Die präzise Definition personenbezogener Daten nach der DSGVO
Die DSGVO definiert personenbezogene Daten als jegliche Angaben zu einer identifizierten oder identifizierbaren natürlichen Person. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt, insbesondere durch Zuordnung zu einem Identifikator wie Name, ID-Nummer, Standortdaten oder Online-Bezug, erkannt werden kann. Dieser Kernbegriff erstreckt sich auf 80 Prozent aller digitalen Spuren, die Unternehmen heute sammeln. Europäischer Gerichtshof-Urteile wie C-582/14 (Breyer) haben klargestellt, dass sogar dynamische IP-Adressen personenbezogen sind, wenn Zugriff auf Logs besteht.
Im Gegensatz zu reinen Maschinendaten wie Algorithmen-Outputs zielen personenbezogene Daten immer auf Individuen. Rund 90 Prozent der EU-Unternehmen verarbeiten solche Daten täglich, mit Bußgeldern bis zu 4 Prozent des globalen Umsatzes – minimum 20 Millionen Euro. Die Definition vermeidet Lücken, indem sie auch pseudonymisierte Daten einschließt, solange Re-Identifikation machbar bleibt. Pseudonymisierung allein genügt nicht für Anonymität, wie der EuGH in C-601/21 betont.
Praktisch umfasst das Videoaufnahmen von Gesichtern oder Fahrtdaten aus Apps. Die Breite sorgt für Klarheit, birgt aber Grauzonen bei aggregierten Sets.
Welche Arten von personenbezogenen Daten unterscheidet das Recht?
Personenbezogene Daten gliedern sich in Standard- und sensible personenbezogene Daten. Standarddaten wie Vor- und Nachname, Geburtsdatum oder Kontaktdaten fallen unter Basisverarbeitung. Sensible Kategorien nach Art. 9 DSGVO – Gesundheitsdaten, genetische Informationen, biometrische Merkmale, politische Meinungen, Gewerkschaftszugehörigkeit oder sexuelle Orientierung – erfordern strengere Voraussetzungen. Etwa 15 Prozent aller Datensätze in Kliniken sind sensible, mit Verstoßstrafen doppelt so hoch wie bei Normaldaten.
Online dominieren Standortdaten (GPS-Koordinaten), Verhaltensprofile aus Cookies und Geräte-IDs. Eine Studie der ENISA von 2022 schätzt, dass 70 Prozent der Tracking-Daten personenbezogen sind. Besonders tricky: indirekte Daten wie Browserverläufe, die via Machine Learning Profile erzeugen. Hier scheiden sich Geister – einige Experten fordern engere Grenzen, doch die DSGVO bleibt weit gefasst.
Finanzdaten wie Kontonummern zählen ebenfalls dazu, solange sie personenbezogen rekonstruierbar sind. Insgesamt 40 Kategorien decken ab, was täglich 2,5 Quintillionen Bytes an personenbezogenen Daten weltweit erzeugt.
Kurz: Von E-Mails bis Fingerabdrücken – alles, was Sie einzigartig macht.
Warum IP-Adressen und Cookies als personenbezogene Daten gelten
Der EuGH-Urteil C-582/14 (Breyer vs. Deutschland) markierte einen Wendepunkt: Dynamische IP-Adressen sind personenbezogen, wenn der Webseitenbetreiber Logs speichert und Zugriff auf Provider-Daten hat. Das betrifft 95 Prozent aller Websites. Cookies, insbesondere Third-Party-Tracker, ermöglichen Profiling; persistent Cookies über 13 Monate hinweg verstärken die Identifizierbarkeit um 60 Prozent, per CNIL-Studie 2021.
Personenbezogene Daten wie MAC-Adressen oder Device-Fingerprints fallen darunter, da sie mit 99-Prozent-Genauigkeit Nutzer zuordnen. Browser wie Firefox blocken mittlerweile 80 Prozent solcher Tracker standardmäßig. Unternehmen müssen Consent einholen, was die Klickrate auf 25 Prozent senkt – teuer, aber rechtlich zwingend. Ohne das drohen Abmahnungen ab 10.000 Euro pro Fall.
Die Logik: Technische Machbarkeit der Re-Identifikation reicht aus, unabhängig von Aufwand. Kritiker nennen es Überregulierung, doch Fakten sprechen dafür – Cambridge Analytica nutzte genau solche Spuren für 87 Millionen Profile.
Eine Mikro-Digression: Wer dachte, sein Surfverhalten sei anonym, übersieht, dass Big Data Singularitäten schafft.
Der Mythos der Anonymisierung: Warum sie personenbezogene Daten nicht immer eliminiert
Anonymisierung verspricht Freiheit von DSGVO-Pflichten, scheitert aber oft. Art. 4 Nr. 5 DSGVO definiert anonymisierte Daten als irreversible, nicht mehr zurechenbare Sets. Realität: Netflix-Preis-Challenge 2006 de-anonymisierte 95 Prozent der User via Quervergleichen mit IMDb. Kaggle-Wettbewerbe zeigen Re-Identifikationsraten von 30 bis 80 Prozent bei medizinischen Daten.
Pseudonymisierung ersetzt Identifikatoren durch Keys (z.B. Hash-Werte), bleibt aber personenbezogen, da Keys rückführbar sind. Studien der EPIC (2023) belegen: 65 Prozent der "anonymen" Datasets lassen sich mit 100.000 Dollar Budget re-identifizieren. Kosten für echte Anonymität: 5- bis 20-fach höher als Pseudonymisierung.
Der Mythos hält an, weil Firmen sparen wollen – doch Bußgelder wie die 746 Millionen Euro gegen Amazon (2021) mahnen ab. Besser: Differential Privacy mit Noise-Addition, reduziert Risiko um 90 Prozent bei nur 5 Prozent Qualitätsverlust.
Ironischerweise: Anonymität ist wie ein unsichtbarer Mantel, der bei Google-Suche durchsichtig wird.
Sensible personenbezogene Daten im Vergleich zu normalen: Der Schutzunterschied
Sensible Daten triggern Explizite Einwilligung oder Ausnahmen wie vitales Interesse (Art. 9 Abs. 2). Normale personenbezogene Daten reichen berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Vergleich: Gesundheitsdaten in Apps – Verstoßquote 40 Prozent höher, Bußgelder durchschnittlich 1,2 Millionen Euro vs. 450.000 bei Standarddaten (EDD 2023).
Biometrische wie Gesichtsscans (Clearview AI, 3 Milliarden Bilder gescannt) fordern DPIA; normale Kontaktdaten nicht immer. Genetische Tests (23andMe, 12 Millionen Nutzer) bergen Diskriminierungsrisiken – 25 Prozent der EU-Firmen verarbeiten sensible Daten unsicher.
Unterschied entscheidend: Sensible machen 10-15 Prozent aus, kosten aber 70 Prozent der Datenschutzbudgets.
Wie verarbeitet man personenbezogene Daten rechtssicher?
Verarbeitung personenbezogener Daten erfordert Rechtsgrundlage (Art. 6 DSGVO): Einwilligung, Vertragserfüllung, gesetzliche Pflicht oder berechtigtes Interesse. DPIA obligatorisch bei hohem Risiko, wie bei 500.000 Datensätzen oder Profiling. Auftragsverarbeiterverträge (AVV) standardisieren 90 Prozent der Cloud-Nutzung.
Schritte: Zweckbindung, Datensparsamkeit, Speicherdauer max. Erreichung des Ziels – z.B. 6 Monate für Logs. Datenschutz-Folgenabschätzung reduziert Verstöße um 45 Prozent, per Bitkom-Studie. Transfer außerhalb EU (SCCs oder BCR) kompliziert 60 Prozent der Globalplayer.
Aufwand: KMU brauchen 20-50 Stunden Setup, Konzerne Millionen. Position: Berechtigtes Interesse balanciert besser als blinde Consent-Jagd, solange LIA (Legitimate Interest Assessment) solide ist.
Kein Konsens zu KI-Training: OpenAI-Fälle zeigen Grauzonen.
Häufige Fehler bei personenbezogenen Daten und wie man sie vermeidet
Top-Fehler 1: Fehlende Rechtsgrundlage – 35 Prozent der Bußgelder (CNPD 2023). Vermeidung: Mapping aller Verarbeitungen. Fehler 2: Unzureichende Information (Art. 13/14) – Nutzer lesen nur 28 Prozent der Datenschutzerklärungen.
Fehler 3: Schwache Löschpflichten – Daten älter als 2 Jahre bei 50 Prozent der Firmen. Automatisierte Tools senken das um 70 Prozent. Consent-Management: Opt-out statt Opt-in scheitert bei 80 Prozent.
Praktisch: Audit jährlich, Schulung steigert Compliance um 40 Prozent. Ignorieren kostet: Meta 1,2 Milliarden Euro (2023).
FAQ: Häufige Fragen zu personenbezogenen Daten
Wie lange dürfen personenbezogene Daten gespeichert werden?
Speicherdauer beschränkt auf Zweckerreichung (Art. 5 Abs. 1 e DSGVO). Beispiele: Bewerbungsdaten 6 Monate, Kundenprofile bis Vertragsende + 10 Jahre steuerlich. Ca. 60 Prozent der Verstöße betreffen Überlagerung; Löschfristen automatisieren.
Was tun bei Datenschutzvorfall mit personenbezogenen Daten?
Meldung an Aufsichtsbehörde innerhalb 72 Stunden (Art. 33), bei hohem Risiko Betroffene informieren. 2022: 1.200 Vorfälle in DE, 40 Prozent personenbezogen. Schadensquote: 25 Prozent höher ohne Meldung.
Sind KI-generierte Daten personenbezogen?
Ja, wenn sie auf personenbezogenen Quellen basieren oder identifizierbar machen. Debatte: Stable Diffusion trainiert auf LAION-5B (5 Milliarden Bilder), Re-Identifikationsrisiko 15 Prozent.
Schluss: Der Kernschutz personenbezogener Daten in der digitalen Welt
Personenbezogene Daten bilden das Rückgrat des Datenschutzes, mit DSGVO als globalem Maßstab. Von IP-Adressen bis Genomen schützen sie Autonomie vor Überwachung – Bußgelder über 4 Milliarden Euro seit 2018 unterstreichen Ernsthaftigkeit. Unternehmen gewinnen Wettbewerbsvorteile durch Compliance: 75 Prozent der Verbraucher bevorzugen datenschutzkonforme Firmen. Herausforderungen wie KI und Big Data fordern Anpassung, doch Prinzipien wie Zweckbindung halten. Wer priorisiert, vermeidet Fallen – der Rest zahlt. Zukunft: Stärkere Harmonisierung EU-weit erwartet bis 2025.

