Personenbezogene Daten definiert Art. 4 Ziff. 1 DSGVO wie folgt: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
Das Merkmal „personenbezogene“ Daten ist sehr weit zu fassen. Das sind die üblichen Stammdaten wie Name, Anschrift, Geburtsdatum und Geburtsort, kann aber auch weit darüber hinaus gehen: IP-Adresse, Nutzerverhalten (nicht nur online, auch offline z.B. Zutrittskontrollsysteme, Daten von Motorsteuerungen).
Relevant sind nur Daten, die lebende1), natürliche2) Personen betreffen. Daten juristischer Personen sind außen vor. Dabei spielt es keine Rolle, ob es sich um juristische Personen des privaten Rechts (AG, GmbH, eV, eG) oder des öffentlichen Rechts (Städte und Gemeinden, Landkreise, öffentlich-rechtliche Stiftungen etc.) handelt.
Es gibt bei natürlichen Personen keine Ausnahmen in Bezug auf personenbezogene Daten aufgrund der Eigenschaften der Person. Auch Daten von Polizisten,3) Lehrenden etc. im Dienst sind daher personenbezogene Daten, für deren Verarbeitung die Rechtmäßigkeit der Verarbeitung festgestellt werden.
Aus „identifizierte oder identifizierbare“ Personen ergibt sich weiter, dass anonymisierte Daten nicht geschützt sind, weil damit kein Rückschluss mehr auf eine einzelne Person möglich ist.4) Bei pseudonymisierten Daten, ist dagegen der Rückschluss auf die betroffene Person unter Hinzuziehung weiterer Informationen(und gem. Art. 4 Nr. 5 DSGVO auch nur dann) möglich, so dass hier personenbezogene Daten vorliegen.5)
Personenbezogene Daten dürfen nur verarbeitet werden, wenn die Rechtmäßigkeit der Verarbeitung sichergestellt ist.
Auch wenn ein Datum (ggf. im spezifischen Kontext) eine eher geringe Bedeutung hat, bleibt es dennoch ein personenbezogenes Datum, dass die oben beschriebene Rechtsfolge nach sich zieht. Allerdings ist in solchen Fällen eine Rechtfertigung der Verarbeitung dadurch erleichtert, dass bei Abwägungen die Risiken für die Rechte und Freiheiten der betroffenen Person naturgemäß eher gering ausfallen. Nur in diesem Sinne hat der Begriff Bagatellkommunikation6) eine Berechtigung.
Nur selten gibt es für den Umgang mit personenbezogenen Daten geringer Bedeutung ausdrückliche Regelungen, so dass im Normalfall selbständig abgewogen werden muss, ob und wann eine eher einfache Rechtfertigung der Datenverarbeitung möglich ist. Eine teilweise Ausnahme stellt das Berufsrecht der Rechtsanwälte dar, wo es -allerdings in dem spezifischen Kontext Verschwiegenheitspflicht- in § 2 Abs. 3 BORA (Berufsordnung für Rechtsanwälte heißt: „Ein Verstoß ist nicht gegeben, soweit das Verhalten des Rechtsanwalts [..] c) im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz).“ Das kann natürlich nicht ohne Weiteres im Wege der Analogie auf andere Anwendungsfälle übertragen werden aber die grundsätzlich Wertung sollte doch Berücksichtigung finden können.
Begrifflichkeiten wie Bagatellkommunikation und Sozialadäquanz dürfen aber keinesfalls zu dem Trugschluss verleiten, dass ein „Das haben wir schon immer so gemacht“ ein Rechtfertigungsgrund sei: Dem ist nicht so.