-Beratung: Empfehlung und Umsetzungsbegleitung geeigneter technischer und organisatorischer Maßnahmen.
• Betroffenenrechte-Management: Einrichtung effizienter Prozesse zur fristgerechten Bearbeitung von Auskunfts-, Lösch- und Widerspruchsanfragen.
• Mitarbeiterschulung: Sensibilisierung Ihres Teams für den sicheren Umgang mit personenbezogenen Daten.
• Laufende Betreuung: Kontinuierliche Überwachung der Datenschutz-Compliance und Anpassung an neue Anforderungen.

Weiterführende Informationen: Wann ist ein DSB Pflicht? | Verarbeitungsverzeichnis erstellen | TOM Datenschutz | Datenschutzerklärung Vorlage | Art. 28 DSGVO

Häufig gestellte Fragen (FAQ)

Was sind personenbezogene Daten einfach erklärt?

Personenbezogene Daten sind alle Informationen, die eine bestimmte Person direkt oder indirekt identifizieren können. Dazu gehören offensichtliche Daten wie Name und Adresse, aber auch digitale Kennungen wie IP-Adressen, Cookie-IDs oder Standortdaten. Wichtig ist, ob durch die Information — allein oder in Kombination — ein Rückschluss auf eine konkrete Person möglich ist.

Ist eine IP-Adresse ein personenbezogenes Datum?

Ja. Der Europäische Gerichtshof hat in seinem Urteil vom 19.10.2016 (C-582/14, Breyer) entschieden, dass auch dynamische IP-Adressen personenbezogene Daten darstellen, wenn der Website-Betreiber über rechtliche Mittel verfügt, die betroffene Person über den Internetzugangsanbieter identifizieren zu lassen.

Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?

Bei der Pseudonymisierung wird der direkte Personenbezug durch ein Pseudonym ersetzt, die Zuordnung bleibt jedoch über einen separaten Schlüssel möglich. Die DSGVO gilt weiterhin. Bei der Anonymisierung wird der Personenbezug irreversibel entfernt — die Daten fallen dann nicht mehr unter die DSGVO.

Ab wann muss ein Unternehmen einen Datenschutzbeauftragten benennen?

In Deutschland ist ein Datenschutzbeauftragter Pflicht, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Unabhängig von der Mitarbeiterzahl besteht die Pflicht, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien oder der systematischen Überwachung von Personen liegt.

Welche Bußgelder drohen bei Verstößen gegen den Schutz personenbezogener Daten?

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor (Art. 83). In der Praxis hängt die Höhe von Faktoren wie Schwere des Verstoßes, Vorsatz, ergriffene Gegenmaßnahmen und Kooperationsbereitschaft ab. Bereits vergleichsweise geringe Verstöße wie fehlende Datenschutzerklärungen haben zu Bußgeldern im fünfstelligen Bereich geführt.