Personenbezogene Daten nach DSGVO: Definition, Beispiele und Datenarten (Art. 4, 9, 10)
Das Wichtigste in Kürze
- Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO alle Informationen über eine identifizierte oder identifizierbare natürliche Person – auch indirekt (z. B. über Kennungen, Profile, Kombinationen).
- Ob jemand „identifizierbar“ ist, hängt vom Kontext ab: Welche Zusatzinfos sind realistisch verfügbar (auch über Dritte) – und welcher Aufwand ist „vernünftigerweise zu erwarten“?
- Besondere Kategorien („sensible Daten“) stehen in einer festen Liste in Art. 9 DSGVO (z. B. Gesundheit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung).
- Daten zu Straftaten/Verurteilungen sind nicht Art. 9, aber gesondert in Art. 10 DSGVO geregelt (strenge Voraussetzungen, geeignete Garantien).
- Anonymisierte Informationen fallen grundsätzlich nicht unter die DSGVO; pseudonymisierte Daten sind in der Regel weiterhin personenbezogen.
Fast alle Datenschutzpflichten beginnen mit derselben Frage: Sind das (noch) personenbezogene Daten? Genau hier entstehen in der Praxis die meisten Missverständnisse – etwa bei Cookie-IDs, Protokolldaten, Kundenkennungen, Fotos oder „anonymisierten“ Auswertungen.
Dieser Beitrag erklärt die DSGVO-Definition, ordnet typische Datenarten ein und gibt ein praxistaugliches Prüfschema – verständlich, ohne pauschale „Immer-/Nie“-Aussagen.
Hinweis: Die Inhalte gelten schwerpunktmäßig für Deutschland/EU. Sie dienen der allgemeinen Orientierung und ersetzen keine Rechtsberatung im Einzelfall.Viele Organisationen verwechseln Pseudonymisierung mit Anonymisierung. Pseudonymisierung reduziert Risiken, nimmt Daten aber in der Regel nicht aus der DSGVO heraus. Anonymisierung setzt voraus, dass die betroffene Person nicht oder nicht mehr identifizierbar ist – auch nicht mit Mitteln, die vernünftigerweise zu erwarten sind.
Was sind personenbezogene Daten (Art. 4 Nr. 1 DSGVO)?
Kurzantwort: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – die Identifizierbarkeit kann auch indirekt über Kennungen oder Datenkombinationen entstehen.
Die Definition hat zwei Kernelemente:
- „Information“: Gemeint ist jede Art von Information (Text, Zahl, Bild, Ton, Messwert, Kennung, Protokoll, Bewertung).
- „Bezug zu einer natürlichen Person“: Die Information betrifft eine Person (z. B. Eigenschaften, Verhalten, Kontakte, Standort, Zugehörigkeiten, Kommunikation).
Art. 4 Nr. 1 DSGVO nennt beispielhaft Identifikatoren (z. B. Name, Kennnummer, Standortdaten, Online-Kennung) und Merkmale der Identität (z. B. physische, genetische, wirtschaftliche, kulturelle oder soziale Identität). Entscheidend bleibt immer: Besteht ein Personenbezug/Identifizierbarkeit?
Wichtig: Die DSGVO schützt natürliche Personen. Reine Unternehmensdaten ohne Personenbezug (z. B. „Muster GmbH, Sitz Berlin“) sind typischerweise nicht erfasst. In der Praxis entsteht der Personenbezug aber schnell – etwa bei Ansprechpartnern, personalisierten E-Mail-Adressen oder Einzelfirmen/Selbstständigen (wo Unternehmens- und Personendaten oft zusammenfallen).
„Identifiziert oder identifizierbar“: Wie wird eine Person bestimmbar?
Kurzantwort: Identifizierbar ist eine Person, wenn sie direkt (z. B. Name) oder indirekt (z. B. Kennung, Profil, Kombination) bestimmt werden kann – maßgeblich sind realistische Zusatzinformationen und der erwartbare Aufwand.
Direkte Identifizierung: Name, Kontakt, eindeutige Nummer
Kurzantwort: Direkt identifizierende Daten ermöglichen die Zuordnung ohne Umwege, etwa über Name, Anschrift oder eine eindeutige Nummer mit unmittelbarer Zuordnung.
- Klarnamen, Anschriften, personalisierte E-Mail-Adressen, Telefonnummern
- Kundennummern/Personalnummern, wenn sie im System einer Person zugeordnet sind
- Fotos/Videos, wenn Personen erkennbar sind
Indirekte Identifizierung: Kennungen, Profile, Kombinationen
Kurzantwort: Indirekt identifizierende Daten können über Zuordnungslisten, Profile oder Kombinationen eine Person bestimmbar machen – auch ohne Kenntnis des Namens.
- Online-Kennungen (Cookie-ID, Geräte-ID, App-Instanz-ID): ermöglichen Wiedererkennung/Profilbildung.
- Standortdaten: Bewegungsmuster können eine Person identifizierbar machen.
- Protokoll-/Logdaten: können je nach Zugriffsmöglichkeiten und Verknüpfbarkeit personenbezogen sein.
Kontext & „Mittel Dritter“: Warum pauschale Aussagen riskant sind
Kurzantwort: Ob Daten personenbezogen sind, ist oft kontextabhängig: Welche Zusatzinfos sind für den Verantwortlichen oder Dritte realistisch verfügbar – und ist eine Identifizierung ohne unverhältnismäßigen Aufwand möglich?
Praxisbeispiel: IP-Adressen oder Cookie-IDs sind nicht automatisch „immer“ personenbezogen – sie können es sein, wenn eine Identifizierung (ggf. über weitere Stellen/Informationen) realistisch möglich ist. Genau deshalb ist eine saubere Formulierung wichtig: nicht „immer“, sondern „kann – abhängig von Zugriff, Zusatzwissen und Aufwand“.
Dokumentieren Sie kurz: (1) welche Kennungen anfallen, (2) welche Zuordnungs-/Schlüsseldateien existieren, (3) ob und wie eine Person realistisch bestimmbar ist. Das verhindert Halbwahrheiten und hilft später bei TOMs, Löschkonzepten und Betroffenenrechten.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Kurzantwort: Art. 9 DSGVO enthält eine abschließende Liste besonders schutzbedürftiger Daten; deren Verarbeitung ist grundsätzlich untersagt, außer es greift eine gesetzliche Ausnahme.
Zu den besonderen Kategorien zählen personenbezogene Daten, aus denen u. a. hervorgehen:
- rassische oder ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten – nur wenn sie zur eindeutigen Identifizierung verarbeitet werden
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
„Sensible Daten“ sind nicht bloß ein Bauchgefühl. Maßgeblich ist Art. 9 DSGVO. Zusätzlich kann der Kontext scheinbar neutraler Daten besondere Informationen offenbaren (z. B. wiederkehrende Standortdaten rund um eine Klinik). Dann müssen Sie besonders sorgfältig prüfen, ob Art. 9 betroffen ist.
Daten zu Straftaten und Verurteilungen (Art. 10 DSGVO)
Kurzantwort: Daten über strafrechtliche Verurteilungen, Straftaten oder damit zusammenhängende Sicherheitsmaßnahmen sind in Art. 10 DSGVO gesondert geregelt und dürfen nur unter strengen Voraussetzungen verarbeitet werden.
Art. 10 DSGVO verlangt vereinfacht: Solche Daten dürfen (auf Basis von Art. 6 Abs. 1 DSGVO) grundsätzlich nur verarbeitet werden, wenn
- dies unter Kontrolle einer Behörde geschieht oder
- die Verarbeitung durch Unions-/Mitgliedstaatrecht erlaubt ist und geeignete Garantien vorsieht.
Praxisfolgen: Wenn Sie z. B. Führungszeugnisse, Ermittlungs-/Sanktionsangaben oder sicherheitsrelevante Vermerke verarbeiten, sollten Sie frühzeitig klären, welche konkrete Rechtsgrundlage greift und welche Schutzmaßnahmen (Zugriff, Protokollierung, Löschung, Berechtigungskonzepte) erforderlich sind.
Pseudonymisierung vs. Anonymisierung: Wann gilt die DSGVO noch?
Kurzantwort: Pseudonymisierte Daten bleiben meist personenbezogen, weil eine Zuordnung mit Zusatzwissen möglich ist. Anonymisierte Daten fallen grundsätzlich nicht unter die DSGVO – aber nur, wenn eine Re-Identifizierung realistisch nicht mehr möglich ist.
Pseudonymisierung: Risiko senken, Pflichten bleiben
Kurzantwort: Pseudonymisierung ersetzt direkte Kennungen durch ein Merkmal (z. B. Token) und hält Zusatzinfos getrennt – die Daten sind dadurch nicht automatisch „DSGVO-frei“.
Art. 4 Nr. 5 DSGVO beschreibt Pseudonymisierung als Verarbeitung, bei der Daten ohne Zusatzinformationen nicht mehr einer Person zugeordnet werden können, sofern diese Zusatzinformationen getrennt und geschützt sind. Typisch bleibt der Personenbezug aber bestehen – besonders für Stellen, die den Schlüssel/die Zuordnung besitzen oder realistisch erlangen können.
Anonymisierung: „Nicht mehr identifizierbar“ – auch mit realistischer Zusatzinfo
Kurzantwort: Anonymisierung verlangt, dass die Person nicht oder nicht mehr identifizierbar ist – auch nicht durch Zusammenführung mit Daten, die vernünftigerweise zu erwarten sind.
Der Maßstab ist streng: Wenn eine Re-Identifizierung (z. B. über seltene Merkmalskombinationen, kleine Gruppen oder externe Datenquellen) realistisch möglich bleibt, sind die Daten weiterhin personenbezogen.
1) Gibt es direkte Kennungen (Name, Kontakt, eindeutige Nummer)?
2) Gibt es indirekte Kennungen (Cookie-ID, Device-ID, Standortmuster)?
3) Existiert Zusatzwissen (Zuordnungstabellen, Schlüssel, CRM/HR-Systeme)?
4) Können Dritte realistisch mitwirken (z. B. Dienstleister/Provider) – und wäre das legal/typisch?
5) Ist eine Identifizierung ohne unverhältnismäßigen Aufwand möglich (Kosten/Technik/Zeit/Zugang)?
Nice to know: Ob Daten „für einen Empfänger“ anonym sein können, ist ebenfalls kontextabhängig. Wenn ein Empfänger keine realistische Möglichkeit hat, die Person zu bestimmen (kein Schlüssel, kein Zugriff, keine erwartbaren Mittel), kann sich die Bewertung für diese Stelle anders darstellen. Das ersetzt aber nicht die Pflicht, die eigene Verarbeitung sauber zu prüfen und zu dokumentieren.
Praxis-Check: So erkennen und klassifizieren Sie personenbezogene Daten rechtssicher
Kurzantwort: Prüfen Sie systematisch (1) Informationsart, (2) Personenbezug, (3) Identifizierbarkeit, (4) Art. 9/10-Relevanz, (5) Ergebnis dokumentieren – idealerweise im Dateninventar/Verzeichnis der Verarbeitungstätigkeiten.
Ein praxistaugliches Vorgehen (auch geeignet für interne Richtlinien und das Verzeichnis nach Art. 30 DSGVO):
- Schritt 1 – Datenquelle: Wo entstehen die Daten (Website, App, CRM, HR, E-Mail, Video, Dienstleister)?
- Schritt 2 – Kennungen: Welche Identifikatoren fallen an (Name, ID, Cookie, IP, Standort, Bild)?
- Schritt 3 – Zuordnung: Gibt es Systeme/Listen, die eine Zuordnung ermöglichen (intern/extern)?
- Schritt 4 – Art. 9/10 prüfen: Sonderregeln ja/nein? (Liste aus Art. 9, Straftaten nach Art. 10)
- Schritt 5 – Schutzbedarf: Welche Risiken bestehen (Profilbildung, Diskriminierung, Identitätsdiebstahl)?
- Schritt 6 – Ergebnis dokumentieren: Kurz begründen („warum personenbezogen/warum anonym“), Verantwortlichkeiten festhalten.
Die DSGVO greift typischerweise bei organisationeller/beruflicher Verarbeitung. Reine Tätigkeiten im persönlichen oder familiären Bereich können ausgenommen sein. Außerdem betrifft die DSGVO grundsätzlich nicht personenbezogene Daten verstorbener Personen; Mitgliedstaaten können dazu aber eigene Regeln haben. Für Unternehmen ist das meist weniger relevant – für Archive, Ahnenforschung oder Gedenkseiten kann es praktisch werden.
Wenn Sie diese Klassifizierung konsequent durchführen, wird der nächste Schritt deutlich leichter: Rechtsgrundlagen, Informationspflichten, Löschkonzept, TOMs, Betroffenenrechte und ggf. Datenschutz-Folgenabschätzung lassen sich darauf belastbar aufbauen.
Nächster Schritt: Dateninventar erstellen – Art. 9/10-Fälle markieren
Erfassen Sie pragmatisch: Welche Datenarten fallen an, woher kommen sie, wer hat Zugriff, wie lange wird gespeichert – und ob besondere Kategorien (Art. 9) oder Straftatdaten (Art. 10) betroffen sind. Mit dieser Basis setzen Sie DSGVO-Pflichten deutlich rechtssicherer um.
Häufige Fragen zu personenbezogenen Daten
Sind Daten über Unternehmen personenbezogene Daten?
Reine Informationen über juristische Personen (z. B. GmbH-Stammdaten ohne Personenbezug) sind grundsätzlich nicht der Schutzbereich der DSGVO. Sobald Informationen jedoch eine natürliche Person betreffen (z. B. Ansprechpartner, personalisierte E-Mail-Adresse, Einzelfirma), liegt regelmäßig ein Personenbezug vor.
Ist eine IP-Adresse immer personenbezogen?
Nein als pauschale „Immer-Regel“. IP-Adressen können personenbezogene Daten sein, wenn eine Identifizierung mit zusätzlichen Informationen und vernünftigerweise zu erwartenden Mitteln möglich ist. Das hängt u. a. von Kontext, Zugriffsmöglichkeiten und Verknüpfbarkeit ab.
Sind pseudonymisierte Daten noch personenbezogene Daten?
In der Regel ja. Pseudonymisierung reduziert die Zuordnungsfähigkeit ohne Zusatzinformationen, schließt Identifizierbarkeit aber nicht zwingend aus. Solange eine Zuordnung realistisch möglich bleibt, gelten die Daten typischerweise weiterhin als personenbezogen.
Fallen anonymisierte Daten unter die DSGVO?
Grundsätzlich nein – aber nur, wenn die betroffene Person nicht oder nicht mehr identifizierbar ist. Wenn Re-Identifizierung mit vernünftigerweise zu erwartenden Mitteln möglich bleibt, sind die Daten weiterhin personenbezogen.
Welche Daten sind „besondere Kategorien“ nach Art. 9 DSGVO?
Art. 9 DSGVO nennt eine feste Liste (u. a. Gesundheit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, politische Meinungen, Religion, Gewerkschaftszugehörigkeit, Sexualleben/sexuelle Orientierung). Für diese Daten gelten strengere Anforderungen und Ausnahmen müssen geprüft werden.
Quellen und weiterführende Informationen
- DSGVO (Verordnung (EU) 2016/679) – EUR-Lex (DE, PDF)
- Art. 4 DSGVO (Definitionen) – konsolidierte Darstellung
- Art. 9 DSGVO (besondere Kategorien) – konsolidierte Darstellung
- Art. 10 DSGVO (Straftaten/Verurteilungen) – konsolidierte Darstellung
- Erwägungsgrund 26 DSGVO (Identifizierbarkeit, anonyme Daten)
- Erwägungsgrund 30 DSGVO (Online-Identifikatoren)
- Erwägungsgrund 14 DSGVO (juristische Personen)
- Erwägungsgrund 27 DSGVO (Daten Verstorbener)
- EDPB: Guidelines 01/2025 on Pseudonymisation (Übersichtsseite)
- EDPB Guidelines 01/2025 on Pseudonymisation (PDF)
- BfDI: Positionspapier zur Anonymisierung unter der DSGVO (PDF)
- Art. 29-Datenschutzgruppe: Opinion 4/2007 zum Begriff personenbezogener Daten (PDF)
- EuGH, C-582/14 (Breyer): dynamische IP-Adressen und Personenbezug (PDF)
- BayLDA: Wann ist eine natürliche Person identifizierbar?