Personenbezogene Daten

Definition nach Art. 4 Nr. 1 DSGVO — alle Informationen zu einer identifizierten/identifizierbaren Person

· Kategorie: DSGVO · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist, wer direkt oder indirekt mittels Zuordnung zu einer Kennung wie Name, Kennnummer, Standortdaten, Online-Kennung oder besonderen Merkmalen identifiziert werden kann.

Was ist Personenbezogene Daten?

Drei Kernkriterien:

  1. Information: jeder Bezug, der einer Person zugerechnet werden kann (objektiv oder subjektiv)
  2. Person: nur natürliche Personen — keine juristischen Personen, keine Toten
  3. Identifizierbar: mit verhältnismäßigem Aufwand

EuGH C-582/14 (Breyer): IP-Adressen sind personenbezogen, wenn der Verantwortliche rechtlich oder praktisch in der Lage ist, sie einer Person zuzuordnen.

Praxisbeispiel

Praxisbeispiele:

Häufig gestellte Fragen

Sind anonymisierte Daten personenbezogen?
Nein. Echte Anonymisierung (irreversibel, kein Re-Identifikationsrisiko) macht Daten nicht-personenbezogen — DSGVO greift dann nicht. Pseudonymisierung reicht NICHT — die Daten bleiben personenbezogen.
Sind IP-Adressen personenbezogen?
Ja, EuGH C-582/14. Auch dynamische IP-Adressen, sofern Identifikation mit verhältnismäßigem Aufwand möglich (z.B. via Provider-Anfrage).
Was sind besondere Kategorien (Art. 9)?
Daten, die Rasse, ethnische Herkunft, politische Meinung, Religion, Gewerkschaft, Genetik, Biometrie, Gesundheit, Sexualleben offenbaren. Höhere Schutzanforderungen.

Siehe auch