Personenbezogene Daten: Definition und Wissenswertes auf einen Blick

Personenbezogenen Daten sind sämtliche Daten, die auf eine natürliche Person Bezug nehmen und diese identifizieren oder identifizierbar machen.

Eine natürliche Person ist jeder Mensch. Davon zu unterscheiden ist die juristische Person, die durch Rechtsakt entsteht (z.B. eine GmbH oder AG). Durch ihren Namen kann eine natürliche Person gegebenenfalls direkt identifiziert werden.

Je nach Kombination können verschiedene Daten aber auch indirekt zur Identifizierung führen, wie zum Beispiel über den Rückschluss von Standortdaten. Auch Daten, die eine natürliche Person erst durch ihre Kombination identifizierbar machen, sind damit personenbezogene Daten.

Der Begriff der personenbezogenen Daten ist in der Datenschutz-Grundverordnung DSGVO Art. 4, Ziffer 1 definiert.

Für Unternehmen ist der Umgang mit personenbezogenen Daten ein wichtiges Thema: Befassen sie sich unmittelbar oder mittelbar mit Datenverarbeitung – zum Beispiel bei der Pflege von Kundenkontakten, im (Online-)Marketing oder in der Lohnbuchhaltung – müssen sie die allgemeinen Grundsätze des Datenschutzes und weitere spezifische Regelungen (Stichwort TTDSG & Cookies) einhalten.

Eine Verarbeitung personenbezogener Daten ist nach gemäß Datenschutz-Grundverordnung insbesondere zulässig, wenn eine dieser Voraussetzungen erfüllt ist: 

Rechtmäßigkeit der Verarbeitung (DSGVO Art. 6)

• Ausdrückliche Einwilligung der betroffenen Person 
• Erfüllung eines Vertrages mit der Person oder Durchführung vorvertraglicher Maßnahmen 
• Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen 
• Schutz lebenswichtiger Interessen der Person 
• Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt 
• Berechtigtes Interesse des Verantwortlichen / Dritten, gegenüber dem die Interessen der betroffenen Person nicht überwiegen 

Grundsätze der Verarbeitung personenbezogener Daten (DSGVO Art. 5)

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz 
• Zweckbindung 
• Datenminimierung 
• Richtigkeit 
• Speicherbegrenzung 
• Integrität und Vertraulichkeit 
• Rechenschaftspflicht ("Accountability"): Dokumentationspflichten; Compliance-Struktur, Schulung, Audit

Die Datenschutz-Grundverordnung enthält zum Schutze der betroffenen Person darüber hinaus auch Betroffenenrechte, die insbesondere Informations- und Löschpflichten für den Verantwortlichen normieren (DSGVO Art. 12 f.). 

Vielen Dank an Verena Ottenstreuer für die inhaltliche Prüfung dieses Beitrags!
Verena Ottenstreuer war jahrelang als Rechtsanwältin bei einer mehrfach ausgezeichneten Kanzlei tätig und führt seit 2020 als Syndikusanwältin die Rechts- und Compliance-Abteilung von Hiscox Deutschland. Bitte beachten Sie, dass dieser Beitrag trotz rechtlicher Durchsicht lediglich allgemeinen Informationszwecken dient und keine Rechtsberatung darstellt. Für diese sollten Sie stets gesondert rechtlichen Rat einholen.