Personenbezogene Daten nach DSGVO: Definition, Kategorien und operative Konsequenzen

Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Legaldefinition ist der zentrale Hebel, an dem jede weitere Pflicht der Verordnung haengt. Erst wenn ein Datum als personenbezogen klassifiziert ist, greifen die Grundsaetze nach Art. 5 DSGVO, die Rechtmaessigkeitsbedingungen nach Art. 6 DSGVO, die Betroffenenrechte nach Art. 12 bis 22 DSGVO und die Meldepflichten nach Art. 33 sowie Art. 34 DSGVO. Die Praxis zeigt, dass die Einordnung haeufig falsch erfolgt. IP-Adressen, Cookie-IDs, Personalnummern oder Standortdaten werden als rein technisch betrachtet, obwohl der EuGH sie in mehreren Entscheidungen als personenbezogen eingestuft hat. Wer den Personenbezug zu eng zieht, verfehlt das Schutzniveau und riskiert Bussgelder nach Art. 83 DSGVO bis 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes.

Dieser Beitrag liefert eine prüfbare Definition, ordnet besondere Kategorien nach Art. 9 DSGVO ein und zeigt, welche operativen Konsequenzen sich für Verantwortliche, Auftragsverarbeiter und den Datenschutzbeauftragten ergeben. Sie erfahren außerdem, wie CIVAC als Compliance-Plattform und Officer-as-a-Service Verarbeitungsverzeichnis, Loeschkonzept und Meldepfad in einem auditfesten Workspace zusammenfuehrt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle führen zum gleichen Ergebnis. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natuerliche Person beziehen. Die Norm verwendet bewusst die Formulierung alle Informationen, weil der europaeische Gesetzgeber jede formelle Begrenzung auf bestimmte Datentypen vermeiden wollte. Erfasst werden objektive Angaben wie das Geburtsdatum ebenso wie subjektive Einschaetzungen, etwa eine Personalbeurteilung oder ein internes Bonitaetsrating. Erfasst werden strukturierte Datenbankeintraege ebenso wie unstrukturierte Freitexte in E-Mails, Aktennotizen oder Audiomitschnitte aus einem Service-Center.

Identifizierbar ist eine Person, sobald sie über eine Kennung wie Name, Kennnummer, Standortdaten oder Online-Kennungen direkt oder indirekt erkannt werden kann. Erwaegungsgrund 26 DSGVO konkretisiert, dass alle Mittel zu berücksichtigen sind, die der Verantwortliche oder ein Dritter nach allgemeinem Ermessen wahrscheinlich nutzt. Damit ist der Personenbezug ein relatives Konzept. Eine isolierte Kundennummer ist im Adresshandel personenbezogen, im internen System eines Auftragsverarbeiters mit eigenem Schlüssel hingegen pseudonym. Auch die Aussicht auf eine Verknuepfung in der Zukunft kann den Personenbezug begruenden, sofern sie realistisch und nicht rein theoretisch ist.

Fuer die operative Praxis bedeutet das, dass Verantwortliche jeden Datenfluss anhand des Verkettungsrisikos prüfen. Pseudonyme Datensaetze bleiben personenbezogen, solange der Schlüssel beim Verantwortlichen oder einem Auftragsverarbeiter liegt. Erst nach echter Anonymisierung, also der unwiederbringlichen Entkopplung von Identifikatoren, faellt das Datum aus dem Anwendungsbereich der DSGVO. Der CIVAC-Workspace führt für jede Verarbeitung eine dokumentierte Personenbezugs-Bewertung, sodass der externe Datenschutzbeauftragte jederzeit nachweisen kann, warum ein Datensatz als personenbezogen, pseudonym oder anonym eingestuft wurde. Diese Bewertung ist die Grundlage jeder spaeteren Auskunft und jedes Loeschvorgangs.

Art. 9 Abs. 1 DSGVO unterstellt bestimmte Datenarten einem grundsaetzlichen Verarbeitungsverbot. Dazu zaehlen Angaben über rassische oder ethnische Herkunft, politische Meinungen, religioese oder weltanschauliche Überzeugungen, Gewerkschaftszugehoerigkeit, genetische und biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten sowie Daten zum Sexualleben oder zur sexuellen Orientierung. Verboten ist jede Verarbeitung, sofern keine der zehn Ausnahmen nach Art. 9 Abs. 2 DSGVO greift. Die Ausnahmen reichen von ausdruecklicher Einwilligung über arbeitsrechtliche Pflichten bis zu medizinischer Versorgung, öffentlichem Gesundheitsinteresse und Verteidigung von Rechtsanspruechen.

Die praktische Konsequenz ist eine deutlich hoehere Pflichtenlast. Verantwortliche muessen technische und organisatorische Maßnahmen nach Art. 32 DSGVO an den erhoehten Schutzbedarf anpassen, eine Datenschutz-Folgenabschaetzung nach Art. 35 DSGVO durchführen und Berechtigungen restriktiv vergeben. In klinischen Studien greift zusaetzlich das datenschutzkonforme Pseudonymisierungsregime mit getrennter Schlüsselverwahrung in einer separaten organisatorischen Einheit. Im Personalbereich treten Mitbestimmungsrechte nach Betriebsverfassungsgesetz hinzu, etwa bei der Verarbeitung von Gesundheitsdaten im betrieblichen Eingliederungsmanagement nach § 167 SGB IX oder bei der Auswertung von Krankenstatistiken.

Auch biometrische Daten verdienen besondere Beachtung. Ein Foto wird erst dann zum biometrischen Datum im Sinne des Art. 9 DSGVO, wenn es mit einem technischen Verfahren zur eindeutigen Identifizierung verknuepft wird, etwa in einer Gesichtserkennung oder einer biometrischen Zutrittskontrolle. Reine Mitarbeiterportraets im Intranet fallen demgegenueber unter Art. 6 DSGVO. Der CIVAC-Workspace klassifiziert Verarbeitungen nach Schutzklassen und hinterlegt für jede Klasse die zugehoerigen Audit-Vorlagen aus dem Bestand von 37 vorgefertigten Templates, sodass die Begruendung für technische und organisatorische Maßnahmen jederzeit prüfbar ist. Der Prüfer ruft an, der Nachweis liegt bereit.

Erwaegungsgrund 30 DSGVO nennt ausdruecklich Online-Kennungen, IP-Adressen, Cookie-IDs und Geraete-Fingerabdruecke als Beispiele identifizierender Merkmale. Der EuGH hat in der Entscheidung Breyer (Az. C-582/14) klargestellt, dass dynamische IP-Adressen für einen Webseitenbetreiber personenbezogen sind, wenn dieser über rechtliche Mittel verfuegt, um beim Provider eine Identifizierung zu erwirken. Damit sind nahezu alle serverseitig protokollierten IP-Adressen unter DSGVO-Schutz, einschliesslich der Logfiles in Webservern, Firewalls, Loadbalancern und Application-Performance-Monitoring-Tools. Auch verkuerzte IP-Adressen sind nur dann ausreichend anonymisiert, wenn die Verkuerzung mindestens das letzte Oktett betrifft und keine Verkettung mit weiteren Identifikatoren stattfindet.

Fuer Cookie-IDs und Pixel-Tracker hat der EuGH in der Entscheidung Planet49 (Az. C-673/17) zudem die Einwilligungspflicht praezisiert. Die nationale Umsetzung durch das TTDSG, seit 2026 TDDDG, verlangt eine aktive Einwilligung für alle nicht zwingend erforderlichen Cookies. Werbetracker, Conversion-Pixel und Profiling-Skripte beruhen damit auf Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 TDDDG. Die Einwilligung muss nachweisbar, granular, informiert und jederzeit widerrufbar sein. Ein Consent-Management-System ist Pflicht, der Nachweis muss mindestens drei Jahre revisionssicher aufbewahrt werden.

Operativ entstehen drei Pflichtschichten. Erstens muss jede Online-Verarbeitung im Verarbeitungsverzeichnis nach Art. 30 DSGVO mit Rechtsgrundlage erfasst werden. Zweitens muss die Datenuebermittlung an Drittlandsanbieter, insbesondere in die USA, über Standardvertragsklauseln und ein Transfer Impact Assessment abgesichert sein. Drittens muss die Berichtslinie an den Datenschutzbeauftragten sicherstellen, dass neue Tracking-Tools vor Produktivnahme bewertet werden. Im CIVAC-Workspace ist dafuer ein Tool-Onboarding-Prozess hinterlegt, der die Prüfung als Workflow führt und am Ende eine Freigabe oder Ablehnung mit dokumentierter Begruendung erzeugt.

Sobald ein personenbezogenes Datum vorliegt, gilt jede Operation darauf als Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO. Erfasst sind Erheben, Erfassen, Organisation, Speicherung, Anpassung, Auslesen, Abfragen, Verwendung, Offenlegung, Übermittlung, Loeschung und Vernichtung. Jede dieser Operationen benötigt eine eigene Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Im Beschaeftigungskontext tritt § 26 BDSG als Spezialnorm hinzu, im Direktmarketing greift haeufig das berechtigte Interesse nach lit. f mit dokumentierter Interessenabwaegung. Diese Interessenabwaegung ist keine Formalie, sondern eine inhaltliche Prüfung der vernuenftigen Erwartungen der betroffenen Person und der Eingriffsintensitaet der Verarbeitung.

Art. 5 Abs. 1 DSGVO formuliert sechs Grundsaetze, die jede Verarbeitung erfuellen muss. Rechtmaessigkeit, Treu und Glauben sowie Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integritaet und Vertraulichkeit. Hinzu tritt nach Art. 5 Abs. 2 DSGVO die Rechenschaftspflicht. Der Verantwortliche muss die Einhaltung der Grundsaetze nicht nur sicherstellen, sondern auch nachweisen koennen. Diese Beweislastumkehr ist der Kern moderner Datenschutzpruefungen. Ohne dokumentierten Prozess gilt der Grundsatz als verletzt, selbst wenn die Verarbeitung materiell korrekt ablaeuft. Die Praxis zeigt, dass Bussgelder oft an der Dokumentation scheitern, nicht an der Sache selbst.

Die Rechenschaftspflicht macht aus dem DSGVO-Programm eine Dokumentationsdisziplin. Verarbeitungsverzeichnis, Auftragsverarbeitungsvertraege, Datenschutz-Folgenabschaetzungen, Schulungsnachweise, Loeschprotokolle und Meldekorrespondenz muessen in einem auffindbaren Repository liegen. Der CIVAC-Workspace bildet diese Anforderungen als verzahnte Module ab, mit Versionierung, Änderungshistorie und Audit-Trail. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Bei einer Aufsichtsbehoerdenanfrage exportiert der Datenschutzbeauftragte die relevanten Nachweise in unter zwei Werktagen statt der klassischen zwei bis sechs Wochen. Diese Geschwindigkeit ist der Unterschied zwischen einem geordneten Prüfverlauf und einem Bussgeldverfahren mit öffentlicher Wirkung.

Art. 4 Nr. 5 DSGVO definiert Pseudonymisierung als Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusaetzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden koennen. Voraussetzung ist, dass diese zusaetzlichen Informationen getrennt aufbewahrt werden und technischen sowie organisatorischen Maßnahmen unterliegen, die eine unbefugte Zusammenfuehrung verhindern. Pseudonymisierte Daten bleiben personenbezogen, geniessen aber als technische Schutzmassnahme nach Art. 32 DSGVO eine privilegierte Stellung in der Interessenabwaegung, der Folgenabschaetzung und der Meldebewertung bei Datenpannen.

Anonymisierung im Sinne des Erwaegungsgrunds 26 DSGVO setzt eine irreversible Entkopplung voraus. Statistische Aggregate, k-Anonymitaet ab geeigneten Schwellenwerten oder Differential Privacy gelten je nach Kontext als anonym. Der entscheidende Test ist das Reidentifikationsrisiko unter Hinzuziehung verfuegbarer Zusatzinformationen, einschliesslich öffentlicher Datensaetze, sozialer Netzwerke und kommerzieller Datenbroker. Dieses Risiko muss dokumentiert und periodisch überprueft werden, weil neue Datenquellen die Verkettung ermoeglichen koennen. Die Aufsichtsbehoerden des Bundes und der Laender publizieren dazu Orientierungshilfen, die in jeder Folgenabschaetzung referenziert werden sollten.

Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verlangt, dass nur die für den Zweck erforderlichen Daten erhoben werden. In der Praxis scheitert dies haeufig an gewachsenen Formularen und CRM-Feldern, die über Jahre erweitert wurden, ohne dass alte Felder entfernt wurden. Der CIVAC-Workspace führt deshalb eine Felder-Inventur als wiederkehrenden Workflow, in dem jedes Feld einer Verarbeitung zugeordnet und der Erforderlichkeitsgrund hinterlegt wird. Felder ohne Begruendung werden zur Loeschung vorgeschlagen. Diese Disziplin reduziert nicht nur Risiken, sondern beschleunigt auch Auskunftsersuchen, weil die Datenkarte einer Person sauber abgegrenzt ist.

Die Art. 12 bis 22 DSGVO geben betroffenen Personen umfassende Rechte gegenueber dem Verantwortlichen. Die Auskunft nach Art. 15 DSGVO ist mengenmaessig das wichtigste. Verantwortliche muessen binnen eines Monats nach Eingang eine vollstaendige Datenkarte liefern, einschliesslich Verarbeitungszwecken, Kategorien, Empfaengern, Speicherdauer und Quellen. Die Frist ist hart, die Verlaengerung um zwei Monate nach Art. 12 Abs. 3 DSGVO greift nur bei nachgewiesener Komplexitaet und muss innerhalb des ersten Monats begruendet mitgeteilt werden. Eine pauschale Verlaengerung ohne Begruendung gilt als Verstoss gegen die Rechenschaftspflicht.

Berichtigung nach Art. 16 DSGVO, Loeschung nach Art. 17 DSGVO und Einschraenkung nach Art. 18 DSGVO unterliegen denselben Fristen. Besonders heikel ist das Recht auf Loeschung, weil es haeufig mit Aufbewahrungspflichten aus § 147 AO oder § 257 HGB kollidiert. Der Verantwortliche muss in einem Loeschkonzept dokumentieren, welche Daten in welchen Systemen wann zur Loeschung anstehen und welche Sperrloeschungen aus rechtlichen Gruenden bestehen bleiben. Die DIN 66398 Loeschregeln liefern dafuer eine etablierte Systematik mit konkreten Loeschklassen und Loeschfristen je Datenkategorie.

Operative Schwierigkeit entsteht meist nicht in der Rechtsbeurteilung, sondern in der Datenfindung. Personenbezogene Daten liegen verteilt in CRM, ERP, E-Mail-Archiven, Backups, Logfiles und bei Auftragsverarbeitern. Der CIVAC-Workspace führt für jeden Verantwortlichen eine System-Inventur mit Datenkarten je System, sodass Auskunftsersuchen entlang einer prüfbaren Abfragekette beantwortet werden. Die durchschnittliche Bearbeitungsdauer sinkt damit von typischen 18 auf 6 Tage, der Nachweis bleibt revisionsfest. Frist laeuft ab Kenntnis, nicht ab interner Weiterleitung. Diese Klarstellung ist der haeufigste Grund für Fristversaeumnisse in dezentralen Organisationen.

Art. 33 Abs. 1 DSGVO verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzueglich, möglichst binnen 72 Stunden nach Kenntnisnahme, der zuständigen Aufsichtsbehoerde zu melden. Die Frist laeuft ab Kenntnis, nicht ab Eintritt der Verletzung. Kenntnis tritt ein, sobald der Verantwortliche mit hinreichender Gewissheit davon ausgehen kann, dass ein Sicherheitsvorfall zu einer Verletzung gefuehrt hat. Verspaetete Meldungen muessen begruendet werden, was in der Praxis zu Bussgeldern führt, wenn die Begruendung nicht überzeugt. Auch eine Nullmeldung mit anschliessender Korrekturmeldung ist zulässig und in unklaren Faktenlagen oft die sicherere Option, weil sie die Frist wahrt und Raum für die forensische Aufarbeitung schafft.

Inhaltlich verlangt die Meldung die Beschreibung der Art der Verletzung, die Kategorien und ungefaehre Zahl betroffener Personen und Datensaetze, die Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen. Art. 34 DSGVO tritt hinzu, wenn ein hohes Risiko für die Rechte und Freiheiten besteht. Dann muessen betroffene Personen unverzueglich in klarer und einfacher Sprache informiert werden. Die Schwelle ist eine Risikoabwaegung, keine Pauschalpflicht, und sollte mit einem dokumentierten Bewertungsraster entschieden werden, das Sensibilitaet, Umfang und Wahrscheinlichkeit eines Schadens berücksichtigt.

Der CIVAC-Workspace stellt für Datenpannen einen vorgefertigten 72-Stunden-Pfad bereit. Der Vorfall wird in einem Erstformular erfasst, der DSB erhaelt automatisch eine Bewertungsaufgabe, eine Klassifikation nach ENISA-Schema wird vorgeschlagen, und das Meldedokument für die Aufsichtsbehoerde wird aus den Feldern generiert. Fuer NIS-2-relevante Sektoren erfolgt zusaetzlich der 24-Stunden-Fruehwarnpfad an das BSI, gefolgt von der 72-Stunden-Folgemeldung und der finalen Bewertung nach einem Monat. Audit-fest, dokumentiert, paragrafenfest. Diese Doppelpfad-Logik vermeidet Doppelarbeit und schliesst Luecken zwischen DSGVO- und NIS-2-Pflichten, die in der Praxis haeufig zu widerspruechlichen Meldungen führen.

Art. 30 DSGVO verlangt vom Verantwortlichen ein Verzeichnis aller Verarbeitungstaetigkeiten. Die Pflicht trifft praktisch jedes Unternehmen ab zehn Mitarbeitenden, weil die Ausnahme nach Art. 30 Abs. 5 DSGVO sehr eng ist und schon bei regelmäßiger Personalverarbeitung entfaellt. Das Verzeichnis ist nicht nur ein Formular, sondern die zentrale Steuerungsgrundlage des Datenschutzmanagements. Es verbindet Zweck, Rechtsgrundlage, Datenkategorien, Empfaenger, Loeschfristen und Schutzmassnahmen je Verarbeitung und dient als erster Prüfgegenstand bei jeder Anfrage der Aufsichtsbehoerden. Auftragsverarbeiter führen ein eigenes Verzeichnis nach Art. 30 Abs. 2 DSGVO mit anderem Fokus.

In der Praxis enthalten gute Verzeichnisse 60 bis 200 Eintraege, abhaengig von Branche und Größe. Jede Verarbeitung wird mit einer eindeutigen Kennung, einer Versionshistorie und einem Verantwortlichen aus dem Fachbereich gefuehrt. Änderungen an Tools, Anbietern oder Datenfluessen loesen eine Prüfaufgabe an den DSB aus. Ohne diese Disziplin veraltet das Verzeichnis innerhalb von zwoelf Monaten, was bei einer Prüfung als Verstoss gegen die Rechenschaftspflicht gewertet wird. Aufsichtsbehoerden verlangen das Verzeichnis regelmäßig als ersten Prüfgegenstand, gefolgt von Auftragsverarbeitungsvertraegen und Loeschkonzept. Die Vollstaendigkeit der Eintraege ist wichtiger als die Detailtiefe einzelner Felder.

Der CIVAC-Workspace führt das Verzeichnis als lebendes Repository mit Verknuepfung zu Auftragsverarbeitungsvertraegen, Folgenabschaetzungen und Schulungen. Jeder Eintrag traegt eine Datenkarte, sodass Auskunfts-, Berichtigungs- und Loeschanfragen entlang der Verarbeitungen verarbeitet werden. Verantwortliche, die das Modell Officer-as-a-Service waehlen, erhalten ein initiales Verzeichnis aus 490 Audit-Vorlagen als Startpunkt und damit eine prüfbare Baseline in zwei Werktagen statt mehreren Wochen Erstaufnahme. Die Baseline wird in den Folgemonaten durch strukturierte Fachbereichsinterviews verfeinert und mit Änderungsanzeigen versehen, die jeweils eine Versionsfreigabe durch den DSB ausloesen.

Wer personenbezogene Daten verarbeitet, traegt die Beweislast für Rechtmaessigkeit, Transparenz und Sicherheit. Diese Beweislast ist kein einmaliges Projekt, sondern eine fortlaufende Disziplin. Datenfluesse aendern sich, Anbieter aendern sich, Rechtsprechung aendert sich, und mit jeder Änderung verschiebt sich das Schutzniveau. CIVAC ist die Compliance-Plattform und Officer-as-a-Service für Unternehmen, die diese Disziplin nicht als Aktenschrank führen wollen, sondern als Software. Der Workspace bringt Verarbeitungsverzeichnis, Verfahren für Auskunfts- und Loeschanfragen, Auftragsverarbeitungsmanagement, Folgenabschaetzungen, Meldepfade und Schulungsnachweise unter einer einzigen Berichtslinie zusammen und bildet so alle 25 Beauftragten-Rollen mit den jeweiligen Audit-Vorlagen ab.

Sie haben zwei Wege. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, dann arbeiten Ihr Datenschutzbeauftragter und Ihre Fachbereiche in einer Umgebung mit EU-Datenresidenz, 93 ISO/IEC 27001:2022 Controls, 490 Audit-Vorlagen und einem strukturierten 72-Stunden-Pfad für Datenpannen. Oder lassen Sie unsere Beauftragten bestellen. Dann übernimmt CIVAC die Funktion des externen Datenschutzbeauftragten mit Bestellurkunde, Berichtslinie und SLA. Beide Modelle muenden in denselben Nachweis. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Wahl zwischen den Modellen haengt von interner Personalstaerke, Risikoexposition und der Bereitschaft zur Mandatierung externer Verantwortlicher ab.

Wenn Sie heute eine Auskunftsanfrage erhalten, eine Datenpanne meldepflichtig wird oder eine Aufsichtsbehoerde anruft, entscheidet die Qualität Ihrer Dokumentation über die Reaktionszeit. CIVAC verkuerzt diese Reaktionszeit auf zwei Werktage statt der klassischen zwei bis sechs Wochen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/faq, um eine Erstbewertung Ihrer Datenschutzlage zu starten. Sie erhalten innerhalb von 24 Stunden eine Rückmeldung mit den naechsten Schritten und einer indikativen Aufwandsschaetzung für beide Modelle.