Personenbezogene Daten sind das Herzstück der Datenschutz-Grundverordnung (DSGVO) und betreffen jede Organisation, die Informationen verarbeitet, mit denen eine Person identifiziert werden kann. Sie sind der Ausgangspunkt aller datenschutzrechtlichen Überlegungen, da sie bestimmen, wann und wie Datenschutzpflichten greifen.
Laut Art. 4 Nr. 1 DSGVO sind personenbezogene Daten:
„Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“
Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie:
✅ Name
✅ Kundennummer
✅ Standortdaten
✅ Online-Kennung (z. B. IP-Adresse, Cookie-ID)
✅ E-Mail-Adresse
✅ Telefonnummer
✅ biometrische oder genetische Daten
✅ Bilder oder Videos, die eine Person zeigen
Auch Kombinationen mehrerer Daten, die eine Identifizierung ermöglichen, fallen unter personenbezogene Daten.
1️⃣ Allgemeine personenbezogene Daten:
2️⃣ Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO):
Diese sind besonders schützenswert und dürfen nur unter strengen Voraussetzungen verarbeitet werden, z. B.:
3️⃣ Online-Identifikatoren:
Auch technische Daten wie IP-Adressen oder Gerätekennungen gelten als personenbezogene Daten, sobald sie Rückschlüsse auf eine Person zulassen.
✔ Kern des Datenschutzes: Alle Datenschutzpflichten nach DSGVO und TTDSG knüpfen an die Verarbeitung personenbezogener Daten an.
✔ Schutz der Privatsphäre: Personen sollen selbst bestimmen, was mit ihren Daten passiert.
✔ Vermeidung von Missbrauch: Verhindert unerlaubte Nutzung oder Weitergabe.
✔ Rechtliche Grundlage: Verarbeitung ist nur unter bestimmten Bedingungen erlaubt (Art. 6 DSGVO).
✔ Wettbewerbsvorteil: Datenschutz schafft Vertrauen bei Kunden und Partnern.
✔ Bußgelder vermeiden: Verstöße gegen Datenschutzpflichten können teuer werden.
Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten nur erlaubt, wenn eine Rechtsgrundlage vorliegt:
✅ Einwilligung der betroffenen Person
✅ Erfüllung eines Vertrags
✅ Erfüllung rechtlicher Verpflichtungen
✅ Schutz lebenswichtiger Interessen
✅ Wahrnehmung einer Aufgabe im öffentlichen Interesse
✅ Wahrung berechtigter Interessen des Verantwortlichen, sofern keine überwiegenden Interessen der betroffenen Person entgegenstehen
✅ Kundendatenverwaltung: Speicherung von Name, Adresse und Kontaktdaten im CRM.
✅ Newsletter-Versand: Nutzung von E-Mail-Adressen zur Kommunikation.
✅ Webanalyse: Erhebung von IP-Adressen und Cookies zur Optimierung der Website.
✅ Mitarbeiterverwaltung: Verwaltung von Lohn- und Gehaltsdaten.
✅ Tracking und Remarketing: Nutzung von Online-Identifikatoren für personalisierte Werbung.
1️⃣ Rechenschaftspflicht: Nachweis der Einhaltung der DSGVO.
2️⃣ Informationspflichten: Betroffene müssen über die Verarbeitung informiert werden (z. B. in der Datenschutzerklärung).
3️⃣ Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
4️⃣ Technische und organisatorische Maßnahmen (TOMs): Schutz vor unbefugtem Zugriff.
5️⃣ Löschung und Speicherbegrenzung: Daten müssen gelöscht werden, sobald der Zweck entfällt.
6️⃣ Auftragsverarbeitungsverträge: Bei Einbindung von Dienstleistern sind AVVs abzuschließen.
❌ Datenpannen: Datenverlust oder -diebstahl kann zu Bußgeldern führen.
❌ Abmahnungen: Datenschutzverletzungen können von Mitbewerbern oder Verbraucherschutzverbänden abgemahnt werden.
❌ Reputationsverlust: Verstöße gegen Datenschutz schädigen das Vertrauen von Kunden.
❌ Haftungsrisiken: Unternehmen und Geschäftsführer haften bei Verstößen gegen Datenschutzrecht.
✅ Datensparsamkeit: Nur notwendige Daten erheben.
✅ Zweckbindung: Daten nur für festgelegte Zwecke verwenden.
✅ Transparenz: Nutzer umfassend informieren.
✅ Sicherheitsmaßnahmen: Verschlüsselung, Zugangskontrollen, regelmäßige Backups.
✅ Verarbeitung dokumentieren: Verzeichnis der Verarbeitungstätigkeiten führen.
✅ Regelmäßige Schulungen: Mitarbeiter im Datenschutz sensibilisieren.
✅ Rechte der Betroffenen respektieren: Anfragen schnell und vollständig beantworten.
Personenbezogene Daten sind der zentrale Ankerpunkt für Datenschutz und DSGVO-Compliance. Unternehmen, die personenbezogene Daten verarbeiten, müssen klare Prozesse zur Datenerhebung, Speicherung, Nutzung und Löschung etablieren. Wer datenschutzfreundlich mit diesen Daten umgeht, minimiert Risiken, vermeidet Bußgelder und stärkt das Vertrauen seiner Kunden.
