Personenbezogene Daten – Was die DSGVO darunter versteht

Inhalt in Kürze

• Personenbezogene Daten DSGVO: Alle Informationen, die sich auf eine natürliche Person beziehen und deren Zuordnung ermöglichen — von Name und E-Mail bis hin zu IP-Adressen und Kundennummern.
• Der EuGH hat klargestellt: Selbst dynamische IP-Adressen gelten als Betroffenendaten (Urteil Breyer, C-582/14).
• Besondere Kategorien wie Gesundheitsdaten oder biometrische Daten unterliegen nach Art. 9 der Verordnung einem noch strengeren Schutz.
• Pseudonymisiert heißt nicht anonym: Solange eine Zuordnung theoretisch möglich ist, bleiben es schützenswerte Informationen und das EU-Datenschutzrecht greift weiterhin.
• Europäisches und nationales Datenschutzrecht regeln gemeinsam, wie solche Angaben in Deutschland erhoben und genutzt werden dürfen.

Kundennummer, E-Mail-Adresse, IP-Adresse — was davon sind personenbezogene Daten? Die Antwort: alle drei. Und noch deutlich mehr.

Wer solche Informationen erhebt, ohne das zu wissen, verstößt gegen geltendes Datenschutzrecht. Das klingt trivial, ist aber in der Praxis das häufigste Problem. Viele Unternehmen unterschätzen, wie weit der Begriff reicht. Dabei ist die Definition klar: Sobald sich eine Information auf eine natürliche Person beziehen lässt, handelt es sich um schützenswerte Angaben — und sie müssen entsprechend gesichert werden.

Was sind personenbezogene Daten nach Art. 4 Nr. 1 DSGVO?

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die betroffene Person muss dabei nicht namentlich bekannt sein — es genügt, dass eine Zuordnung mit verhältnismäßigem Aufwand möglich ist.

Eine natürliche Person gilt als identifizierbar, wenn sie direkt oder indirekt über bestimmte Merkmale bestimmt werden kann. Die Verordnung nennt konkrete Mittel zur Identifizierung:

• Name — der offensichtlichste Fall
• Kennnummer — Personalausweisnummer, Sozialversicherungsnummer, Kundennummer
• Standortdaten — GPS-Koordinaten, WLAN-Verbindungen
• Online-Kennung — IP-Adresse, Cookie-ID, Geräte-ID
• Besondere Merkmale — physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität

Entscheidend ist nicht, ob Sie die betroffene Person tatsächlich zuordnen können. Es reicht, dass eine Zuordnung grundsätzlich möglich wäre — auch unter Zuhilfenahme Dritter. Ergänzend konkretisiert das Bundesdatenschutzgesetz (BDSG) die Regelungen zum Schutz dieser Informationen in Deutschland, etwa bei der Videoüberwachung oder der Bestellung von Datenschutzbeauftragten.

Beispiele personenbezogener Daten im Unternehmensalltag

Die folgende Tabelle zeigt die wichtigsten Kategorien mit Beispielen aus dem Unternehmensalltag. Jede dieser Kategorien enthält Angaben, die sich auf natürliche Personen beziehen und deren Verarbeitung dem EU-Datenschutzrecht unterliegt:

Wann ist die Verarbeitung erlaubt?

Nicht jede Verarbeitung ist verboten — aber jede braucht eine Rechtsgrundlage. Art. 6 DSGVO legt fest, unter welchen Voraussetzungen Unternehmen solche Angaben erheben und nutzen dürfen. Ohne eine dieser Grundlagen ist die Verarbeitung rechtswidrig.

Die wichtigsten Rechtsgrundlagen im Überblick:

• Einwilligung (Art. 6 Abs. 1 lit. a): Die betroffene Person stimmt der Verarbeitung freiwillig zu. Die Einwilligung muss informiert, eindeutig und jederzeit widerrufbar sein. Typisches Beispiel: Newsletter-Anmeldung.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Informationen dürfen genutzt werden, wenn das zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist — etwa die Lieferadresse bei einer Bestellung.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Steuerrechtliche Aufbewahrungspflichten oder Meldepflichten nach dem Geldwäschegesetz. Hier verlangt das Gesetz die Speicherung bestimmter Angaben.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Das Unternehmen hat ein berechtigtes Interesse, das die Interessen der natürlichen Person nicht überwiegt. Beispiel: Betrugsprävention oder IT-Sicherheit. Diese Grundlage erfordert eine dokumentierte Interessenabwägung.

Zusätzlich schreibt Art. 5 der Verordnung Grundsätze vor, die bei jeder Verarbeitung einzuhalten sind. Erhobene Informationen dürfen nur für den festgelegten Zweck genutzt werden. Das Prinzip der Datenminimierung verlangt, dass nur das erhoben wird, was tatsächlich erforderlich ist. Und die Speicherbegrenzung bedeutet: Sobald der Zweck entfällt, müssen die Daten gelöscht werden.

In der Praxis bedeutet das: Bevor Sie Informationen über natürliche Personen erheben, prüfen Sie zuerst die Rechtsgrundlage. Dokumentieren Sie diese im Verarbeitungsverzeichnis. Und stellen Sie sicher, dass nicht mehr gespeichert wird als nötig.

Gesundheitsdaten, biometrische Daten und besondere Kategorien

Art. 9 der Verordnung definiert besondere Kategorien, deren Verarbeitung grundsätzlich verboten ist. Nur bei Vorliegen einer Ausnahme (z. B. ausdrückliche Einwilligung der betroffenen Person, arbeitsrechtliche Pflicht) dürfen diese sensiblen Angaben erhoben werden:

• Gesundheitsdaten — Krankmeldungen, BEM-Gespräche, Arbeitsunfähigkeitsbescheinigungen
• Biometrische Daten — Fingerabdruck für Zeiterfassung, Gesichtserkennung. Biometrische Merkmale ermöglichen die eindeutige Identifizierung natürlicher Personen.
• Genetische Daten — DNA-Analysen (selten im KMU-Kontext)
• Politische Meinungen — Parteizugehörigkeit, politische Äußerungen
• Religiöse Überzeugungen — Kirchensteuermerkmale in der Lohnabrechnung
• Gewerkschaftszugehörigkeit — Gewerkschaftsbeiträge in der Gehaltsabrechnung
• Sexuelle Orientierung — nur relevant, wenn aktiv erhoben

Wir sehen das bei unseren Mandanten regelmäßig: Die Kirchensteuer in der Lohnabrechnung ist bereits ein besonderes Datum nach Art. 9. Wenn solche Daten verarbeitet werden, ohne dass eine Rechtsgrundlage vorliegt, drohen empfindliche Bußgelder.

Umgang mit personenbezogenen Daten im Unternehmen

In der Praxis erhebt und nutzt jedes KMU solche Informationen an dutzenden Stellen. Die Herausforderung: Viele Verarbeitungen sind unsichtbar, obwohl dabei schützenswerte Angaben anfallen.

Offensichtliche Verarbeitungen:

• Personalakte mit Name, Adresse, Gehalt und Krankmeldungen
• Kundendatenbank im CRM-System
• Bewerberunterlagen per E-Mail

Häufig übersehene Verarbeitungen:

• Server-Logs mit IP-Adressen der Website-Besucher
• GPS-Tracking im Firmenwagen (Standortdaten fallen unter das Datenschutzrecht)
• Videoüberwachung am Eingang
• Besucherlisten mit handschriftlichem Eintrag
• WhatsApp-Gruppen mit Kundenkontakten

Jede dieser Verarbeitungen braucht eine Rechtsgrundlage, muss im Verarbeitungsverzeichnis dokumentiert sein und durch angemessene technische und organisatorische Maßnahmen (TOM) geschützt werden. Die erhobenen Angaben sind dabei stets zweckgebunden zu nutzen.

Anonymisiert vs. pseudonymisiert — ein kritischer Unterschied

Anonymisierte Daten fallen nicht mehr unter das Datenschutzrecht. Voraussetzung: Die Zuordnung zu einer natürlichen Person ist nach allgemeinem Ermessen nicht mehr möglich — auch nicht mit Zusatzwissen. Eine Erkennung der betroffenen Person ist ausgeschlossen.

Pseudonymisierte Daten bleiben schützenswert. Die Verordnung stellt das ausdrücklich klar. Der Personenbezug wird nicht aufgehoben, sondern nur erschwert. Das Zusatzwissen zur Re-Identifikation existiert noch — es wird nur getrennt aufbewahrt. Die betroffene Person kann also weiterhin zugeordnet werden.

Beispiel: Sie ersetzen den Kundennamen durch eine ID. Solange Sie (oder ein Dritter) die Zuordnungstabelle besitzen, handelt es sich weiterhin um Betroffenendaten — pseudonymisiert, nicht anonymisiert.

Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.

Nils OehmichenDatenschutzberater bei frag.hugo

Ergänzende Regelungen im Bundesdatenschutzgesetz

Das EU-Datenschutzrecht gilt europaweit. In Deutschland ergänzt das Bundesdatenschutzgesetz (BDSG) die europäische Verordnung an mehreren Stellen. Das nationale Recht konkretisiert Regelungen, für die die Verordnung sogenannte Öffnungsklauseln vorsieht — also Bereiche, in denen die Mitgliedstaaten eigene Vorschriften erlassen dürfen.

Besonders relevant für Unternehmen ist § 26 zum Beschäftigtendatenschutz. Diese Vorschrift regelt, wann und wie Beschäftigtendaten erhoben und genutzt werden dürfen. Sie gilt für die Begründung, Durchführung und Beendigung von Arbeitsverhältnissen. Konkret bedeutet das:

• Bewerbungsverfahren: Angaben von Bewerbern dürfen erhoben werden, soweit das für die Entscheidung über die Einstellung erforderlich ist.
• Laufendes Arbeitsverhältnis: Gehaltsdaten, Arbeitszeiterfassung, Krankmeldungen — all diese Informationen dürfen gespeichert werden, wenn sie zur Durchführung des Arbeitsvertrags nötig sind.
• Aufdeckung von Straftaten: Unter strengen Voraussetzungen erlaubt § 26 des Bundesdatenschutzgesetzes die Nutzung solcher Informationen zur Aufdeckung von Pflichtverletzungen im Beschäftigungsverhältnis.

Wann gilt das nationale Datenschutzrecht zusätzlich zur europäischen Verordnung? Immer dann, wenn diese Spielräume lässt. Das betrifft neben dem Beschäftigtendatenschutz auch die Bestellung von Datenschutzbeauftragten (§ 38), die Videoüberwachung öffentlich zugänglicher Räume (§ 4) und den Umgang mit Scoring und Bonitätsauskünften (§ 31).

Für Ihr Unternehmen heißt das: Sie müssen sowohl die europäische Verordnung als auch die nationalen Ergänzungen kennen. Gerade im Personalbereich werden Betroffenendaten in großem Umfang erhoben — und hier greifen beide Regelwerke parallel.

So schützen Sie Betroffenendaten im Unternehmen

Betroffenendaten zu identifizieren ist der erste Schritt. Der zweite: Sie angemessen schützen. Art. 32 der Verordnung verpflichtet jedes Unternehmen, technische und organisatorische Maßnahmen (TOM) umzusetzen, die dem Risiko der Verarbeitung entsprechen.

Was gehört zu wirksamen TOM? Die Verordnung nennt vier Kernbereiche:

• Verschlüsselung: Sensible Informationen sind bei Übertragung und Speicherung zu verschlüsseln. Das betrifft E-Mails mit Kundendaten ebenso wie Datenbanken und Backups. Ohne Verschlüsselung sind diese Angaben bei einem Sicherheitsvorfall sofort kompromittiert.
• Zugriffskontrollen: Nicht jeder Mitarbeiter braucht Zugang zu allen Informationen. Das Need-to-know-Prinzip stellt sicher, dass sensible Angaben nur von berechtigten Personen eingesehen werden. Rollenbasierte Berechtigungen im CRM, ERP und Dateisystem sind Pflicht.
• Pseudonymisierung: Wo möglich, sollten Betroffenendaten pseudonymisiert werden. Das reduziert das Risiko bei Datenpannen erheblich, weil die Informationen ohne Zusatzwissen keiner natürlichen Person zugeordnet werden können.
• Wiederherstellbarkeit: Regelmäßige Backups und getestete Recovery-Prozesse stellen sicher, dass gespeicherte Angaben nach einem Vorfall schnell wiederhergestellt werden können.

Neben den TOM verlangt Art. 30 ein Verarbeitungsverzeichnis. Darin dokumentieren Sie jede Verarbeitung: Zweck, Rechtsgrundlage, Kategorien der betroffenen Personen, Empfänger und Löschfristen. Das Verzeichnis ist keine Kür — es ist Pflicht für jedes Unternehmen, das regelmäßig solche Informationen erhebt. Und bei einer Prüfung durch die Aufsichtsbehörde ist es das erste Dokument, das angefordert wird.

Detaillierte Beispiele und eine Schritt-für-Schritt-Anleitung finden Sie in unserem Beitrag zu technischen und organisatorischen Maßnahmen (TOM) für KMU.

Checkliste: Schutz personenbezogener Daten im Unternehmen

• Dateninventur durchführen. Listen Sie alle Stellen auf, an denen Betroffenendaten anfallen — auch die versteckten.
• Verarbeitungsverzeichnis anlegen. Dokumentieren Sie jede Verarbeitung mit Zweck, Rechtsgrundlage und Empfängern (Anleitung).
• Besondere Kategorien identifizieren. Prüfen Sie, ob Gesundheitsdaten, biometrische Daten oder andere Art. 9-Kategorien verarbeitet werden — auch in der Lohnabrechnung.
• TOM prüfen. Sind Ihre technischen und organisatorischen Maßnahmen dem Schutzbedarf angemessen?
• Löschkonzept umsetzen. Gespeicherte Angaben dürfen nicht unbegrenzt aufbewahrt werden. Daten müssen gelöscht werden, sobald der Verarbeitungszweck entfällt (Löschkonzept erstellen).
• DSB-Pflicht klären. Ab 20 Personen mit automatisierter Datenverarbeitung brauchen Sie einen Datenschutzbeauftragten — das regelt das Bundesdatenschutzgesetz (§ 38).

Häufige Fragen (FAQ)

Was versteht das Datenschutzrecht unter personenbezogenen Daten?

Laut Art. 4 der Verordnung sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören Name, Adresse, E-Mail, IP-Adresse und Kundennummer. Entscheidend ist, ob sich die betroffene Person darüber zuordnen lässt — direkt oder indirekt über weitere Merkmale.

Sind IP-Adressen personenbezogene Daten?

Ja. Der EuGH hat im Breyer-Urteil (C-582/14) entschieden, dass auch dynamische IP-Adressen unter das Datenschutzrecht fallen, wenn der Betreiber die rechtliche Möglichkeit hat, den Nutzer zuzuordnen. Solche Informationen entstehen bei jedem Website-Besuch.

Was sind besondere Kategorien personenbezogener Daten?

Art. 9 der Verordnung schützt besonders sensible Angaben: Gesundheitsdaten, biometrische und genetische Daten, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit und Informationen zur sexuellen Orientierung. Deren Verarbeitung ist grundsätzlich verboten, es sei denn, eine Ausnahme greift.

Was ist der Unterschied zwischen anonymisierten und pseudonymisierten Daten?

Anonymisierte Daten lassen keinen Rückschluss auf eine natürliche Person mehr zu und fallen nicht unter das Datenschutzrecht. Pseudonymisierte Angaben können mit Zusatzwissen wieder einer Person zugeordnet werden und bleiben daher geschützt. Erst wenn eine Zuordnung dauerhaft ausgeschlossen ist, gelten sie als anonym.

Welche Pflichten haben Unternehmen beim Umgang mit personenbezogenen Daten?

Unternehmen müssen unter anderem ein Verarbeitungsverzeichnis führen, technische und organisatorische Maßnahmen umsetzen, Betroffenenrechte gewährleisten, ein Löschkonzept pflegen und gegebenenfalls einen Datenschutzbeauftragten bestellen. Alle Angaben sind zweckgebunden zu erheben und nach Wegfall des Zwecks zu löschen.