Definition: Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies umfasst direkte Identifikatoren wie Namen, aber auch indirekte wie Standortdaten oder Online-Kennungen.
Warum sind personenbezogene Daten so wichtig?

Personenbezogene Daten spielen eine zentrale Rolle in unserem digitalen Zeitalter. Sie sind der Grund, warum Unternehmen so vorsichtig mit bestimmten Informationen umgehen und warum du bei vielen Online-Diensten deine Einwilligung zur Datenverarbeitung geben musst.
Die Bedeutung dieser Daten liegt in ihrem Potenzial, Individuen zu identifizieren und möglicherweise sensible Informationen über sie preiszugeben. Dies hat weitreichende Auswirkungen auf Privatsphäre, Datenschutz und sogar auf grundlegende Rechte und Freiheiten.
Lass uns genauer betrachten, wann eine Person als identifizierbar gilt und welche Kriterien dafür ausschlaggebend sind.
Welche Kriterien bestimmen die Identifizierbarkeit einer Person?

Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt durch die Zuordnung zu einer Kennung erkannt werden kann. Hier sind einige wichtige Kriterien:
- Name: Der offensichtlichste Identifikator.
- Kennnummer: z.B. Personalausweis- oder Sozialversicherungsnummer.
- Standortdaten: GPS-Koordinaten oder Adressinformationen.
- Online-Kennung: z.B. IP-Adresse oder Cookie-ID.
- Besondere Merkmale: Aspekte der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität.
Wichtig zu verstehen ist: Es reicht aus, wenn die Person theoretisch identifiziert werden kann. Es kommt nicht darauf an, ob sie tatsächlich identifiziert wird.
Wie unterscheiden sich personenbezogene von nicht-personenbezogenen Daten?
Die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten ist entscheidend für den Datenschutz. Hier ein Überblick:
Nicht-personenbezogene Daten sind Informationen, die keinen Bezug zu einer bestimmten oder bestimmbaren natürlichen Person haben. Dazu gehören:
- Anonymisierte Daten: Daten, die so verändert wurden, dass sie nicht mehr einer spezifischen Person zugeordnet werden können.
- Aggregierte Daten: Zusammengefasste Informationen über Gruppen, bei denen einzelne Personen nicht mehr identifizierbar sind.
- Daten juristischer Personen: Informationen über Unternehmen oder Organisationen (es sei denn, sie lassen Rückschlüsse auf natürliche Personen zu).
Hier eine Tabelle zur Veranschaulichung:
| Personenbezogene Daten | Nicht-personenbezogene Daten |
|---|---|
| Name: Max Mustermann | Durchschnittsalter der Belegschaft: 42 Jahre |
| E-Mail: max.mustermann@firma.de | Firmenumsatz: 1 Million Euro |
| Telefonnummer: +49 123 456789 | Anzahl der Mitarbeiter: 50 |
Diese Unterscheidung ist wichtig, weil personenbezogene Daten besonderen Schutz genießen und ihre Verarbeitung strengen Regeln unterliegt. Nicht-personenbezogene Daten können hingegen freier verwendet werden.
Welche konkreten Beispiele gibt es für personenbezogene Daten im Alltag?
Personenbezogene Daten begegnen uns täglich in verschiedenen Formen. Hier einige Beispiele:
Offensichtliche personenbezogene Daten:
- Name (Vor- und Nachname)
- Adresse (Straße, Hausnummer, Postleitzahl, Ort)
- Geburtsdatum
- Telefonnummer
- E-Mail-Adresse
- Sozialversicherungsnummer
- Personalausweis- oder Passnummer
- Kfz-Kennzeichen
Weniger offensichtliche personenbezogene Daten:
- IP-Adresse
- Cookie-Identifikatoren
- Standortdaten (GPS-Koordinaten)
- RFID-Tags
- Gerätekennungen (z.B. IMEI-Nummer eines Smartphones)
- Nutzer-IDs in Online-Systemen
- Biometrische Daten (z.B. Fingerabdruck, Gesichtserkennung)
Kombinationen von Daten, die zur Identifizierung führen können:
- Job-Titel + Unternehmen (z.B. “CEO von Firma XYZ”)
- Alter + Geschlecht + Postleitzahl
- Seltene Erkrankung + Behandlungsdatum + Krankenhaus
- Schulname + Abschlussjahr + Fachrichtung
Es ist wichtig zu verstehen, dass auch scheinbar harmlose Einzelinformationen in Kombination zur Identifizierung einer Person führen können. Daher sollten alle potenziell personenbezogenen Daten mit Sorgfalt behandelt werden.
Lass uns unser Wissen über personenbezogene Daten testen!
Quiz: Personenbezogene Daten erkennen
Eine Liste mit den Durchschnittsgehältern aller Abteilungen eines Unternehmens
Blank
- Personenbezogen
- Nicht personenbezogen
Die IP-Adresse eines Webseitenbesuchers
Blank
- Personenbezogen
- Nicht personenbezogen
Der Jahresumsatz eines Unternehmens
Blank
- Personenbezogen
- Nicht personenbezogen
Eine Kombination aus Postleitzahl, Geburtsjahr und Geschlecht
Blank
- Personenbezogen
- Nicht personenbezogen
Antworten
Eine Liste mit den Durchschnittsgehältern aller Abteilungen eines Unternehmens
Blank
- Personenbezogen
- Nicht personenbezogen
Erklärung: Diese aggregierten Daten lassen keine Rückschlüsse auf einzelne Personen zu.
Die IP-Adresse eines Webseitenbesuchers
Blank
- Personenbezogen
- Nicht personenbezogen
Erklärung: IP-Adressen können zur Identifizierung einer Person führen und gelten daher als personenbezogene Daten.
Der Jahresumsatz eines Unternehmens
Blank
- Personenbezogen
- Nicht personenbezogen
Erklärung: Dies ist eine Information über eine juristische Person und in der Regel nicht personenbezogen.
Eine Kombination aus Postleitzahl, Geburtsjahr und Geschlecht
Blank
- Personenbezogen
- Nicht personenbezogen
Erklärung: Diese Kombination kann, besonders in kleineren Orten, zur Identifizierung einer Person führen.
Was sind besondere Kategorien personenbezogener Daten?
Die DSGVO unterscheidet zwischen ‘normalen’ personenbezogenen Daten und besonderen Kategorien personenbezogener Daten, oft auch als “sensible Daten” bezeichnet. Diese Daten gelten als besonders schutzbedürftig, da sie intime Aspekte des Privatlebens betreffen oder ein erhöhtes Risiko für Diskriminierung bergen.
Laut Artikel 9 Absatz 1 der DSGVO umfassen die besonderen Kategorien personenbezogener Daten:
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
Diese Daten unterliegen strengeren Schutzmaßnahmen als ‘normale’ personenbezogene Daten.
Warum gelten für besondere Kategorien personenbezogener Daten strengere Regeln?
Für besondere Kategorien personenbezogener Daten gelten strengere Regeln, weil ihre Verarbeitung ein erhöhtes Risiko für die Grundrechte und Freiheiten der betroffenen Personen birgt. Sie könnten beispielsweise zu Diskriminierung oder sozialer Ausgrenzung führen.
Die strengeren Regeln umfassen:
-
Grundsätzliches Verarbeitungsverbot: Die Verarbeitung dieser Daten ist grundsätzlich untersagt, es sei denn, es liegt eine ausdrückliche Ausnahme vor.
-
Ausnahmen: Die DSGVO nennt in Artikel 9 Absatz 2 abschließend die Ausnahmen, die eine Verarbeitung erlauben, wie z.B.:
- Ausdrückliche Einwilligung der betroffenen Person
- Verarbeitung im Rahmen der Arbeits-, Sozial- und Sozialschutzsicherheit
- Schutz lebenswichtiger Interessen
-
Erhöhte Sicherheitsmaßnahmen: Bei der Verarbeitung müssen verstärkte technische und organisatorische Maßnahmen zum Schutz der Daten ergriffen werden.
-
Datenschutz-Folgenabschätzung: In vielen Fällen ist bei der Verarbeitung dieser Daten eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO durchzuführen.
Diese strengeren Regeln sollen sicherstellen, dass besonders sensible Informationen angemessen geschützt werden und nicht missbräuchlich verwendet werden können.
Wie können wir personenbezogene Daten im Unternehmensalltag identifizieren?
Im Geschäftsalltag begegnest du ständig personenbezogenen Daten, oft ohne es bewusst wahrzunehmen. Um sie zu erkennen, solltest du dir folgende Fragen stellen:
- Kann diese Information einer bestimmten Person zugeordnet werden?
- Ermöglicht die Information die Identifizierung einer Person, auch in Kombination mit anderen Daten?
Hier einige typische Szenarien, in denen personenbezogene Daten auftreten:
- Personalverwaltung: Mitarbeiterakten, Gehaltsabrechnungen, Bewerbungsunterlagen
- Kundenverwaltung: Kundendatenbanken, Bestellhistorien, Support-Tickets
- Marketing: E-Mail-Verteiler, Kundenprofile für personalisierte Werbung
- IT-Systeme: Benutzerkonten, Log-Dateien, IP-Adressen
Um dir die Identifizierung zu erleichtern, hier eine Tabelle mit Beispielen aus verschiedenen Unternehmensbereichen:
| Unternehmensbereich | Beispiel für personenbezogene Daten |
|---|---|
| Personalwesen | Lebenslauf eines Bewerbers |
| Vertrieb | Kontaktdaten eines Kunden |
| Buchhaltung | Bankverbindung eines Lieferanten |
| IT | Zugangsdaten eines Mitarbeiters |
Denk immer daran, dass auch scheinbar harmlose Daten in Kombination zur Identifizierung einer Person führen können.
Welche grundlegenden Prinzipien gelten im Umgang mit personenbezogenen Daten?

Für den verantwortungsvollen Umgang mit personenbezogenen Daten im Unternehmen gelten einige grundlegende Prinzipien, die du stets beachten solltest:
-
Rechtmäßigkeit: Verarbeite personenbezogene Daten nur, wenn es dafür eine rechtliche Grundlage gibt (z.B. Einwilligung, Vertragserfüllung, berechtigtes Interesse).
-
Zweckbindung: Verwende die Daten nur für den Zweck, für den sie erhoben wurden. Eine Kundenadresse für den Versand darf nicht plötzlich für Marketingzwecke genutzt werden.
-
Datenminimierung: Erhebe und verarbeite nur die Daten, die für den jeweiligen Zweck wirklich notwendig sind. Brauchst du wirklich das Geburtsdatum für eine Newsletter-Anmeldung?
-
Richtigkeit: Stelle sicher, dass die Daten korrekt und aktuell sind. Implementiere Prozesse zur regelmäßigen Überprüfung und Aktualisierung.
-
Speicherbegrenzung: Bewahre personenbezogene Daten nur so lange auf, wie es für den Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorschreiben.
-
Integrität und Vertraulichkeit: Schütze die Daten vor unbefugtem Zugriff, Verlust oder Beschädigung durch angemessene technische und organisatorische Maßnahmen.
-
Rechenschaftspflicht: Dokumentiere die Einhaltung dieser Prinzipien, um sie bei Bedarf nachweisen zu können.
Diese Prinzipien bilden das Fundament für einen datenschutzkonformen Umgang mit personenbezogenen Daten im Unternehmen. Sie helfen dir, die Rechte und Freiheiten der betroffenen Personen zu schützen und gleichzeitig die gesetzlichen Anforderungen zu erfüllen.
Wie gehen wir mit besonders sensiblen Datenkategorien um?
Bei der Verarbeitung besonderer Kategorien personenbezogener Daten ist erhöhte Vorsicht geboten. Hier einige spezifische Handlungsempfehlungen:
-
Notwendigkeitsprüfung: Prüfe genau, ob die Verarbeitung wirklich notwendig ist. Gibt es eventuell Alternativen?
-
Rechtsgrundlage sicherstellen: Stelle sicher, dass einer der Ausnahmetatbestände nach Art. 9 Abs. 2 DSGVO vorliegt, beispielsweise eine ausdrückliche Einwilligung.
-
Verstärkte Sicherheitsmaßnahmen implementieren, wie:
- Verschlüsselung der Daten
- Strenge Zugriffsbeschränkungen
- Regelmäßige Sicherheitsaudits
-
Datenschutz-Folgenabschätzung: Führe eine Datenschutz-Folgenabschätzung durch, um Risiken zu identifizieren und zu minimieren.
-
Mitarbeitersensibilisierung: Sensibilisiere und schule Mitarbeiter, die mit diesen Daten in Berührung kommen, besonders gründlich.
-
Dokumentation: Dokumentiere alle Verarbeitungsvorgänge und Sicherheitsmaßnahmen sorgfältig.
Denk immer daran: Der Schutz personenbezogener Daten, insbesondere sensibler Datenkategorien, ist nicht nur eine rechtliche Verpflichtung, sondern auch eine ethische Verantwortung gegenüber Kunden, Mitarbeitern und Geschäftspartnern.
Abschlussquiz
Was sind laut DSGVO personenbezogene Daten?
Blank
- Nur Informationen, die eine Person direkt identifizieren
- Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
- Ausschließlich Namen und Adressen von Personen
- Nur digital gespeicherte Informationen über Personen
Antwort
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
Erklärung: Personenbezogene Daten sind laut DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies umfasst sowohl direkte als auch indirekte Identifikatoren.
Welche der folgenden Informationen ist kein Beispiel für personenbezogene Daten?
Blank
- E-Mail-Adresse
- IP-Adresse
- Durchschnittliches Alter der Belegschaft eines Unternehmens
- Fingerabdruck
Antwort
Durchschnittliches Alter der Belegschaft eines Unternehmens
Erklärung: Das durchschnittliche Alter der Belegschaft eines Unternehmens ist ein aggregierter Wert und lässt keine Rückschlüsse auf einzelne Personen zu. Daher gilt es nicht als personenbezogenes Datum.
Welches Prinzip besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen?
Blank
- Datenminimierung
- Zweckbindung
- Speicherbegrenzung
- Rechtmäßigkeit
Antwort
Zweckbindung
Erklärung: Das Prinzip der Zweckbindung besagt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.
Welche der folgenden Daten gehören zu den besonderen Kategorien personenbezogener Daten laut DSGVO?
Blank
- Name und Adresse
- Bankverbindung
- Genetische Daten
- Kundennummer
Antwort
Genetische Daten
Erklärung: Genetische Daten gehören zu den besonderen Kategorien personenbezogener Daten laut Artikel 9 DSGVO. Sie unterliegen strengeren Schutzmaßnahmen aufgrund ihrer besonderen Sensibilität.
Was ist bei der Verarbeitung besonderer Kategorien personenbezogener Daten nicht erforderlich?
Blank
- Einholung einer ausdrücklichen Einwilligung
- Durchführung einer Datenschutz-Folgenabschätzung
- Veröffentlichung der Daten
- Implementierung verstärkter Sicherheitsmaßnahmen
Antwort
Veröffentlichung der Daten
Erklärung: Die Veröffentlichung der Daten ist bei der Verarbeitung besonderer Kategorien personenbezogener Daten nicht erforderlich und wäre in den meisten Fällen sogar rechtswidrig. Die anderen genannten Maßnahmen sind hingegen oft notwendig, um den erhöhten Schutzanforderungen gerecht zu werden.
Welche Aussage zur Identifizierbarkeit einer Person ist korrekt?
Blank
- Eine Person gilt nur als identifizierbar, wenn sie direkt durch einen Namen erkannt werden kann
- Die Identifizierbarkeit hängt davon ab, ob die Person tatsächlich identifiziert wird
- Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt durch Zuordnung zu einer Kennung erkannt werden kann
- Die Identifizierbarkeit spielt bei personenbezogenen Daten keine Rolle
Antwort
Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt durch Zuordnung zu einer Kennung erkannt werden kann
Erklärung: Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt durch Zuordnung zu einer Kennung erkannt werden kann. Es reicht aus, wenn die theoretische Möglichkeit zur Identifizierung besteht, unabhängig davon, ob sie tatsächlich identifiziert wird.