Was sind personenbezogene Daten genau? Mit konkreten Beispielen
Die Legaldefinition aus Art. 4 Nr. 1 DSGVO
Die Definition ist absichtlich weit gefasst: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Als identifizierbar gilt eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere über eine Kennung wie Name, Kennnummer, Standortdaten, Online-Kennung oder ein oder mehrere besondere Merkmale (physisch, physiologisch, genetisch, psychisch, wirtschaftlich, kulturell, sozial).
Direkte personenbezogene Daten
Klassiker: Vor- und Nachname, Anschrift, private und geschäftliche E-Mail-Adresse, Telefonnummer, Geburtsdatum, Personalausweis-, Steuer- und Sozialversicherungsnummer, Kontoverbindung, Kreditkartennummer, Personalnummer im Unternehmen, KFZ-Kennzeichen, Mitarbeiterfoto im Intranet, Stimmaufnahme im Callcenter. Auch ein Schlüsselbund mit Foto und Aufschrift „Schmidt, Tel. 0151…“ ist personenbezogen.
Indirekte personenbezogene Daten (Online-Kennungen)
Hier wird es spannend: IP-Adressen sind nach EuGH-Rechtsprechung (C-582/14, Breyer) personenbezogen, sobald der Betreiber die Möglichkeit hat, sie über Dritte zu identifizieren. Auch Cookie-IDs, Werbe-IDs (IDFA, GAID), Device-Fingerprints, Login-Tokens, MAC-Adressen und Session-IDs zählen dazu. Standortdaten aus Apps, GPS-Tracks, WLAN-Probe-Requests, alles personenbezogen.
Besondere Kategorien (Art. 9 DSGVO)
Sensible Daten unterliegen einem grundsätzlichen Verarbeitungsverbot mit Ausnahmen: rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung. Verarbeitung nur mit ausdrücklicher Einwilligung oder klar definierten Rechtsgrundlagen (z. B. Arbeitsrecht, Sozialrecht).
Anonym vs. pseudonym · der entscheidende Unterschied
Anonyme Daten (keine Re-Identifizierung mehr möglich) fallen NICHT unter die DSGVO. Pseudonyme Daten dagegen schon, z. B. ein Datensatz mit „User 4711“ ist pseudonym, wenn der Zuordnungs-Schlüssel irgendwo existiert. In der Praxis ist echte Anonymisierung schwer; das Bayerische Landesamt für Datenschutzaufsicht warnt, dass viele „anonyme“ Datensätze über Kombinationen re-identifizierbar bleiben.
Was zählt NICHT als personenbezogene Daten?
Daten juristischer Personen (GmbH, AG), solange kein natürlicher Mensch dahinter identifizierbar wird. Allgemeine Statistiken ohne Personenbezug. Echte Anonymisierungen. Daten Verstorbener (Art. 27 BDSG; einzelne Länder regeln das anders). Aber Achtung: Eine geschäftliche E-Mail-Adresse wie „[email protected]“ ist sehr wohl personenbezogen, weil eine natürliche Person dahintersteht.
Praxis-Check für dein Unternehmen
Frage zu jeder Datenkategorie: Lässt sich daraus, allein oder kombiniert, eine konkrete Person ableiten? Wenn ja: DSGVO gilt. Dann brauchst du Rechtsgrundlage (Art. 6), Information (Art. 13/14), ggf. Einwilligung, Eintrag im Verarbeitungsverzeichnis (Art. 30) und passende TOMs (Art. 32).
Hinweis
Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung. Bei konkreten Fragen ziehe einen Datenschutzbeauftragten oder Fachanwalt hinzu.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))