Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.
Personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und fallen in den Anwendungsbereich der Datenschutz-Grundverordnung.
Personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, gelten nicht mehr als personenbezogene Daten. Damit die Daten wirklich anonymisiert sind, muss die Anonymisierung unumkehrbar sein.
Die Datenschutz-Grundverordnung schützt personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technik – sie ist technologieneutral und gilt für die automatisierte wie die manuelle Verarbeitung, sofern die Daten nach vorherbestimmten Kriterien (z. B. alphabetische Reihenfolge) geordnet sind. Es ist ebenfalls nicht entscheidend, wie die Daten gespeichert werden – in einem IT-System, mittels Videoüberwachung oder auf Papier. In all diesen Fällen fallen die personenbezogenen Daten unter die in der Datenschutz-Grundverordnung dargelegten Datenschutzklauseln.
Beispiele für personenbezogene Daten:
Name und Vorname;
eine Privatanschrift;
eine E-Mail-Adresse wie vorname.nachname@unternehmen.com;
eine Ausweisnummer;
Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen)*;
eine IP-Adresse;
eine Cookie-Kennung*;
die Werbekennung Ihres Telefons;
Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten.
*Beachten Sie, dass in einigen Fällen eine besondere sektorale Rechtsvorschrift z. B. die Nutzung von Standortdaten oder die Verwendung von Cookies regelt – die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 (ABl. L 201 vom 31.7.2002, S. 37) und die Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates vom 27. Oktober 2004 (ABl. L 364 vom 9.12.2004, S. 1).
Beispiele für nicht personenbezogene Daten:
Handelsregisternummer;
eine E-Mail-Adresse wie info@unternehmen.com;
anonymisierte Daten.