Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)
Personenbezogene Daten als Anwendungsschwelle des Datenschutzrechts: Bezug auf eine identifizierte oder identifizierbare natürliche Person, direkte und indirekte Identifizierbarkeit, Sach- und synthetische Daten, Abgrenzung zu anonymen Daten.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Der Begriff entscheidet darüber, ob das Datenschutzrecht überhaupt anwendbar ist: Nur wer personenbezogene Daten verarbeitet, unterliegt der DSGVO. Wo kein Personenbezug besteht, gelten ihre Pflichten nicht. Damit ist dieser Begriff die zentrale Anwendungsschwelle des gesamten Datenschutzrechts.
Das Wichtigste in Kürze
- Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person (Art. 4 Nr. 1 DSGVO); der Begriff ist die Eintrittsschwelle des Datenschutzrechts.
- Identifizierbar ist eine Person, wenn ihre Bestimmung direkt (z.B. Name) oder indirekt (z.B. IP-Adresse, Kennzeichen) möglich ist; Maßstab sind alle Mittel, die nach allgemeinem Ermessen wahrscheinlich eingesetzt werden (Erwägungsgrund 26 DSGVO).
- Anonyme Daten sind keine personenbezogenen Daten; pseudonymisierte Daten bleiben beim Verantwortlichen, der die Zusatzinformationen besitzt, personenbezogen.
- Innerhalb der personenbezogenen Daten gelten für besondere Kategorien (Art. 9 DSGVO) und Straftatdaten (Art. 10 DSGVO) deutlich strengere Anforderungen.
- Der Personenbezug ist relativ: Dieselbe Information kann bei einem Empfänger ohne Zuordnungsmöglichkeit anonym sein, während sie beim Verantwortlichen mit Zusatzwissen personenbezogen bleibt.
1 Überblick
1.1 Definitionskern
Ein personenbezogenes Datum setzt drei Elemente voraus: Es muss eine natürliche Person geben, diese muss zumindest identifizierbar sein, und die Information muss sich auf sie beziehen. Erfasst sind dabei nicht nur Identifikationsmerkmale wie Name, Anschrift oder Geburtsdatum, sondern jede Information über die Person. Dazu zählen äußere Merkmale (Geschlecht, Augenfarbe, Größe, Gewicht), innere Zustände (Meinungen, Motive, Wünsche, Überzeugungen, Werturteile) und sachliche Informationen über ihre Verhältnisse (Vermögens- und Eigentumslage, Kommunikations- und Vertragsbeziehungen, sonstige Beziehungen zu Dritten und zur Umwelt). Auch Informationen, die erst aus einer Verarbeitung entstehen, etwa die Bewertung der Zahlungsfähigkeit, sind personenbezogene Daten.
1.2 Einordnung und Abgrenzung
Die Begriffsbestimmung in Art. 4 Nr. 1 DSGVO entspricht im Wesentlichen der Definition in Art. 3 Nr. 1 der Verordnung (EU) 2018/1725 für die Unionsorgane und ist gleich auszulegen. Innerhalb der personenbezogenen Daten unterscheidet die DSGVO besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO), an deren Verarbeitung sie strengere Anforderungen knüpft (dazu die sensiblen Datenkategorien). Auch Steuerdaten sind personenbezogene Daten. Im Unionsrecht kennt die Verordnung über den freien Verkehr nicht-personenbezogener Daten (Verordnung (EU) 2018/1807) nur die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten; eine dritte Kategorie gibt es nicht.
Der Personenbezug ist die Eintrittsschwelle des Datenschutzrechts. Steht er fest, gelten alle Pflichten der DSGVO. Fehlt er, weil die Information sich keiner identifizierbaren natürlichen Person zuordnen lässt, findet die DSGVO keine Anwendung. Die Prüfung beginnt deshalb immer bei der Frage, ob überhaupt personenbezogene Daten vorliegen.
2 Natürliche Person
2.1 Beschränkung auf natürliche Personen
Geschützt werden ausschließlich natürliche Personen. Hintergrund ist das Recht auf informationelle Selbstbestimmung, das das Bundesverfassungsgericht im Volkszählungsurteil entwickelt hat (BVerfG, Urt. v. 15.12.1983, 1 BvR 209/83 u.a., Volkszählung). Juristische Personen des privaten Rechts wie Aktiengesellschaft, GmbH, GmbH & Co. KG oder Genossenschaft sind von Art. 4 Nr. 1 DSGVO nicht ausdrücklich erfasst.
2.2 Abgrenzung zur juristischen Person
Nach der deutschen Rechtsprechung können sich juristische Personen des Privatrechts auf das Recht der informationellen Selbstbestimmung berufen, soweit ihren Trägern Schutz gegen die unbegrenzte Erhebung individualisierter Daten zusteht. Datenschutzrechtlich gilt jedoch: Werden in öffentlichen Registern Name, Unterschrift und Kontaktdaten einer natürlichen Person veröffentlicht, die eine juristische Person vertritt, sind das personenbezogene Daten dieser natürlichen Person. Dass die Offenlegung allein der Identifizierung dient, ändert daran nichts. Diese Sichtweise stützt sich auf Art. 8 GRCh (Schutz personenbezogener Daten), der eng mit Art. 7 GRCh (Achtung des Privatlebens) verbunden ist.
Daten juristischer Personen sind danach nur mittelbar erfasst, nämlich soweit ihr Name eine natürliche Person bestimmt. Maßgeblich ist stets die natürliche Person dahinter. Den Mitgliedstaaten bleibt es unbenommen, den Schutz über die DSGVO hinaus zu erstrecken; Italien, Österreich und Luxemburg haben den Schutz teils auf Daten juristischer Personen ausgedehnt. In Deutschland sind Betriebs- und Geschäftsgeheimnisse vom Sozialgeheimnis umfasst (§ 35 SGB I in Verbindung mit § 67 SGB X).
3 Lebende und verstorbene Personen, Funktionsträger
3.1 Lebende Personen
Jede lebende Person ist eine natürliche Person, unabhängig von Alter und Staatsangehörigkeit. Umstritten ist die Behandlung des Nasciturus, also vor der Geburt erhobener Daten wie Ultraschallaufnahmen oder Fruchtwasseranalysen. Eine Vorwirkung des Rechts auf informationelle Selbstbestimmung ist denkbar. Auch bei einem eingefrorenen Embryo geht es um schützenswerte genetische und medizinische Informationen.
3.2 Verstorbene Personen
Daten Verstorbener sind keine personenbezogenen Daten im Sinne der DSGVO (Erwägungsgrund 27 DSGVO). Dieselbe Information kann jedoch zugleich Daten einer lebenden Person sein, etwa wenn aus den Daten eines Verstorbenen auf Erbkrankheiten eines Nachkommen geschlossen werden kann; in diesem Umfang ist sie geschützt. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 GG) erlischt mit dem Tod, während die vermögenswerten Bestandteile fortbestehen. Die Mitgliedstaaten dürfen eigene Regeln für die Daten Verstorbener vorsehen (Erwägungsgrund 27 DSGVO). Im deutschen Recht bleiben die Daten Verstorbener vom Sozialgeheimnis erfasst (§ 35 Abs. 1 SGB I in Verbindung mit § 67 SGB X), das Steuerrecht enthält eine eigene Regelung (§ 2a Abs. 5 Nr. 1 AO). Auch das ärztliche Schweigegebot sowie das Statistik- und Steuergeheimnis wirken über den Tod hinaus.
3.3 Personen mit besonderer Stellung
Funktionsträger handeln in ihrer Funktion nicht als Grundrechtsträger. Hinter der Funktion steht aber stets eine natürliche Person mit Persönlichkeitsschutz, sodass ihre Daten personenbezogen sind und einen Doppelcharakter aufweisen. Die Verarbeitung ist teilweise in weiterem Umfang zulässig als bei rein privaten Daten. Beispiele sind das Namensschild von Polizeibeamten oder die Videoaufzeichnung von Polizeibeamten im Dienst, die die Anwendung der DSGVO nicht ausschließt. Auch die Evaluation von Lehrveranstaltungen betrifft personenbezogene, oft subjektive Daten über die Lehrenden. Bei Personen der Zeitgeschichte sind die schutzwürdigen Belange geringer (vgl. § 23 Abs. 1 Nr. 1 KUG). Für die journalistische Verarbeitung gilt das Medienprivileg (§ 41 BDSG, der auf die Pressegesetze der Länder verweist).
4 Identifizierbarkeit
4.1 Maßstab
Eine Person ist identifizierbar, wenn sie direkt oder indirekt bestimmt werden kann, insbesondere durch Zuordnung zu einer Kennung wie Name, Kennnummer, Standortdaten oder Online-Kennung oder zu einem oder mehreren Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind (Art. 4 Nr. 1 DSGVO). Ob jemand identifizierbar ist, beurteilt sich nach allen Mitteln, die der Verantwortliche oder eine andere Person nach allgemeinem Ermessen wahrscheinlich nutzt; zu berücksichtigen sind objektive Faktoren wie Kosten, Zeitaufwand und verfügbare Technologie (Erwägungsgrund 26 DSGVO). Die für die Identifizierung nötigen Informationen müssen nicht in einer Hand liegen. Erfasst sind objektive wie subjektive Informationen, sofern sie sich auf die Person beziehen.
Keine indirekte Identifizierbarkeit besteht, wenn die Identifizierung gesetzlich verboten oder praktisch nicht durchführbar ist, etwa weil sie einen unverhältnismäßigen Aufwand erfordern würde und das Risiko einer Identifizierung deshalb faktisch unbedeutend ist. Auf anonyme Informationen finden die Datenschutzgrundsätze keine Anwendung (Erwägungsgrund 26 DSGVO). Die DSGVO regelt die Anonymisierung nicht ausdrücklich; ausreichend ist, dass eine Re-Identifizierung praktisch nicht durchführbar ist. Das ist eine fortlaufende Prüfaufgabe: Solange Daten wieder zugeordnet werden können, bleiben sie personenbezogen (näher zur Pseudonymisierung).
Der folgende Entscheidungsbaum veranschaulicht, wann eine Information als personenbezogenes Datum einzuordnen ist und wann sie als anonym gilt.
4.2 Direkte vs. indirekte Identifizierbarkeit
Die folgende Tabelle zeigt anhand typischer Beispiele, wann eine direkte und wann eine indirekte Bestimmbarkeit vorliegt.
| Merkmal | Direkte Identifizierbarkeit | Indirekte Identifizierbarkeit |
|---|---|---|
| Erkennungsmerkmal | Unmittelbar personenbezogen, kein Zwischenschritt nötig | Erfordert Kombination mit weiteren Angaben oder Daten Dritter |
| Typische Beispiele | Name, Sozialversicherungsnummer, Steueridentifikationsnummer | IP-Adresse, Kfz-Kennzeichen, Cookie-Kennung, Berufsbezeichnung |
| Zusatzinformationen | Keine weiteren Informationen erforderlich | Zugang zu Registern, Datenbanken oder Zusatzwissen nötig |
| Rechtsprechungsbeispiel | Agrarsubventions-Empfänger mit Name und Wohnort | Dynamische IP-Adresse beim Dienstanbieter (EuGH C-582/14, Breyer) |
4.3 Direkte Identifizierbarkeit
Direkt bestimmbar ist eine Person zum Beispiel über ihren Namen. Auch die Sozialversicherungsnummer und die Steueridentifikationsnummer, die als faktische Personenkennziffer wirkt, ermöglichen die direkte Bestimmung. Bei Namensgleichheit kann die Bestimmung über Zusatzinformationen wie Geburtsdatum oder Anschrift erfolgen. Die Veröffentlichung der Empfänger von Agrarsubventionen mit Name, Wohnort, Postleitzahl und Betrag ist eine Form der direkten Bestimmbarkeit (BVerwG; im Anschluss an die Rechtsprechung des EuGH).
4.4 Indirekte Identifizierbarkeit
Indirekt bestimmbar ist eine Person über Angaben, die ein Wiedererkennen ermöglichen, ohne den Namen zu nennen, etwa über das Autokennzeichen, die Telefonnummer, die Pass- oder Ausweisnummer oder über die ausgeübte Tätigkeit. Ein Name ist für die Identifizierung nicht erforderlich.
IP-Adressen, auch dynamische, beziehen sich auf eine bestimmbare Person. Eine dynamische IP-Adresse, die ein Anbieter von Online-Mediendiensten speichert, ist für ihn ein personenbezogenes Datum, wenn er über rechtliche Mittel verfügt, die betroffene Person mithilfe der beim Zugangsanbieter vorhandenen Zusatzinformationen bestimmen zu lassen (EuGH, Urt. v. 19.10.2016, C-582/14, Breyer). Personenbezogen sind ferner Cookie-Kennungen und Funkfrequenzkennzeichnungen (Erwägungsgrund 30 DSGVO). Auch der sogenannte TC-String, der die Einwilligungspräferenzen der Nutzer in der Online-Werbung speichert, ist ein personenbezogenes Datum, weil er einer Kennung wie der IP-Adresse zugeordnet werden kann (EuGH, Urt. v. 07.03.2024, C-604/22, IAB Europe). Ein privater Schlüssel einer Blockchain ist personenbezogen, soweit er einer Person zugeordnet werden kann.
Der Begriff „alle Informationen" ist weit zu verstehen; die Information muss nach ihrem Inhalt, ihrem Zweck oder ihren Auswirkungen mit einer bestimmten Person verknüpft sein. Personenbeziehbar sind danach auch Graffiti-Tags, GPS-Daten zur Ortung von Firmenfahrzeugen, Kfz-Kennzeichen (halter- oder fahrerbeziehbar) sowie die im Fahrzeug gespeicherten Daten (Fahrzeug-Identifizierungsnummer, Positions-, Zeit-, Geschwindigkeits- und Bremsdaten). Auch eine Person aufzeichnende Bild- und Tonaufnahmen sind erfasst: Das Kamerabild einer Person ist ein personenbezogenes Datum, wenn sie identifiziert werden kann; Gleiches gilt für die aufgezeichnete Stimme und für mit Fotos verbundene GPS-Daten.
Die in einer berufsbezogenen Prüfung gegebenen schriftlichen Antworten eines Prüflings und die Anmerkungen des Prüfers dazu sind personenbezogene Daten des Prüflings (EuGH, Urt. v. 20.12.2017, C-434/16, Nowak). Ein Gedächtnisprotokoll über eine mündliche Prüfung enthält, soweit es Angaben über den Prüfer macht, dessen personenbezogene Daten. Personenbezogen ist auch eine einer Person zugeschriebene Information, selbst wenn sie unzutreffend ist, etwa die Zuordnung zu einer Marketinggruppe. Die Anrede, die der Geschlechtsidentität einer Person entspricht, kann ein personenbezogenes Datum sein (EuGH, Urt. v. 09.01.2025, C-394/23, Mousse). Schließlich sind das Schreiben oder Antwortschreiben einer betroffenen Person und die interne Kommunikation eines Verantwortlichen über sie personenbezogene Daten, die dem Auskunftsanspruch unterliegen können (BGH).
5 Sachdaten
Sachdaten beziehen sich zunächst auf eine Sache und nicht auf eine Person, etwa die Höchstgeschwindigkeit eines Fahrzeugs. Sie werden zu personenbezogenen Daten, wenn sie zugleich rechtliche, wirtschaftliche oder soziale Positionen einer Person betreffen oder deren individuelle Verhältnisse beschreiben. So ist ein Beweissicherungsgutachten über ein Objekt ein personenbezogenes Datum, weil es die Position des Eigentümers betrifft. Auch Geodaten und Grundstücksdaten wie Flurstück, Hausnummer oder Bodenrichtwerte sind personenbeziehbar, sobald der Detaillierungsgrad so hoch ist, dass sich die Adresse einer Person ermitteln lässt; in grobem Maßstab fehlt der Personenbezug. Baugenehmigungsakten enthalten mit den Angaben zur Bauherrschaft personenbezogene Daten.
Eindrücklich zeigt sich der Übergang von der Sach- zur Personenbezogenheit bei der Fahrzeug-Identifizierungsnummer: Für sich genommen ist sie ein Sachdatum. Über die Zulassungsbescheinigung lässt sie sich mit den Halterdaten verknüpfen und wird dann zum personenbezogenen Datum, sofern der Zugang zu diesen Daten ein Mittel zur Identifizierung eröffnet (EuGH, Urt. v. 09.11.2023, C-319/22, Gesamtverband Autoteile-Handel / Scania). Dieselbe Logik trägt das Geoscoring, bei dem aus Standortinformationen Rückschlüsse auf die wirtschaftliche Lage einer Person gezogen werden.
6 Synthetische Daten
Synthetische Daten sind künstlich erzeugte, realistische Datensätze, die im Kontext künstlicher Intelligenz zur Erzeugung und Validierung von Modellen sowie als Mittel der Anonymisierung dienen. Ihre Einordnung folgt dem allgemeinen Maßstab des Erwägungsgrundes 26 DSGVO: Lassen sie sich nicht auf eine reale Person zurückführen, sind sie nicht-personenbezogen. Ist dagegen eine Rückrechnung auf die zugrunde liegenden realen Personen möglich, bleiben sie personenbeziehbar und damit personenbezogene Daten.
7 Betroffene Person
Betroffene Person ist die natürliche Person, um deren Daten es geht (Art. 4 Nr. 1 DSGVO). Sie ist vor Beeinträchtigungen ihres Persönlichkeitsrechts durch den Umgang mit ihren Daten zu schützen. Abzugrenzen ist sie vom Verantwortlichen und vom Dritten: Wer über die Verarbeitung entscheidet oder außerhalb der Verarbeitung steht, ist nicht betroffene Person. Die betroffene Person erteilt gegebenenfalls die Einwilligung und kann ihre Betroffenenrechte aus Art. 15 bis 18 DSGVO geltend machen. Zu ihren Daten können zugleich Daten weiterer betroffener Personen gehören. Hinsichtlich der Steuerdaten des Schuldners ist der Insolvenzverwalter nicht betroffene Person (BVerwG).
8 Abgrenzung zu anonymen Daten
Der Personenbezug ist relativ und aus der Perspektive desjenigen zu beurteilen, der die Daten verarbeitet. Die folgende Tabelle fasst die drei Kategorien gegenüber.
| Kategorie | Personenbezug | Beispiel | DSGVO anwendbar? |
|---|---|---|---|
| Personenbezogen | Eindeutig vorhanden; Person identifiziert oder identifizierbar | Name, E-Mail-Adresse, IP-Adresse beim Verantwortlichen mit Zusatzwissen | Ja, vollumfänglich |
| Pseudonymisiert | Beim Verantwortlichen mit Zusatzinformationen personenbezogen; beim Empfänger ohne Schlüssel anonym | Gehashte E-Mail-Adresse, Nummer statt Name in Studiendaten | Ja, solange der Verantwortliche zuordnen kann |
| Anonym | Re-Identifizierung praktisch ausgeschlossen | Aggregierte Statistiken ohne Einzelfallbezug, irreversibel entrauschte Daten | Nein |
Daten bleiben personenbezogen, solange der Verantwortliche sie re-identifizieren kann; das gilt insbesondere für pseudonymisierte Daten, bei denen der Verantwortliche über die Zusatzinformationen verfügt. Werden pseudonymisierte Daten an einen Dritten weitergegeben, der sie niemandem zuordnen kann, sind sie bei ihm anonym, sodass die DSGVO insoweit nicht anwendbar ist; entscheidend ist, ob eine Re-Identifizierung beim Empfänger ausgeschlossen ist (EuGH, Urt. v. 04.09.2025, C-413/23 P, EDSB / SRB). Die Beurteilung erfolgt im Einzelfall: Verfügt der Empfänger über eine rechtliche oder sonstige Möglichkeit der Zuordnung, bleibt der Personenbezug bestehen. Umgekehrt können nicht-personenbezogene Daten zu personenbezogenen werden, wenn der Verantwortliche sie einer Person überlässt, die über Mittel verfügt, mit denen die Betroffenen wahrscheinlich identifiziert werden können.
Pseudonymisierte Daten sind kein Freibrief. Beim Verantwortlichen mit Zugriff auf die Zusatzinformationen bleiben sie personenbezogen, und die Pflichten der DSGVO gelten in vollem Umfang. Anonym werden sie nur in der Hand desjenigen, der eine Re-Identifizierung tatsächlich nicht durchführen kann. Die Einordnung ist deshalb für jede beteiligte Stelle gesondert zu prüfen.
Pseudonymisierung
Art. 4 Nr. 5 DSGVO: Abgrenzung von Pseudonymisierung und Anonymisierung.
Sensible Datenkategorien
Art. 9, 10 DSGVO: besondere Kategorien personenbezogener Daten.
Breyer
EuGH C-582/14: dynamische IP-Adressen als personenbezogene Daten.
Nowak
EuGH C-434/16: Prüfungsantworten und Prüferanmerkungen.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Begriffe und Definitionen
Zentrale Legaldefinitionen des Art. 4 DSGVO im Einzelnen: personenbezogene Daten, Verarbeitung, Pseudonymisierung, Verantwortlicher, Auftragsverarbeiter und weitere Begriffsbestimmungen mit Auslegung und Abgrenzung.
Verarbeitung (Art. 4 Nr. 2 DSGVO)
Der Verarbeitungsbegriff der DSGVO: jeder Umgang mit personenbezogenen Daten, automatisiert oder manuell, vom Erheben über Speichern und Offenlegen bis zur Löschung.