Dies ist eine alte Version des Dokuments!
Personenbezogene Daten definiert Art. 4 Ziff. 1 DSGVO wie folgt: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
Relevant sind nur Daten, die lebende, natürliche Personen betreffen. Daten juristischer Personen sind außen vor. Dabei spielt es keine Rolle, ob es sich um juristische Personen des privaten Rechts (AG, GmbH, eV, eG) oder des öffentlichen Rechts (Städte und Gemeinden, Landkreise, öffentlich-rechtliche Stiftungen etc.) handelt.
Aus „identifizierte oder identifizierbare“ Personen ergibt sich weiter, dass pseudonymisierte oder anonymisierte Daten nicht geschützt sind, wenn damit kein Rückschluss mehr auf eine einzelne Person möglich ist. Andererseits ist das Merkmal „personenbezogene“ Daten sehr weit zu fassen. Das sind die üblichen Stammdaten wie Name, Anschrift, Geburtsdatum und Geburtsort, kann aber auch weit darüber hinaus gehen: IP-Adresse, Nutzerverhalten (nicht nur online, auch offline z.B. Zutrittskontrollsysteme, Daten von Motorsteuerungen).
