Personenbezogene Daten: Definition, Kategorien und rechtliche Pflichten nach DSGVO und BDSG

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Definition ist bewusst weit gefasst: Name und E-Mail-Adresse fallen ebenso darunter wie IP-Adressen, Cookie-IDs, biometrische Merkmale und Standortdaten. Für Unternehmen, die Daten verarbeiten, ergibt sich daraus ein breites Pflichtenprogramm aus Informationspflichten, Rechtsgrundlagenpflichten, technisch-organisatorischen Maßnahmen und Nachweispflichten.

Dieser Artikel legt die rechtliche Grundstruktur offen: welche Daten personenbezogen sind, welche Kategorien besonders sensibel behandelt werden müssen, welche Verarbeitungsgrundlagen in Frage kommen und was die Pflichten für die Datenschutzbeauftragten-Bestellung bedeuten. Der Fokus liegt auf der praktischen Umsetzung für deutsche Unternehmen unter DSGVO und BDSG.

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt identifiziert werden kann – insbesondere durch Merkmale wie Name, Kennnummer, Standortdaten, Online-Kennung oder physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität.

Der Europäische Datenschutzausschuss (EDSA) und der EuGH haben die Definition in mehreren Entscheidungen weit ausgelegt. IP-Adressen gelten als personenbezogen, wenn der Verantwortliche rechtlich die Möglichkeit hat, den Nutzer zu identifizieren (EuGH, C-582/14, Breyer). Cookie-IDs, Gerätekennungen, Pseudonyme und Kombinationen aus scheinbar neutralen Daten können personenbezogen sein, wenn eine Zuordnung zur Person möglich ist.

Nicht personenbezogen sind vollständig anonymisierte Daten, bei denen eine Re-Identifizierung ausgeschlossen ist – eine hohe Hürde, die in der Praxis selten ohne spezielle Technik erreicht wird. Pseudonymisierung nach Art. 4 Nr. 5 DSGVO reduziert das Risiko, gilt aber weiterhin als Verarbeitung personenbezogener Daten, weil die Zuordnung mit dem Schlüssel möglich bleibt.

Unternehmen sollten im Zweifel von einem weiten Personenbezug ausgehen. Das ist die risikoärmere Position und entspricht der Auslegungspraxis der deutschen Datenschutzbehörden (DSK-Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder).

Art. 9 DSGVO benennt acht Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich verboten ist, sofern kein expliziter Ausnahmetatbestand vorliegt. Diese Kategorien sind: Gesundheitsdaten, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Daten zur rassischen oder ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit sowie Daten zum Sexualleben oder zur sexuellen Orientierung.

Praktisch relevant für Unternehmen sind vor allem Gesundheitsdaten (Krankmeldungen, BEM-Verfahren, betriebsärztliche Akten), biometrische Daten (Fingerabdruckscanner für Zugangskontrolle, Gesichtserkennung) und genetische Daten (Berufsgenossenschaftliche Untersuchungen). Jede Verarbeitung dieser Kategorien erfordert eine explizite Rechtsgrundlage aus Art. 9 Abs. 2 DSGVO, z. B. ausdrückliche Einwilligung (Abs. 2a), Verarbeitung für Zwecke des Beschäftigungsverhältnisses (Abs. 2b) oder Verarbeitung für Zwecke der Arbeitsmedizin (Abs. 2h).

Für deutsche Unternehmen gilt zusätzlich § 26 BDSG für die Datenverarbeitung im Beschäftigungskontext. Gesundheitsdaten von Mitarbeitenden, die im Rahmen des betrieblichen Eingliederungsmanagements oder bei der Betriebsarzt-Funktion entstehen, unterliegen besonderer Vertraulichkeit und dürfen nicht ohne spezifische Rechtsgrundlage an andere Stellen im Unternehmen weitergegeben werden.

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Die sechs Rechtsgrundlagen sind: Einwilligung (a), Vertragserfüllung (b), rechtliche Verpflichtung (c), lebenswichtige Interessen (d), öffentliches Interesse (e) und berechtigtes Interesse des Verantwortlichen (f). In der betrieblichen Praxis sind die relevantesten Grundlagen die Vertragserfüllung, die rechtliche Verpflichtung und das berechtigte Interesse.

Die Einwilligung nach Art. 6 Abs. 1a DSGVO klingt einfach, ist aber in der Praxis anspruchsvoll: Sie muss freiwillig, informiert, bestimmt und eindeutig sein. Im Beschäftigungskontext ist Freiwilligkeit strukturell fraglich, weshalb § 26 BDSG und die Aufsichtsbehörden hier enge Grenzen setzen. Werbliche Verarbeitung stützt sich häufig auf berechtigte Interessen nach Art. 6 Abs. 1f DSGVO – mit Interessenabwägungspflicht, die dokumentiert werden muss.

Die gewählte Rechtsgrundlage muss im Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert sein. Wird nachträglich eine andere Grundlage beansprucht, ist das nach Erwägungsgrund 40 DSGVO grundsätzlich unzulässig. Frist läuft ab Kenntnis: Die Pflicht zur Rechtsgrundlagendokumentation beginnt nicht erst beim nächsten Audit, sondern mit der ersten Verarbeitung.

Art. 30 DSGVO verpflichtet Verantwortliche zur Führung eines Verarbeitungsverzeichnisses (VVT). Ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitenden, sofern die Verarbeitung kein hohes Risiko für Betroffenenrechte darstellt, nicht regelmäßig erfolgt und keine besonderen Kategorien nach Art. 9 DSGVO umfasst. In der Praxis erfüllen die meisten Unternehmen ab einer gewissen Betriebsgröße diese Ausnahmevoraussetzungen nicht – das VVT ist faktisch Pflicht.

Das Verarbeitungsverzeichnis muss für jede Verarbeitungstätigkeit enthalten: Namen und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Kategorien betroffener Personen und Datenkategorien, Empfänger oder Empfängerkategorien, Drittlandübermittlungen mit Schutzmaßnahmen, Löschfristen sowie eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen.

Das VVT ist auf Anfrage der Aufsichtsbehörde vorzulegen. Ein fehlendes oder unvollständiges Verarbeitungsverzeichnis ist ein eigenständiger Datenschutzverstoß nach Art. 83 Abs. 4 DSGVO mit einem Bußgeldrahmen bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Für die Erstellung und Pflege des VVT ist häufig der Datenschutzbeauftragte verantwortlich oder koordinierend tätig.

Die DSGVO räumt betroffenen Personen umfangreiche Rechte ein, auf die Unternehmen innerhalb definierter Fristen reagieren müssen. Art. 12 DSGVO schreibt vor, dass Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitgestellt werden – unverzüglich, spätestens aber innerhalb eines Monats ab Eingang des Antrags.

Die wichtigsten Betroffenenrechte im Überblick:

• Auskunftsrecht (Art. 15 DSGVO): Betroffene haben das Recht, Auskunft über die sie betreffenden Verarbeitungen zu erhalten, einschließlich Zweck, Kategorien, Empfänger und Speicherdauer.
• Recht auf Berichtigung (Art. 16 DSGVO): Unrichtige Daten müssen unverzüglich korrigiert werden.
• Recht auf Löschung (Art. 17 DSGVO): Unter bestimmten Voraussetzungen – z. B. Wegfall des Zwecks oder Widerruf der Einwilligung – muss gelöscht werden.
• Recht auf Einschränkung (Art. 18 DSGVO): Unter bestimmten Umständen kann die Verarbeitung auf bloße Speicherung beschränkt werden.
• Widerspruchsrecht (Art. 21 DSGVO): Bei Verarbeitung auf Basis berechtigter Interessen können Betroffene widersprechen.

Unternehmen sollten einen strukturierten Betroffenenanfragen-Workflow einrichten, der Eingang, Bearbeitung und Antwort dokumentiert. Der Nachweis der fristgerechten Bearbeitung gehört in den Audit-Trail.

Art. 33 DSGVO verpflichtet Verantwortliche, eine Verletzung der Sicherheit personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde zu melden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Frist läuft ab Kenntnis, nicht ab Abschluss der Ursachenanalyse.

Die Meldung muss mindestens enthalten: eine Beschreibung der Art der Verletzung, die Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, die voraussichtlichen Folgen der Verletzung sowie die ergriffenen oder geplanten Maßnahmen zur Behebung.

Art. 34 DSGVO ergänzt: Bei voraussichtlich hohem Risiko für Betroffene ist zusätzlich eine direkte Benachrichtigung der betroffenen Personen erforderlich. Die Grenze zwischen meldepflichtig und nicht meldepflichtig ist im Einzelfall zu beurteilen. Aufsichtsbehörden erwarten, dass Unternehmen diese Bewertung dokumentieren – auch wenn sie zu dem Ergebnis kommen, dass keine Meldung erforderlich ist.

Ein internes Datenpannen-Register, das jeden Vorfall mit Datum, Beschreibung, Risikobewertung und Maßnahmen dokumentiert, ist Pflicht nach Art. 33 Abs. 5 DSGVO. Dieser Nachweis ist bei Behördenprüfungen regelmäßig das erste Dokument, das verlangt wird.

Art. 32 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Art. 25 DSGVO ergänzt das Prinzip des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen – bekannt als Privacy by Design und Privacy by Default.

Konkrete TOMs, die Art. 32 DSGVO als Beispiele nennt, sind: Pseudonymisierung und Verschlüsselung personenbezogener Daten, Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme, Fähigkeit zur raschen Wiederherstellung nach einem physischen oder technischen Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.

Die Wahl der Maßnahmen muss am Risiko ausgerichtet sein – nicht an einem einheitlichen Mindeststandard. Ein Krankenhaus verarbeitet Gesundheitsdaten mit hohem Risiko und benötigt strengere Maßnahmen als ein Einzelhändler, der nur Lieferadressen speichert. Die TOMs müssen dokumentiert, regelmäßig überprüft und bei Änderungen der Verarbeitung angepasst werden.

In der Praxis bewährt sich ein TOM-Dokument, das explizit auf die Verarbeitungstätigkeiten im Verarbeitungsverzeichnis verweist – so ist im Prüffall sofort nachvollziehbar, welche Schutzmaßnahmen welcher Verarbeitung zugeordnet sind.

Art. 37 DSGVO und § 38 BDSG verpflichten Unternehmen zur Bestellung eines Datenschutzbeauftragten (DSB), wenn mindestens eine der folgenden Voraussetzungen erfüllt ist: Das Unternehmen beschäftigt in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 Abs. 1 BDSG). Oder die Kerntätigkeit des Unternehmens umfasst Verarbeitungen, die eine umfangreiche regelmäßige und systematische Beobachtung von Personen erfordern (Art. 37 Abs. 1b DSGVO). Oder die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien nach Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen (Art. 37 Abs. 1c DSGVO).

Der DSB muss über Fachwissen im Datenschutzrecht und in der Datenschutzpraxis verfügen. Er kann intern bestellt oder als externer Dienstleister beauftragt werden. Die Bestellung muss schriftlich erfolgen und der Aufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 DSGVO). Bestellurkunde, unterschrieben, abgelegt, belegbar – dieser Grundsatz gilt hier ebenso wie für alle anderen Beauftragten-Rollen.

Der DSB hat nach Art. 38 DSGVO eine geschützte Stellung: Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Interessenkonflikte – etwa wenn der DSB gleichzeitig IT-Leiter ist – sind nach Art. 38 Abs. 6 DSGVO unzulässig. Prüfen Sie deshalb die Rollenkompatibilität vor der Bestellung.

Personenbezogene Daten sind nicht ein einzelnes Thema – sie sind das Querschnittsthema des gesamten Unternehmens. Jede Abteilung verarbeitet Daten: HR (Personalakten, Lohnbuchhaltung), Vertrieb (CRM, Kundendaten), IT (Log-Daten, Benutzerkonten), Einkauf (Lieferantenkontakte). Das bedeutet: Die Datenschutzpflichten sind kein Projekt, das man einmalig abschließt. Sie sind ein laufendes Betriebssystem.

Genau hier liegt der strukturelle Unterschied zwischen einem Datenschutzberater, der einmal im Jahr ein PDF liefert, und einem Datenschutzbeauftragten, der in einem Workspace täglich aktiv ist: Neue Verarbeitungstätigkeiten müssen ins VVT aufgenommen werden. Datenpannen müssen innerhalb von 72 Stunden gemeldet werden. Betroffenenanfragen müssen innerhalb eines Monats beantwortet werden. Schulungsnachweise müssen abgelegt sein.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service-Lösung. Lizenzieren Sie den Workspace für Ihren internen Datenschutzbeauftragten oder bestellen Sie unsere Beauftragten. In beiden Fällen stehen 37 einsatzbereite Audit-Vorlagen zur Verfügung, ein strukturiertes Datenpannen-Register, eine KI-Assistenz mit Quellenangaben und Konfidenzwert sowie ein Berichtsweg direkt zur Geschäftsleitung.

Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.