Personenbezogene Daten — Definition, Beispiele und DSGVO-Anforderungen
Veröffentlicht: 16. März 2026
Inhaltsverzeichnis
Was sind personenbezogene Daten?
Der Begriff “personenbezogene Daten” ist einer der zentralen Begriffe der DSGVO — und gleichzeitig einer der am häufigsten missverstandenen. Wer eine Website betreibt, verarbeitet in der Regel personenbezogene Daten, oft ohne sich dessen bewusst zu sein. Dieser Artikel erklärt, was darunter fällt, welche besonderen Kategorien es gibt und was das für den Alltag von Website-Betreibern bedeutet.
Die DSGVO-Definition
Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als:
“alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”
Eine Person ist identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann — insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen.
Entscheidend ist: Es muss kein Name bekannt sein. Es genügt, dass eine Identifizierung möglich ist — auch wenn sie aufwändig wäre.
Beispiele personenbezogener Daten
Direkt identifizierende Daten
Diese Daten identifizieren eine Person unmittelbar:
- Name: Vor- und Nachname
- Anschrift: Straße, Hausnummer, PLZ, Ort
- E-Mail-Adresse: Insbesondere personalisierte Adressen ([email protected])
- Telefonnummer: Festnetz und Mobilnummer
- Personalausweisnummer, Steuer-ID, Sozialversicherungsnummer
- Fotos und Videos: Wenn eine Person erkennbar ist
Indirekt identifizierende Daten
Diese Daten identifizieren eine Person nicht unmittelbar, ermöglichen aber in Kombination mit anderen Informationen eine Identifizierung:
- IP-Adressen: Nach EuGH-Urteil C-582/14 (Breyer) können auch dynamische IP-Adressen personenbezogene Daten sein
- Cookie-IDs und Geräte-Fingerprints: Ermöglichen die Wiedererkennung eines Nutzers über Sitzungen hinweg
- Standortdaten: GPS-Koordinaten, WLAN-basierte Standortermittlung
- Online-Kennungen: Nutzer-IDs, Tracking-IDs, Werbe-IDs
- Kaufhistorie: In Kombination mit anderen Daten kann ein Einkaufsverhalten einer Person zugeordnet werden
- Nutzungsverhalten: Klickpfade, Verweildauer, besuchte Seiten
Pseudonymisierte Daten
Pseudonymisierte Daten sind weiterhin personenbezogene Daten im Sinne der DSGVO. Bei der Pseudonymisierung wird der direkte Personenbezug entfernt und durch ein Pseudonym ersetzt (z. B. eine Kundennummer). Da die Zuordnung über eine Zuordnungstabelle wiederhergestellt werden kann, bleiben die Daten personenbezogen.
Erst anonymisierte Daten — bei denen ein Personenbezug nicht mehr herstellbar ist — fallen nicht mehr unter die DSGVO.
Besondere Kategorien nach Art. 9 DSGVO
Art. 9 DSGVO definiert besondere Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich untersagt ist. Ausnahmen gelten nur in eng definierten Fällen (Art. 9 Abs. 2).
Welche Daten fallen darunter?
- Gesundheitsdaten: Krankheitsdiagnosen, Medikation, Arztbesuche, Behinderungen
- Biometrische Daten: Fingerabdrücke, Gesichtserkennung, Iris-Scans (zur eindeutigen Identifizierung)
- Genetische Daten: DNA-Analysen, genetische Prädispositionen
- Daten zur ethnischen Herkunft: Nationalität, ethnische Zugehörigkeit
- Politische Meinungen: Parteimitgliedschaft, politische Überzeugungen
- Religiöse oder weltanschauliche Überzeugungen: Konfession, Kirchenmitgliedschaft
- Gewerkschaftszugehörigkeit
- Daten zum Sexualleben oder zur sexuellen Orientierung
Relevanz für Website-Betreiber
Besondere Kategorien können auch auf Websites auftreten — etwa:
- Arztpraxen und Pflegedienste: Kontaktformulare, in denen Patienten Symptome oder Diagnosen angeben
- Rechtsanwaltskanzleien: Mandantendaten mit strafrechtlichem oder familienrechtlichem Bezug
- Online-Shops für medizinische Produkte: Bestelldaten, die Rückschlüsse auf Gesundheitszustände ermöglichen
- Vereine und Verbände: Mitgliederdaten mit Angaben zu Religion oder Gewerkschaft
Wer auf seiner Website besondere Kategorien verarbeitet, sollte die zusätzlichen Anforderungen von Art. 9 DSGVO und die entsprechenden technischen Schutzmaßnahmen beachten. Für Arztpraxen und Pflegedienste gelten besonders strenge Anforderungen.
Grundsätze der Datenverarbeitung nach DSGVO
Art. 5 DSGVO legt die Grundsätze fest, nach denen personenbezogene Daten verarbeitet werden dürfen:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten dürfen nur auf rechtmäßiger Grundlage verarbeitet werden. Die betroffene Person muss über die Verarbeitung informiert werden. Welche Rechtsgrundlagen in Betracht kommen, regelt Art. 6 DSGVO.
Zweckbindung
Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Verarbeitung für andere Zwecke ist grundsätzlich nicht zulässig — es sei denn, sie ist mit dem ursprünglichen Zweck vereinbar.
Datenminimierung
Es dürfen nur so viele personenbezogene Daten erhoben werden, wie für den jeweiligen Zweck erforderlich sind. Ein Kontaktformular, das neben Name und E-Mail auch Geburtsdatum, Familienstand und Einkommen abfragt, entspricht in der Regel nicht dem Grundsatz der Datenminimierung.
Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen.
Speicherbegrenzung
Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist. Danach sind sie zu löschen oder zu anonymisieren. Ein Löschkonzept ist empfehlenswert.
Integrität und Vertraulichkeit
Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt werden — etwa durch Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.
Personenbezogene Daten auf Websites
Was verarbeitet eine typische Website?
Fast jede Website verarbeitet personenbezogene Daten — oft mehr, als auf den ersten Blick erkennbar:
| Datenquelle | Beispiel personenbezogener Daten |
|---|---|
| Server-Logs | IP-Adresse, Zeitstempel, aufgerufene Seiten |
| Kontaktformulare | Name, E-Mail, Telefonnummer, Nachrichteninhalt |
| Newsletter-Anmeldung | E-Mail-Adresse, ggf. Name und Interessengebiete |
| Nutzerkonten | Benutzername, Passwort (gehasht), Profilinformationen |
| Online-Shop | Bestell-, Liefer- und Zahlungsdaten |
| Cookies und Tracking | Cookie-IDs, Geräte-Fingerprints, Nutzungsverhalten |
| Analyse-Tools | IP-Adresse, Standort, Verweildauer, Herkunft |
| Kommentarfunktion | Name, E-Mail, IP-Adresse, Kommentarinhalt |
| Eingebettete Inhalte | YouTube-Videos, Google Maps, Social-Media-Widgets (laden Drittanbieter-Cookies) |
Pflichten für Website-Betreiber
Wer personenbezogene Daten auf seiner Website verarbeitet, sollte insbesondere folgende Pflichten beachten:
- Datenschutzerklärung: Umfassende Information über Art, Umfang und Zweck der Datenverarbeitung gemäß Art. 13 DSGVO
- Rechtsgrundlage: Für jede Verarbeitung eine Rechtsgrundlage nach Art. 6 DSGVO bestimmen
- Cookie Banner: Einwilligung für nicht technisch notwendige Cookies einholen (§ 25 TDDDG)
- Impressum: Anbieterkennzeichnung gemäß § 5 DDG
- SSL-Verschlüsselung: Transportverschlüsselung für die Übertragung personenbezogener Daten (SSL-Zertifikat)
- Auftragsverarbeitungsverträge: AVV mit Hosting-Anbieter, Analyse-Diensten und anderen Auftragsverarbeitern
- Verzeichnis der Verarbeitungstätigkeiten: Dokumentation aller Verarbeitungen gemäß Art. 30 DSGVO
Google Fonts und IP-Adressen
Ein Praxisbeispiel: Wer Google Fonts extern einbindet, übermittelt die IP-Adresse des Website-Besuchers an Google-Server in den USA — ohne Einwilligung. Das LG München hat in seinem Urteil vom 20.01.2022 (Az. 3 O 17493/20) entschieden, dass dies einen Verstoß gegen die DSGVO darstellen kann, und dem Kläger Schadensersatz zugesprochen. Die Lösung: Google Fonts lokal einbinden.
Personenbezogene Daten vs. anonyme Daten
Wann sind Daten anonym?
Anonyme Daten fallen nicht unter die DSGVO. Daten gelten als anonym, wenn ein Personenbezug mit vertretbarem Aufwand nicht mehr hergestellt werden kann. In der Praxis ist die Grenze zwischen pseudonymen und anonymen Daten oft fließend.
Beispiele:
- Aggregierte Statistiken (“42 % der Besucher kamen über Google”) — in der Regel anonym
- Einzelne Datensätze mit entferntem Personenbezug — möglicherweise noch pseudonym, wenn eine Re-Identifizierung denkbar ist
- Vollständig anonymisierte Umfrageergebnisse — anonym, wenn keine Rückschlüsse auf Einzelpersonen möglich sind
Cookielose Analyse als Praxisbeispiel
Analyse-Tools wie Plausible oder Matomo (in cookieloser Konfiguration) verarbeiten in der Regel keine personenbezogenen Daten im herkömmlichen Sinne: keine Cookies, keine IP-Speicherung, keine geräteübergreifende Wiedererkennung. Für Website-Betreiber, die den Umfang personenbezogener Datenverarbeitung minimieren möchten, können solche Tools eine Alternative zu Google Analytics darstellen.
Checkliste: Personenbezogene Daten auf Ihrer Website
- Dokumentieren, welche personenbezogenen Daten auf der Website verarbeitet werden
- Für jede Verarbeitung eine Rechtsgrundlage nach Art. 6 DSGVO bestimmen
- Datenschutzerklärung vollständig und aktuell halten
- Prüfen, ob besondere Kategorien (Art. 9) verarbeitet werden
- Cookie Banner für nicht technisch notwendige Cookies einrichten
- Google Fonts und andere externe Ressourcen lokal einbinden
- SSL-Verschlüsselung für die gesamte Website aktivieren
- Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen
- Löschkonzept erstellen: Wann werden welche Daten gelöscht?
- Regelmäßige Überprüfung: Welche Daten werden tatsächlich verarbeitet?
Häufige Fragen
Ist eine IP-Adresse ein personenbezogenes Datum?
Nach Auffassung des EuGH (Urteil vom 19.10.2016, Az. C-582/14 — Breyer) kann eine dynamische IP-Adresse ein personenbezogenes Datum sein, wenn der Website-Betreiber über rechtliche Mittel verfügt, die betroffene Person zu identifizieren — etwa über den Internetzugangsanbieter. In der Praxis behandeln die meisten deutschen Aufsichtsbehörden IP-Adressen daher als personenbezogene Daten. Empfehlenswert ist, IP-Adressen in Server-Logs zu anonymisieren oder die Speicherdauer zu minimieren.
Sind Unternehmensdaten personenbezogene Daten?
Daten, die sich ausschließlich auf ein Unternehmen beziehen — etwa Firmenname, Handelsregisternummer oder Umsatzzahlen — sind in der Regel keine personenbezogenen Daten im Sinne der DSGVO. Sobald jedoch ein Bezug zu einer natürlichen Person herstellbar ist, ändert sich die Bewertung. Beim Einzelunternehmer, dessen Firmenname den Personennamen enthält, können auch Unternehmensdaten als personenbezogene Daten eingestuft werden.
Was sind besondere Kategorien personenbezogener Daten?
Art. 9 DSGVO definiert besondere Kategorien: Gesundheitsdaten, biometrische Daten, genetische Daten, Daten zur ethnischen Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit und Daten zum Sexualleben. Die Verarbeitung dieser Daten ist grundsätzlich untersagt — mit eng definierten Ausnahmen wie einer ausdrücklichen Einwilligung oder wenn die Verarbeitung zum Schutz lebenswichtiger Interessen erforderlich ist.
Welche personenbezogenen Daten verarbeitet eine typische Website?
Eine typische Website verarbeitet: IP-Adressen (Server-Logs), Kontaktformular-Daten (Name, E-Mail), Cookie-Daten und Tracking-Informationen, Newsletter-Anmeldungen sowie bei Online-Shops Bestell- und Zahlungsdaten. Auch eingebettete Inhalte wie YouTube-Videos oder Google Maps übertragen personenbezogene Daten an Drittanbieter. Eine vollständige DSGVO-Checkliste hilft, alle relevanten Punkte zu erfassen.
Häufige Fragen
Ist eine IP-Adresse ein personenbezogenes Datum?
Sind Unternehmensdaten personenbezogene Daten?
Was sind besondere Kategorien personenbezogener Daten?
Welche personenbezogenen Daten verarbeitet eine typische Website?
IT-Berater für Website-Compliance
Über 14 Jahre Erfahrung in IT und Webentwicklung. Entwickler von Web-Prüfer — dem Compliance-Scanner für deutsche Websites.