Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Was sind personenbezogene Daten

Was sind personenbezogene Daten

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Mit anderen Worten: Daten, die eine bestimmte Person direkt oder indirekt identifizieren können. Der Begriff ist ein zentrales Konzept im Datenschutzrecht und regelt die Verarbeitung durch Unternehmen, Organisationen und öffentliche Stellen.

Identifikationsdaten

Name, Geburtsdatum, Sozialversicherungsnummer, Steuer-ID, Passnummer, Führerscheinnummer (Art. 4 Abs. 1 DSGVO).

Kontaktdaten

Adresse, Telefonnummer, E-Mail-Adresse, Social-Media-Kontakte.

Demografische Daten

Geschlecht, Alter, Familienstand, Staatsangehörigkeit, ethnische Zugehörigkeit, Sprache.

Finanzielle Daten

Einkommen, Vermögen, Kreditwürdigkeit, Bankdaten, Transaktionsdaten.

Gesundheitsdaten

Gesundheitszustand, Krankengeschichte, Behandlungen, Diagnosen, genetische Daten (Art. 9 Abs. 1 DSGVO).

Bildungs- & berufliche Daten

Schul- und Hochschulabschlüsse, berufliche Qualifikationen, Arbeitsplatz, Berufserfahrung.

Online-Identifikatoren

IP-Adressen, Cookie-IDs, Geräte-IDs, Browserinformationen, Internetnutzungsdaten (Erwägungsgrund 30 DSGVO).

Besonders sensible Daten (Art. 9 Abs. 1 DSGVO)

Manche personenbezogene Daten gelten als besonders sensibel, da sie ein höheres Risiko für die Privatsphäre darstellen. Dazu gehören u. a.:

  • Rasse oder ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheits- und genetische Daten
  • Biometrische Daten zur eindeutigen Identifizierung
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Die Verarbeitung dieser Daten unterliegt strengeren Schutzanforderungen und darf nur unter besonderen Voraussetzungen erfolgen.

Berater Stefan Stroessenreuther

Datenschutz-Management

Sie benötigen Hilfe bei der Umsetzung der DSGVO (Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz)? Als externer Datenschutzbeauftragter unterstütze ich Unternehmen bei der Implementierung der Anforderungen aus der DSGVO und BDSG.

Kontaktieren Sie mich für ein unverbindliches, persönliches Gespräch.

Die Datenschutz-Grundverordnung (DSGVO)

In der Europäischen Union bildet die Datenschutz-Grundverordnung (DSGVO) das Kernstück der Gesetzgebung zum Schutz personenbezogener Daten. Sie legt die Grundsätze für die Verarbeitung fest (Art. 5 DSGVO) und verpflichtet Datenverarbeiter, technische und organisatorische Maßnahmen zum Schutz der Privatsphäre umzusetzen (Art. 24, 25, 32 DSGVO).

Wichtige Grundsätze der DSGVO (Art. 5)

📌 Rechtmäßigkeit & Transparenz
Verarbeitung muss rechtmäßig, nach Treu und Glauben und nachvollziehbar sein.
📌 Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden.
📌 Datenminimierung
Nur so viele Daten wie nötig dürfen verarbeitet werden.
📌 Richtigkeit
Daten müssen korrekt und aktuell sein. Falsche Daten sind unverzüglich zu berichtigen oder zu löschen.
📌 Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist.

Rechte der betroffenen Personen

Die DSGVO gewährt umfangreiche Rechte in Bezug auf personenbezogene Daten, darunter:

  • 📖 Recht auf Information (Art. 13, 14 DSGVO)
  • 🔍 Recht auf Zugang (Art. 15 DSGVO)
  • ✏️ Recht auf Berichtigung (Art. 16 DSGVO)
  • 🗑️ Recht auf Löschung – „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
  • ⏸️ Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • 🔄 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • 🚫 Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO)

Ziel der DSGVO

Ziel der DSGVO ist es, die Privatsphäre und Grundrechte im digitalen Zeitalter zu schützen. Unternehmen, Organisationen und Behörden müssen klar definieren, welche Daten sie erheben, wie sie diese verarbeiten und welche Schutzmaßnahmen sie ergreifen. Nur durch eine verantwortungsvolle und gesetzeskonforme Datenverarbeitung kann das Vertrauen von Kunden und Bürgern langfristig gesichert werden.

📌 Pflichten der Unternehmen nach DSGVO

Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, tragen nach der DSGVO eine umfassende Verantwortung. Zentral ist die sogenannte Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO): Es genügt nicht, die Grundsätze einzuhalten – man muss deren Einhaltung auch jederzeit nachweisen können. Dazu gehören dokumentierte Prozesse, Verarbeitungsverzeichnisse und klare Zuständigkeiten.

Bei Tätigkeiten mit hohem Risiko, etwa bei sensiblen Gesundheitsdaten, ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO vorgeschrieben. Risiken müssen systematisch identifiziert und Maßnahmen zur Reduzierung festgelegt werden.

Außerdem gilt eine strenge Meldepflicht: Datenschutzverletzungen müssen binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO). Besteht ein hohes Risiko für Betroffene, müssen auch diese informiert werden (Art. 34 DSGVO).

⚖️ Sanktionen und Bußgelder

Ein zentrales Thema der DSGVO sind die empfindlichen Strafen bei Verstößen. Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Für weniger gravierende Verstöße liegt der Rahmen bei bis zu 10 Mio. € oder 2 % des Umsatzes.

In der Praxis wurden bereits hohe Strafen verhängt, etwa wegen fehlender Einwilligungen für Tracking-Cookies, unzureichender Sicherheitsmaßnahmen oder ignorierter Betroffenenrechte.

Neben den finanziellen Folgen droht ein erheblicher Reputationsschaden. Ein bekannt gewordener Verstoß kann das Vertrauen von Kunden und Partnern dauerhaft untergraben.

🏢 Praxisbezug für Unternehmen

Die DSGVO bedeutet für Unternehmen nicht nur rechtliche Pflichten, sondern auch konkrete Umsetzung im Alltag. Dazu gehört die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), die Bereitstellung klarer Datenschutzerklärungen und der Abschluss von Auftragsverarbeitungsverträgen (AVV) mit externen Dienstleistern (Art. 28 DSGVO).

Typische Fehler sind unvollständige Löschkonzepte, fehlendes Cookie-Management oder die Speicherung unnötiger Daten. Erfolgreiche Unternehmen setzen dagegen auf klare Prozesse, regelmäßige Mitarbeiterschulungen und eine gelebte Datenschutzkultur.

Wer diese Maßnahmen umsetzt, reduziert Risiken, steigert das Vertrauen von Kunden und verschafft sich einen echten Wettbewerbsvorteil.

FAQ – Personenbezogene Daten

Die häufigsten Fragen und Antworten rund um personenbezogene Daten nach DSGVO. Von Definition bis zu Pflichten für Unternehmen.

1Was sind personenbezogene Daten?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, z. B. Name, Adresse, E-Mail oder IP-Adresse.

2Welche Kategorien personenbezogener Daten gibt es?

Beispiele: Identifikationsdaten (Name, Geburtsdatum), Kontaktdaten, Finanzdaten, Gesundheitsdaten, berufliche Daten, Online-Identifikatoren.

3Was sind besonders sensible personenbezogene Daten?

Daten nach Art. 9 DSGVO wie Gesundheitsdaten, genetische Daten, biometrische Daten, politische Meinungen, religiöse Überzeugungen oder sexuelle Orientierung.

4Wann dürfen personenbezogene Daten verarbeitet werden?

Nur wenn eine Rechtsgrundlage besteht, z. B. Vertragserfüllung, Einwilligung, rechtliche Verpflichtung oder berechtigtes Interesse.

5Wie müssen Unternehmen personenbezogene Daten schützen?

Durch technische und organisatorische Maßnahmen (TOMs) wie Verschlüsselung, Zugriffskontrollen, Backups, Löschkonzepte und Schulungen.

6Welche Rechte haben betroffene Personen?

Recht auf Auskunft, Berichtigung, Löschung („Vergessenwerden“), Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO).

7Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Ein Verfahren nach Art. 35 DSGVO, um Risiken für personenbezogene Daten bei risikoreichen Verarbeitungen frühzeitig zu identifizieren und zu minimieren.

8Was passiert bei Verstößen gegen die DSGVO?

Es drohen Bußgelder bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes sowie Reputationsschäden.

9Welche Pflichten haben Unternehmen?

Unternehmen müssen z. B. ein Verzeichnis von Verarbeitungstätigkeiten führen, Auftragsverarbeitungsverträge abschließen und Betroffene informieren.

10Wie lange dürfen personenbezogene Daten gespeichert werden?

Nur solange, wie es für den Zweck notwendig ist (Speicherbegrenzung nach Art. 5 DSGVO). Danach müssen Daten gelöscht oder anonymisiert werden.

Kostenloses Erstgespräch vereinbaren

Sie möchten Ihr Unternehmen DSGVO-konform aufstellen oder ein Datenschutz-Managementsystem einführen? In einem unverbindlichen Erstgespräch analysieren wir Ihre Situation und zeigen konkrete Schritte auf.

➡ Zu unseren Datenschutz-Leistungen
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel