Dies ist eine alte Version des Dokuments!
Personenbezogene Daten definiert Art. 4 Ziff. 1 DSGVO wie folgt: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
Relevant sind nur Daten, die lebende, natürliche Personen betreffen. Daten juristischer Personen sind außen vor. Dabei spielt es keine Rolle, ob es sich um juristische Personen des privaten Rechts (AG, GmbH, eV, eG) oder des öffentlichen Rechts (Städte und Gemeinden, Landkreise, öffentlich-rechtliche Stiftungen etc.) handelt.
Das Merkmal „personenbezogene“ Daten ist sehr weit zu fassen. Das sind die üblichen Stammdaten wie Name, Anschrift, Geburtsdatum und Geburtsort, kann aber auch weit darüber hinaus gehen: IP-Adresse, Nutzerverhalten (nicht nur online, auch offline z.B. Zutrittskontrollsysteme, Daten von Motorsteuerungen).
Anonymität und Pseudonymität
Aus „identifizierte oder identifizierbare“ Personen ergibt sich weiter, dass anonymisierte Daten nicht geschützt sind, weil damit kein Rückschluss mehr auf eine einzelne Person möglich ist.1) Bei pseudonymisierten Daten, ist dagegen der Rückschluss auf die betroffene Person unter Hinzuziehung weiterer Informationen(und gem. Art. 4 Nr. 5 DSGVO auch nur dann) möglich, so dass hier personenbezogene Daten vorliegen.2)
