Personenbezogenen Daten: Definition, Kategorien und Pflichten nach Art. 4 DSGVO

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Formulierung entscheidet täglich darüber, ob ein Datensatz unter die Datenschutz-Grundverordnung fällt oder nicht. Wer den Begriff zu eng zieht, riskiert Bußgelder nach Art. 83 DSGVO. Wer ihn zu weit zieht, überlastet Verzeichnis, AV-Verträge und Mitarbeiter mit unnötigen Prüfungen.

Dieser Beitrag liefert eine belastbare Auslegung des Begriffs auf Basis der DSGVO-Definition, der Rechtsprechung des Europäischen Gerichtshofs und der Hinweise deutscher Aufsichtsbehörden. Im Fokus stehen die Identifizierbarkeit, die besonderen Kategorien nach Art. 9 DSGVO, die Abgrenzung zur Pseudonymisierung nach Art. 4 Nr. 5 und zur Anonymisierung sowie die Konsequenzen für das Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Die Definition ist absichtlich weit. Sie umfasst Namen, Adressen, Kennnummern, Online-Kennungen wie IP-Adressen oder Cookie-IDs, Standortdaten, physiologische und genetische Merkmale, wirtschaftliche, kulturelle und soziale Identität. Erwägungsgrund 26 ergänzt, dass für die Identifizierbarkeit alle Mittel zu berücksichtigen sind, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person direkt oder indirekt zu identifizieren.

Der Europäische Gerichtshof hat in der Entscheidung Breyer (C-582/14) klargestellt, dass dynamische IP-Adressen personenbezogene Daten sind, wenn der Verantwortliche über rechtliche Mittel verfügt, die Identität beim Provider zu erfragen. Diese Auslegung ist breit. Sie betrifft Webserver-Logs, App-Telemetrie, Geräte-Kennungen und Telemetrie-Identifier.

Für Unternehmen folgt daraus eine Prüfschleife: Liegen Informationen vor, die mit zumutbarem Aufwand auf eine Person zurückgeführt werden können? Falls ja, gilt die DSGVO. Diese Prüfschleife ist nicht trivial. Der externe Datenschutzbeauftragte dokumentiert die Einordnung im Verzeichnis und legt fest, welche Rechtsgrundlage nach Art. 6 DSGVO greift. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Art. 9 Abs. 1 DSGVO verbietet die Verarbeitung von Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen, biometrischen, Gesundheits- oder Sexualleben-Daten. Das Verbot wird durch Art. 9 Abs. 2 aufgehoben, wenn eine der zehn dort genannten Ausnahmen greift, etwa ausdrückliche Einwilligung, arbeitsrechtliche Pflicht, lebenswichtiges Interesse oder Gesundheitsversorgung.

Für Unternehmen sind drei Kategorien besonders relevant. Gesundheitsdaten fallen bei Betriebsärzten, betrieblicher Wiedereingliederung und betrieblicher Altersversorgung an. Religion erscheint in der Lohnabrechnung über die Kirchensteuer. Gewerkschaftszugehörigkeit erscheint bei Lohnabzügen oder Betriebsratsmitgliedschaft. Biometrie wird bei Zugangskontrolle oder Single-Sign-On per Fingerabdruck oder Gesicht aktiviert.

Die Konsequenz ist eine erhöhte Schutzpflicht. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO müssen das erhöhte Risiko spiegeln, eine Datenschutz-Folgenabschätzung nach Art. 35 ist regelmäßig erforderlich, und das Verzeichnis nach Art. 30 muss die Rechtsgrundlage des Art. 9 Abs. 2 ausdrücklich benennen. Die Betriebsarzt-Rolle auf der CIVAC-Plattform trennt Gesundheitsdaten von HR-Daten in eigenen Mandantenräumen, mit getrennten Zugriffsrechten und versioniertem Audit-Trail.

Art. 4 Nr. 5 DSGVO definiert Pseudonymisierung als Verarbeitung, bei der personenbezogene Daten nicht mehr ohne Hinzuziehung zusätzlicher Informationen einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden. Pseudonymisierte Daten bleiben personenbezogene Daten. Sie unterliegen weiter der DSGVO. Pseudonymisierung ist eine Sicherheitsmaßnahme nach Art. 32, kein Ausstieg.

Anonymisierung führt aus dem Anwendungsbereich. Erwägungsgrund 26 stellt klar, dass anonyme Daten Informationen sind, die sich nicht mehr auf eine identifizierte oder identifizierbare Person beziehen, oder Daten, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die Schwelle ist hoch. Die Artikel-29-Datenschutzgruppe hat in Opinion 05/2014 drei Tests definiert: Einzelner herauszulösen (singling out), Verknüpfbarkeit (linkability) und Inferenz (inference). Wer auch nur einen der drei Tests nicht besteht, hat keine Anonymisierung, sondern Pseudonymisierung.

Praktisch bedeutet das: Tracking-Daten mit gekürzten IP-Adressen sind selten anonym. Aggregierte Statistiken können anonym sein, wenn die Gruppengröße ausreichend hoch ist und keine Quasi-Identifier verbleiben. Im Verzeichnis nach Art. 30 müssen Pseudonymisierungsverfahren als TOM dokumentiert sein, Anonymisierungsverfahren als Lösch- oder Ausscheidungsschritt.

Art. 30 Abs. 1 DSGVO verpflichtet Verantwortliche zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten. Pflichtinhalte umfassen Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Kategorien betroffener Personen und Kategorien personenbezogener Daten, Empfänger einschließlich Drittländer, Übermittlungen mit Garantien nach Art. 46, Löschfristen und eine allgemeine Beschreibung der TOMs nach Art. 32.

Die Ausnahme nach Art. 30 Abs. 5 gilt nur für Unternehmen mit weniger als 250 Beschäftigten und nur, wenn keine regelmäßige Verarbeitung, kein Risiko und keine besonderen Kategorien vorliegen. In der Praxis greifen mindestens zwei dieser Ausnahmebedingungen fast immer, weshalb der Mittelstand das Verzeichnis ohnehin führt.

Audit-Vorlagen reduzieren die Erstellungszeit. CIVAC liefert 37 einsatzbereite Audit-Vorlagen, darunter ein Art. 30-Verzeichnis, das Kategorien, Rechtsgrundlagen, Empfänger und Löschfristen strukturiert abfragt. Versionierung ist Pflicht. Aufsichtsbehörden verlangen das Verzeichnis im Zustand des Vorfalls, nicht im aktuellen Zustand. Die Bestellurkunde, unterschrieben, abgelegt, belegbar, ist Teil derselben Mandanten-Logik. Der Prüfer ruft an, der Nachweis liegt bereit. Die Compliance-Plattform und Officer-as-a-Service bündelt Verzeichnis, Bestellung und Berichtslinie an die Geschäftsleitung in einem Workspace.

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Art. 6 Abs. 1 DSGVO listet sechs Möglichkeiten: Einwilligung (lit. a), Vertragserfüllung (lit. b), rechtliche Verpflichtung (lit. c), lebenswichtiges Interesse (lit. d), öffentliche Aufgabe (lit. e) und berechtigtes Interesse (lit. f). Für besondere Kategorien nach Art. 9 gilt zusätzlich der erweiterte Katalog des Art. 9 Abs. 2.

Für Unternehmen sind drei Grundlagen dominant. Vertragserfüllung trägt die Bestellungs-, Liefer- und Zahlungsdaten. Rechtliche Verpflichtung trägt Lohnabrechnung, Steuer, Sozialversicherung und gesetzliche Aufbewahrung. Berechtigtes Interesse trägt Betrugsabwehr, IT-Sicherheit, Direktmarketing und interne Verwaltung. Einwilligung trägt Newsletter, nicht-essenzielle Cookies und freiwillige Mitarbeiter-Datenverarbeitungen.

Die Rechtsgrundlage muss vor der Verarbeitung festgelegt und im Verzeichnis dokumentiert werden. Ein nachträgliches Umschreiben ist nach Art. 5 Abs. 1 lit. b (Zweckbindung) nicht zulässig. Bei berechtigtem Interesse ist die Interessenabwägung schriftlich zu führen, mit Gegenüberstellung von Verantwortlichen-Interesse, Erwartungshorizont der Betroffenen und milderen Mitteln. CIVAC liefert hierfür eine Vorlage, die die drei Prüfschritte abbildet und das Ergebnis versioniert speichert.

Die DSGVO weist betroffenen Personen acht Rechte zu. Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) und das Recht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden (Art. 22). Die Mitteilungspflicht nach Art. 19 ergänzt die Berichtigung und Löschung um eine Informationspflicht gegenüber Empfängern.

Die Antwortfrist beträgt nach Art. 12 Abs. 3 einen Monat ab Eingang des Antrags, verlängerbar um zwei Monate bei Komplexität. Eine verspätete oder verweigerte Auskunft kann nach Art. 83 mit Bußgeldern belegt werden. Praktische Schwierigkeiten entstehen bei der Identifikation des Antragstellers, bei der Reichweite des Suchlaufs und bei der Trennung von Daten Dritter, die nicht offengelegt werden dürfen.

Plattformen reduzieren die Antwortzeit, indem sie betroffenenseitige Suchläufe systemübergreifend auslösen. Wer das im manuellen Modus betreibt, verfehlt regelmäßig die Monatsfrist. CIVAC bildet den Workflow als Ticket ab, dokumentiert die Identitätsprüfung, sammelt Treffer aus verbundenen Systemen und gibt eine versionierte Antwort aus. Audit-fest, dokumentiert, Art. 12-fest.

Art. 33 Abs. 1 DSGVO verpflichtet den Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden ab Kenntnis an die zuständige Aufsichtsbehörde zu melden, soweit ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Art. 34 ergänzt die Benachrichtigung der betroffenen Personen, wenn ein hohes Risiko vorliegt.

Frist läuft ab Kenntnis. Die 72 Stunden beginnen nicht mit dem Vorfall, sondern mit der Wahrnehmung durch den Verantwortlichen. Wer die Kenntnis nicht dokumentiert, riskiert eine Frist-Rekonstruktion durch die Aufsichtsbehörde, die häufig zum Nachteil des Verantwortlichen ausfällt. CIVAC stempelt den Zeitpunkt der Kenntnisnahme im Vorfall-Workflow und versioniert jede Sachverhaltsdarstellung.

Parallel laufen NIS-2-Pflichten: § 32 NIS2UmsuCG verlangt für wesentliche und wichtige Einrichtungen eine 24-Stunden-Frühwarnung und eine 72-Stunden-Folgemeldung an das BSI. Bei Vorfällen mit personenbezogenen Daten in NIS-2-Einrichtungen laufen also drei Fristen: 24h BSI-Frühwarnung, 72h BSI-Folgemeldung, 72h Aufsichtsbehörde nach Art. 33 DSGVO. Eine integrierte Plattform reduziert die Fehlerquellen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Art. 35 Abs. 1 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA) vor jeder Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Pflichtfälle nach Art. 35 Abs. 3 sind systematische Bewertungen mit Profiling, umfangreiche Verarbeitungen besonderer Kategorien und systematische Überwachung öffentlich zugänglicher Bereiche. Die deutschen Aufsichtsbehörden haben ergänzende Listen veröffentlicht.

Eine DSFA umfasst nach Art. 35 Abs. 7 mindestens eine systematische Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risiko-Bewertung und die geplanten Abhilfemaßnahmen. Das Ergebnis ist zu dokumentieren und im Zweifel mit der Aufsichtsbehörde nach Art. 36 zu konsultieren.

Praktisch hat sich ein vierstufiges Modell bewährt: Schwellenwert-Analyse, Risiko-Identifikation, Risiko-Bewertung und Maßnahmen-Planung. CIVAC liefert eine DSFA-Vorlage, die diese vier Schritte abbildet, die Verknüpfung zum Art. 30-Verzeichnis automatisch herstellt und die ISMS-Risikoeinträge nach ISO/IEC 27001:2022 spiegelt. Damit wird die DSFA nicht zu einem isolierten Dokument, sondern Teil des laufenden Risiko-Managements im Workspace.

Die Definition personenbezogener Daten ist der Eingang in den Anwendungsbereich der DSGVO. Daraus folgen die Bestellungspflicht eines Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG, die Verzeichnispflicht nach Art. 30, die Meldepflicht nach Art. 33, die Folgenabschätzung nach Art. 35 und die Betroffenenrechte nach Art. 15 bis 22. Jede dieser Pflichten lässt sich isoliert führen oder in einer Plattform bündeln.

CIVAC verbindet die Pflichten in einem Workspace mit EU-Datenresidenz. 25 Beauftragten-Rollen, 93 Controls nach ISO/IEC 27001:2022 und 37 Audit-Vorlagen liegen im selben Mandantenraum. Das ist relevant, weil Datenschutz selten allein steht. Informationssicherheit, Hinweisgeberschutz, Lieferketten-Sorgfalt und KI-Governance teilen sich Risikoeinträge, Verantwortliche und Berichtslinien. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.

Aus dem Lesen einen Auftrag machen. Wer den Begriff personenbezogener Daten konsequent operativ behandeln möchte, sendet eine kurze Bedarfsskizze an info@civac.de oder nutzt das Kontaktformular. Die Erstprüfung umfasst Mitarbeiterzahl, Verarbeitungstypen, Drittlandtransfers und besondere Kategorien. Innerhalb von 2 Werktagen liegt eine Einschätzung vor, ob ein Workspace, eine externe Bestellung oder eine Kombination passt.