In diesem Beitrag erfahren Sie, was unter personenbezogene Daten fällt, wie sich verschiedene Datenarten abgrenzen lassen und worauf Sie bei Verarbeitung, Schutz und Löschung achten sollten. So bekommen Sie ein Bild davon, wie Sie Datenschutz alltagstauglich und strukturiert in Ihrem Unternehmen umsetzen.
Der Begriff „personenbezogene Daten“ ist weiter gefasst, als viele annehmen. Er umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Damit geht Datenschutz über klassische Stammdaten hinaus und schließt auch digitale Kennungen und technische Identifikatoren ein.
Art. 4 Abs. 1 DSGVO beschreibt personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Maßgeblich ist also nicht nur, ob eine Person namentlich genannt wird. Es genügt bereits, wenn sie direkt oder indirekt bestimmbar ist.
Damit verschiebt sich die Frage von „Steht hier ein Name?“ hin zu „Lässt sich aus diesen Angaben eine Person herauslesen?“. Im Alltag passiert genau das häufig durch die Kombination mehrerer Datenpunkte. Eine IP-Adresse, ein Zeitstempel und ein Benutzerkonto ergeben zusammen oft ein klares Profil.
Typische Identifikatoren sind zum Beispiel:
Name
Kennnummer
Standortdaten
Online-Kennungen wie IP-Adressen
Merkmale, die die physische, wirtschaftliche oder soziale Identität betreffen
Nicht jede Information fällt automatisch unter die DSGVO. Die Abgrenzung hängt davon ab, ob sich eine Person mit vertretbarem Aufwand identifizieren lässt. Genau an dieser Stelle trennt sich echte Anonymisierung von bloßer Risikoreduzierung.
Anonyme Daten lassen keinen Rückschluss auf eine Person zu. Selbst wenn zusätzliche Informationen vorliegen, bleibt die Identität unbestimmbar. Solche Daten unterliegen nicht der DSGVO. Für Unternehmen kann das gerade bei statistischen Auswertungen oder aggregierten Reports sehr relevant sein.
Anders sieht es bei pseudonymisierten Daten aus. Hier werden identifizierende Merkmale ersetzt oder getrennt gespeichert, etwa durch Codes, Hashes oder interne IDs. Das senkt das Risiko, beseitigt den Personenbezug aber nicht vollständig. Sobald ein Rückbezug möglich bleibt, gelten die Daten weiterhin als personenbezogen.
In der Praxis liegt hier eine häufige Fehlerquelle. Unternehmen behandeln pseudonymisierte Daten mitunter wie anonyme Daten und lockern Schutzmaßnahmen zu früh. Wer diesen Unterschied sauber berücksichtigt, vermeidet später unnötige Korrekturen in Prozessen, Verträgen und technischen Setups.
Personenbezogene Daten lassen sich im Unternehmensalltag in verschiedene Kategorien einteilen. Entscheidend ist dabei, ob Daten eine Person direkt identifizieren, erst im Zusammenspiel einen Bezug herstellen oder besonders sensible Informationen enthalten, die strengeren Anforderungen unterliegen.
Direkt personenbezogene Daten ermöglichen eine unmittelbare Zuordnung zu einer Person. Dazu gehören die klassischen Angaben, die in Verträgen, Formularen oder Stammdatensätzen auftauchen und ohne weitere Zwischenschritte auf einen Menschen verweisen.
Typische Beispiele sind Name, Adresse, Telefonnummer, E-Mail-Adresse oder eine Ausweisnummer. Auch Personalnummern oder eindeutige Kundennummern können direkt personenbezogen sein, wenn das Unternehmen die Zuordnung jederzeit vornehmen kann.
Gerade weil diese Daten so offensichtlich sind, geraten sie im Alltag manchmal in einen trügerisch vertrauten Bereich. Doch genau hier entstehen viele operative Risiken. Eine falsch adressierte E-Mail, ein versehentlich offengelegtes Dokument oder ein zu weit gefasster Systemzugriff reichen aus, um eine Datenschutzverletzung auszulösen.
Etwas komplexer wird es bei indirekt personenbezogenen Daten. Sie nennen die betroffene Person häufig nicht unmittelbar, lassen aber in Verbindung mit weiteren Informationen eine Identifizierung zu. Im digitalen Umfeld ist das eher die Regel als die Ausnahme.
Dazu zählen unter anderem:
Cookie-IDs
Standortdaten
Fahrzeugkennzeichen
interne Referenznummern mit Personenbezug
Ein gutes Beispiel liefert das Online-Tracking. Eine Cookie-ID wirkt zunächst wie eine technische Zeichenfolge. Wird sie aber mit einem Nutzerkonto, dem Surfverhalten oder einer Conversion verknüpft, entsteht ein individuelles Profil. Ähnlich sieht es in der IT aus: Logfiles dokumentieren Zugriffe, Geräte, Zeitpunkte und Aktionen. In Summe lassen sich daraus oft Nutzeraktivitäten nachvollziehen.
Genau deshalb sollten Sie bei indirekten Daten nicht nur auf das einzelne Datum schauen. Relevanter ist die Frage, welche Systeme zusammenwirken und welche Auswertung tatsächlich möglich ist.
Neben allgemeinen personenbezogenen Daten nennt die DSGVO besondere Kategorien, für deren Verarbeitung strengere Anforderungen gelten. Der Grund liegt auf der Hand: Diese Daten betreffen besonders sensible Bereiche der Persönlichkeit und bergen ein höheres Risiko.
Dazu gehören beispielsweise:
Gesundheitsdaten
biometrische und genetische Daten
Angaben zur ethnischen Herkunft
politische Meinungen
religiöse Überzeugungen
Informationen zum Sexualleben und zur sexuellen Orientierung
In der Praxis tauchen solche Daten häufiger auf, als es auf den ersten Blick scheint. Bewerbungsunterlagen können Hinweise auf eine Schwerbehinderung enthalten. Zeiterfassungssysteme mit biometrischer Authentifizierung verarbeiten sensible Merkmale. Auch betriebliche Gesundheitsangebote oder Krankmeldungsprozesse berühren diesen Bereich. Wer solche Daten verarbeitet, sollte sehr genau prüfen, auf welcher Grundlage das geschieht und wie sich der Zugriff beschränken lässt.
Datenschutz wird oft dann besonders verständlich, wenn man ihn entlang realer Geschäftsprozesse betrachtet. Dort wird sichtbar, dass personenbezogene Daten nicht an einer Stelle konzentriert sind, sondern quer durch Abteilungen und Systeme laufen.
Ein paar typische Beispiele:
Marketing: Newsletter-Anmeldungen, Formularfelder, Tracking-Daten und Kampagnenauswertungen verbinden Kontaktdaten mit Interessen und Nutzungsverhalten
HR: Bewerbungen, Arbeitsverträge, Leistungsbeurteilungen und Abwesenheitsdaten enthalten eine hohe Dichte an personenbezogenen Informationen
IT: Logfiles, Berechtigungen, Zugriffshistorien und Support-Tickets dokumentieren technische Abläufe mit Personenbezug
Vertrieb: CRM-Daten, Gesprächsnotizen, Kaufhistorien und Ansprechpartnerdaten prägen die Kundenbeziehung
In vielen Unternehmen entstehen Unsicherheiten, weil Datenverarbeitung aus geschäftlicher Sicht sinnvoll erscheint, datenschutzrechtlich aber genauer begründet werden muss. Eine strukturierte Prüfung schafft hier Klarheit und reduziert spätere Nacharbeiten.
Art. 6 DSGVO nennt mehrere Rechtsgrundlagen, auf die Unternehmen eine Verarbeitung stützen können. Welche davon passt, hängt vom jeweiligen Zweck und vom Verhältnis zur betroffenen Person ab.
Zu den wichtigsten Grundlagen zählen:
Einwilligung
Vertragserfüllung
rechtliche Verpflichtung
Schutz lebenswichtiger Interessen
Wahrnehmung öffentlicher Aufgaben
berechtigtes Interesse
In der Unternehmenspraxis sind vor allem Einwilligung, Vertragserfüllung und berechtigtes Interesse relevant. Genau hier passieren jedoch auch viele Zuordnungsfehler. Einwilligungen werden eingeholt, obwohl eine vertragliche Grundlage ausreichen würde. Umgekehrt berufen sich Unternehmen auf berechtigte Interessen, ohne die Interessen der betroffenen Person angemessen abzuwägen.
Ein klarer Blick auf Zweck und Datenfluss hilft weiter. Wenn Sie verstehen, warum eine Verarbeitung stattfindet und wie sie in den Geschäftsprozess eingebettet ist, lässt sich die passende Grundlage meist gut bestimmen.
Ein Newsletter-Versand stützt sich in der Regel auf eine dokumentierte Einwilligung. Wer den Newsletter abonniert, soll wissen, wozu die Daten genutzt werden und wie sich die Einwilligung widerrufen lässt.
Anders sieht es bei laufenden Kundenbeziehungen aus. Wenn ein Unternehmen Daten verarbeitet, um einen Vertrag zu erfüllen, etwa für Lieferung, Rechnungsstellung oder Support, braucht es dafür meist keine gesonderte Einwilligung. Die Verarbeitung ist Teil der Leistungserbringung.
Im Recruiting gilt ein ähnlicher Grundsatz. Bewerberdaten dürfen verarbeitet werden, soweit dies für die Durchführung des Auswahlverfahrens erforderlich ist. Auch hier zeigt sich, wie stark Datenschutz an den konkreten Zweck gekoppelt ist. Sobald sich der Zweck ändert, verändert sich häufig auch die rechtliche Bewertung.
Unternehmen müssen nach der DSGVO nicht nur korrekt handeln, sondern ihre Entscheidungen auch belegen können. Damit wird Dokumentation zu einem festen Bestandteil der Compliance.
Das betrifft unter anderem:
die benannte Rechtsgrundlage
den Zweck der Verarbeitung
Speicherfristen
beteiligte Systeme und Dienstleister
getroffene Schutzmaßnahmen
Fehlende Dokumentation führt in der Praxis oft zu unnötiger Unsicherheit. Prozesse laufen zwar, aber niemand kann sauber erklären, warum sie so ausgestaltet sind. Genau das wird bei Audits, internen Prüfungen oder Nachfragen von Aufsichtsbehörden schnell zum Problem. Wer früh dokumentiert, spart später Abstimmungsaufwand und schafft Transparenz über Abteilungsgrenzen hinweg.
Der Schutz personenbezogener Daten ist ein zentraler Bestandteil der DSGVO und geht über die reine Rechtmäßigkeit der Verarbeitung hinaus. Welche Maßnahmen erforderlich sind, richtet sich nach dem Risiko der jeweiligen Verarbeitung und ist eng mit der IT-Sicherheit verknüpft.
Die DSGVO schreibt kein starres Maßnahmenpaket vor, sondern verlangt ein angemessenes Schutzniveau. Das gibt Unternehmen Spielraum, erhöht aber zugleich die Verantwortung für eine nachvollziehbare Risikobewertung.
Typische technische und organisatorische Maßnahmen, oft kurz TOMs genannt, sind zum Beispiel:
Zugriffsbeschränkungen und Rollenmodelle
Verschlüsselung bei Übertragung und Speicherung
Pseudonymisierung
Protokollierung von Zugriffen
Richtlinien für den Umgang mit Daten
Hinter den konkreten Maßnahmen stehen mehrere Grundprinzipien, die als Leitplanken für den Umgang mit Daten dienen: Integrität, Vertraulichkeit und Transparenz.
Integrität: Daten bleiben korrekt und unverändert und sind vor unbeabsichtigter oder unbefugter Veränderung geschützt
Vertraulichkeit: Nur berechtigte Personen erhalten Zugriff auf personenbezogene Daten
Transparenz: Betroffene Personen können nachvollziehen, wie und zu welchem Zweck ihre Daten verarbeitet werden
Diese Grundprinzipien geben Orientierung im Umgang mit Daten und helfen, Schutzmaßnahmen im Alltag konsistent umzusetzen.
Datenschutz ohne IT-Sicherheit bleibt lückenhaft. Wer Daten verarbeiten will, muss Systeme, Zugänge und Schnittstellen im Blick haben. Ein Sicherheitsvorfall betrifft deshalb häufig auch den Datenschutz, selbst wenn sein Ursprung technisch ist.
Das zeigt sich etwa bei Phishing-Angriffen, falsch konfigurierten Berechtigungen oder ungeschützten Cloud-Speichern. Solche Vorfälle haben schnell unmittelbare Auswirkungen auf die Vertraulichkeit personenbezogener Daten. Umgekehrt verbessert ein solides Sicherheitsniveau auch die Datenschutzorganisation, weil Risiken früher erkannt und besser kontrolliert werden können.
Viele Unternehmen verbinden Datenschutz daher mit etablierten Sicherheitsstandards wie ISO 27001. So lassen sich Verantwortlichkeiten, Maßnahmen und Nachweise enger zusammenführen. DataGuard unterstützt Unternehmen dabei, diese Strukturen zentral in einer Plattform zu steuern und Compliance-Prozesse besser mit Sicherheitsanforderungen zu verzahnen.
Ein Verstoß gegen den Schutz personenbezogener Daten liegt vor, wenn Daten nicht wie vorgesehen geschützt oder verarbeitet werden. Solche Situationen entstehen im Alltag schneller, als man denkt, etwa durch kleine Unachtsamkeiten oder unklare Prozesse.
Ein Klassiker ist die E-Mail an den falschen Empfänger. Ebenso problematisch sind Dateien, die versehentlich im falschen Ordner landen, oder Dokumente, auf die mehr Personen Zugriff haben als nötig. Im Marketing treten Verstöße oft dort auf, wo Einwilligungen unklar sind oder Kontaktlisten ohne saubere Grundlage weiterverwendet werden.
Häufige Beispiele sind:
Versand sensibler Informationen an die falsche Person
fehlende oder lückenhaft dokumentierte Einwilligungen
Offenlegung besonderer Kategorien personenbezogener Daten ohne tragfähige Grundlage
unzureichende Zugriffskontrollen in Systemen
unklare Löschprozesse mit unnötig langen Speicherzeiten
Auffällig ist, dass viele dieser Vorfälle keine hochkomplexen Ursachen haben. Oft fehlen klare Prozesse, Verantwortlichkeiten oder einfache Kontrollschritte.
Die DSGVO sieht vor, dass Verletzungen des Schutzes personenbezogener Daten in bestimmten Fällen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden müssen. Besteht ein hohes Risiko für die betroffenen Personen, kann zusätzlich eine Benachrichtigung erforderlich sein.
Darüber hinaus drohen Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Für viele Unternehmen wiegt jedoch ein anderer Faktor mindestens ebenso schwer: verlorenes Vertrauen. Datenschutzverstöße treffen oft direkt die Beziehung zu Kunden, Bewerbern oder Geschäftspartnern.
Daten zu erheben ist oft einfach. Schwieriger wird es bei der Frage, wann sie wieder verschwinden müssen. Genau hier kommt das Prinzip der Speicherbegrenzung ins Spiel, das in vielen Organisationen mehr Aufmerksamkeit verdient. Überlange Speicherfristen erhöhen nicht nur das Risiko, sondern erschweren auch Auskunftsprozesse und machen Systeme unübersichtlicher.
Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Das klingt klar, verlangt in der Umsetzung jedoch eine differenzierte Betrachtung.
Maßgeblich sind unter anderem:
der ursprüngliche Zweck der Verarbeitung
gesetzliche Aufbewahrungspflichten
vertragliche Anforderungen
berechtigte Nachweisinteressen
Sobald der Zweck entfällt und keine andere tragfähige Grundlage für die weitere Speicherung vorliegt, sollten die Daten gelöscht oder anonymisiert werden. Für Unternehmen bedeutet das: Speicherfristen brauchen Bezug zum konkreten Prozess und dürfen nicht pauschal festgelegt werden.
Im Recruiting werden Bewerbungsunterlagen in der Regel nach Abschluss des Auswahlverfahrens nur so lange aufbewahrt, wie dies rechtlich erforderlich oder mit Einwilligung der betroffenen Person gedeckt ist
Im Vertrieb können Kundendaten nach Vertragsende noch für steuer- oder handelsrechtliche Aufbewahrungspflichten relevant sein
Bei Newsletter-Abonnements endet die Speicherung typischerweise mit dem Widerruf der Einwilligung, sofern keine anderen Gründe dagegensprechen
Diese Beispiele zeigen, dass es keine universelle Frist für alle Datentypen gibt. Was zählt, ist eine nachvollziehbare Verbindung zwischen Zweck, Rechtsgrundlage und tatsächlicher Aufbewahrung.
Regelmäßige Prüfungen helfen dabei, veraltete Datensätze zu erkennen und Unstimmigkeiten zwischen verschiedenen Systemen aufzudecken und zu bereinigen.
Das bringt gleich mehrere Vorteile. Risiken sinken, Systeme bleiben übersichtlicher und Nachweise lassen sich einfacher führen. Gleichzeitig entsteht ein klareres Bewusstsein dafür, welche Datenbestände im Unternehmen überhaupt vorhanden sind. Genau dieser Überblick fehlt oft, wenn Löschprozesse nur sporadisch oder rein manuell angestoßen werden.
Einzelne Maßnahmen reichen auf Dauer nicht aus. Datenschutz braucht eine Organisation, die Zuständigkeiten, Prozesse und technische Anforderungen zusammenführt. Erst daraus entsteht ein System, das im Alltag belastbar bleibt und auch mit wachsender Komplexität mithalten kann.
Eine tragfähige Struktur besteht aus mehreren Bausteinen, die ineinandergreifen sollten. Dazu gehören nicht nur Verzeichnisse und Richtlinien, sondern auch klare Verantwortlichkeiten im operativen Geschäft.
Wichtige Elemente sind zum Beispiel:
eine transparente Dateninventur
dokumentierte Rechtsgrundlagen und Verarbeitungszwecke
definierte Rollen und Zuständigkeiten
regelmäßige Überprüfung der TOMs
abgestimmte Zusammenarbeit zwischen Legal, IT, HR und Fachbereichen
Anschlussfähigkeit an Frameworks wie ISO 27001
Zu Beginn lassen sich viele Datenschutzaufgaben mit Tabellen, Vorlagen und Abstimmungen per E-Mail abbilden. Bei überschaubaren Strukturen funktioniert das, doch mit wachsender Anzahl an Verarbeitungstätigkeiten, Systemen und Audit-Anforderungen steigt der Koordinationsaufwand deutlich.
Sobald mehrere Standorte, internationale Datenflüsse oder wiederkehrende Audits hinzukommen, stoßen manuelle Prozesse an ihre Grenzen. Informationen liegen verteilt vor, werden mehrfach gepflegt und lassen sich nur mit hohem Aufwand konsistent nachverfolgen. Plattformbasierte Lösungen mit KI-gestützter Automatisierung schaffen hier Struktur, indem sie Daten zentral bündeln, Prozesse standardisieren und Nachweise jederzeit nachvollziehbar machen.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören etwa Name oder E-Mail-Adresse. Je nach Zusammenhang können auch IP-Adressen oder Gerätekennungen personenbezogen sein.
Ja, das ist grundsätzlich zulässig, wenn die Vorgaben der DSGVO eingehalten werden. Dazu gehören passende Verträge, angemessene Sicherheitsmaßnahmen und klare Regeln für internationale Datentransfers.
In Deutschland gilt zusätzlich: Ein Datenschutzbeauftragter muss benannt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Der Datenschutzbeauftragte kann intern bestellt oder extern beauftragt werden.
Personenbezogene Daten müssen gelöscht werden, sobald der Zweck der Verarbeitung entfällt und keine Aufbewahrungspflichten entgegenstehen. Deshalb brauchen Unternehmen belastbare Löschfristen und Prozesse, die auch praktisch umgesetzt werden.
Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes. Zusätzlich können Aufsichtsbehörden Verwarnungen aussprechen, Anordnungen treffen oder Verarbeitung beschränken. Oft kommen Reputationsschäden, Vertrauensverlust und zusätzlicher interner Aufwand hinzu.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Software-as-a-Service und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "Organization",
"@id": "www.dataguard.de#organization",
"name": "DataGuard",
"legalName": "DataCo GmbH",
"description": "DataGuard ist der führende europäische Anbieter von Security- und Compliance-Software und wird von über 4.000 Organisationen in mehr als 50 Ländern weltweit geschätzt. Wir helfen Ihnen, Sicherheits- und Compliance-Risiken zu identifizieren und zu managen, Compliance-Anforderungen zu erfüllen und Zertifizierungen schneller zu erreichen. Dabei kombinieren wir maßgeschneiderte Expertenberatung mit KI-gestützter Automatisierung. Unsere speziell entwickelte All-in-One-Plattform basiert auf mehr als 1,5 Millionen Stunden Erfahrung eines Teams zertifizierter Security- und Compliance-Experten.",
"foundingDate": "2018",
"taxID": "DE315880213",
"logo": "https://7759810.fs1.hubspotusercontent-na1.net/hubfs/7759810/DataGuardLogo.svg",
"url": "www.dataguard.de",
"email": "info@dataguard.de",
"telephone": "+49 89 452459 900",
"address": {
"@type": "PostalAddress",
"streetAddress": "Sandstrasse 33",
"addressLocality": "München",
"addressRegion": "Bayern",
"postalCode": "80335",
"addressCountry": "Deutschland"
},
"sameAs": [
"https://www.linkedin.com/company/dataguard1/",
"https://www.youtube.com/channel/UCEQzPZ6sCBCj9cAoBvaLL6w",
"https://x.com/i/flow/login?redirect_after_login=%2FDataGuard_dg"
]
}
]
}✅ Organization schema markup for "DataGuard" has been injected into the document head.