Zum Hauptinhalt springen
Datenschutz / DSGVO

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

Personenbezogene Daten sind das Kernkonzept des gesamten europäischen Datenschutzrechts. Gemäß Art. 4 Nr. 1 DSGVO umfasst dieser Begriff alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person – die sogenannte betroffene Person – beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität identifiziert werden kann.

Für die Praxis bedeutet dies: Der Begriff ist außerordentlich weit auszulegen. Klassische Beispiele sind Name, Adresse, Geburtsdatum, E-Mail-Adresse und Telefonnummer. Darüber hinaus fallen jedoch auch IP-Adressen, Cookie-IDs, Kfz-Kennzeichen, Fotos, biometrische Daten und selbst scheinbar harmlose Kombinationen einzelner Informationen unter den Begriff, sofern sie die Identifizierung einer Person ermöglichen. Daten juristischer Personen oder verstorbener Personen fallen grundsätzlich nicht unter die DSGVO.

Als Compliance Officer müssen Sie bei jeder neuen Verarbeitungstätigkeit als ersten Schritt prüfen, ob personenbezogene Daten im Spiel sind. Nur wenn dies bejaht wird, greifen alle weiteren DSGVO-Pflichten: die Aufnahme ins Verarbeitungsverzeichnis (Art. 30 DSGVO), die Prüfung der Rechtsgrundlage (Art. 6 DSGVO) und die Beachtung der Betroffenenrechte (Art. 15–21 DSGVO). Eine präzise Abgrenzung personenbezogener von anonymisierten Daten ist daher von erheblicher praktischer Bedeutung.

Rechtliche Grundlage

Art. 4 Nr. 1 DSGVO

Praxisbeispiel

Ihr Unternehmen möchte eine neue Marketing-Analyseplattform einführen, die Nutzungsverhalten auf der Website auswertet. Der Anbieter beteuert, es handle sich um anonymisierte Daten. Als Compliance Officer prüfen Sie, ob die erhobenen Cookie-IDs und IP-Adressen tatsächlich keine Rückschlüsse auf einzelne Personen zulassen. Da der Anbieter IP-Adressen nur gekürzt speichert und eine Re-Identifizierung technisch ausgeschlossen ist, gelangen Sie zur Einschätzung, dass keine personenbezogenen Daten verarbeitet werden. Würde die vollständige IP-Adresse gespeichert, wäre die DSGVO hingegen vollumfänglich anwendbar, und Sie müssten unter anderem einen AVV mit dem Anbieter abschließen.

Häufige Fragen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Dazu gehören nicht nur offensichtliche Angaben wie Name und Adresse, sondern auch IP-Adressen, Cookie-IDs und biometrische Merkmale.
Echte anonymisierte Daten, bei denen eine Re-Identifizierung der betroffenen Person dauerhaft und mit verhältnismäßigem Aufwand ausgeschlossen ist, fallen nicht unter die DSGVO. Pseudonymisierte Daten hingegen gelten weiterhin als personenbezogen, da eine Zuordnung zur Person mit zusätzlichem Wissen theoretisch möglich bleibt.
Sobald personenbezogene Daten verarbeitet werden, gilt die DSGVO vollumfänglich. Es müssen eine Rechtsgrundlage vorliegen, die Verarbeitung ins Verarbeitungsverzeichnis aufgenommen werden und Betroffenenrechte gewährleistet sein. Verstöße können Bußgelder von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Verarbeitungsverzeichnis (VVT) Betroffenenrechte Technische und organisatorische Maßnahmen (TOMs) Einwilligung (Consent) Datenschutzbeauftragter (DSB)
Zurück zum Glossar