Was sind personenbezogene Daten?

# Was sind personenbezogene Daten?

Personenbezogene Daten sind die Waehrung der Datenschutz-Regulierung. Immer wenn ein KMU KI-Tools wie ChatGPT einsetzt, Kundendaten verarbeitet oder E-Mails automatisiert analysiert, hat es mit personenbezogenen Daten zu tun. Die DSGVO schuetzt diese Daten streng und KMU muessen wissen, was darunter faellt.

Kurze Antwort

Personenbezogene Daten sind alle Informationen ueber eine lebende natuerliche Person, die sie direkt oder indirekt identifizierbar machen. Von Namen ueber E-Mail-Adressen bis zu Standortdaten und IP-Adressen. Die DSGVO verpflichtet Unternehmen zu Transparenz, Speicherbegrenzung und Datensicherheit.

Definition

Die DSGVO definiert in Art. 4 Nr. 1 DSGVO personenbezogene Daten als alle Informationen ueber eine bestimmte oder bestimmbare natuerliche Person. Das Schluessselwort ist bestimmbar. Eine Person ist bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann durch Namen, Identifikationsnummern, Standortdaten oder Online-Kennungen. Es reicht aus, dass eine Person moeglicherweise identifizierbar ist, selbst wenn das Unternehmen dies noch nicht kann.

Pseudonymisierung ist oft ein Missverstaendnis. Das Ersetzen eines Namens durch eine Nummer ist keine Anonymisierung. Echte Anonymisierung bedeutet, dass die Person mit wirtschaftlich vertretbarem Aufwand nicht mehr identifizierbar ist. Nur anonymisierte Daten fallen komplett aus der DSGVO heraus.

Beispiele fuer personenbezogene Daten

Direkt identifizierend:

• Name, Vorname
• Telefonnummer
• Persoenliche E-Mail-Adresse (z.B. vorname@firma.de)
• Personalausweisnummer

Indirekt identifizierend:

• IP-Adresse (in der Regel)
• Kundennummer
• Standortdaten
• Cookie-IDs und Tracking-IDs

Besondere Kategorien nach Art. 9 DSGVO (erhoehter Schutz):

• Gesundheitsdaten und biometrische Daten
• Genetische Daten
• Religionszugehoerigkeit, politische Meinungen
• Gewerkschaftszugehoerigkeit

Nicht zwingend personenbezogen:

• Anonymisierte Statistiken
• Funktionsadressen wie info@ oder support@
• Vollstaendig anonymisierte Unternehmensdaten

Beispiel aus der Praxis

Ein kleines Marketingbuero nutzt ChatGPT, um Kundenbriefe zu personalisieren. Eine Mitarbeiterin kopiert Kundennamen, Adresse, Telefonnummer und bisherige Kaufhistorie in den Prompt: Schreib einen Verkaufsbrief fuer Anna Schmidt aus Berlin, die Grafik-Dienstleistungen gekauft hat.

Hier liegen personenbezogene Daten vor: Name direkt identifizierbar, Wohnort indirekt identifizierbar, Telefonnummer und Kaufhistorie ebenfalls. Sobald diese Daten in ChatGPT eingetragen werden, greifen DSGVO-Regeln. Das Buero braucht einen Rechtsgrund und darf keine EU-fremde Speicherung ohne Schutzvorkehrung riskieren. Falls OpenAI als Auftragsverarbeiter taetig wird, ist in der Regel ein AVV erforderlich. Ohne geeignete rechtliche und organisatorische Massnahmen kann ein DSGVO-Verstoss vorliegen.

Typische Anwendungsfaelle

• Kundenlisten mit Namen und E-Mails: in CRM-Systemen oder fuer Newsletter
• Mitarbeiterdaten: Namen, Gehalt, Leistungsbewertungen, Arbeitszeiten
• IP-Adressen: jeder Website-Besuch hinterlaesst eine IP, die rechtlich als personenbezogen gilt
• Chatbot-Prompts mit Kundennamen: besonders relevant beim KI-Einsatz
• Biometrische Daten: Fingerabdruecke, Gesichtserkennung nach Art. 9 DSGVO
• Cookies und Tracking-IDs: ermoeglichen Wiederidentifikation ueber mehrere Sessions
• Eingebettete Texte aus persoenlichen Dokumenten: Embeddings koennen personenbezogene Informationen enthalten oder daraus abgeleitet werden — z.B. aus Mitarbeiter-Mails
• Standortverlauf: ueber GPS, WLAN oder Mobilfunkdaten

DSGVO-Relevanz

Personenbezogene Daten sind das zentrale Schutzgut der DSGVO. Wer solche Daten verarbeitet, traegt Rechenschaftspflicht: Unternehmen muessen dokumentieren, welche Daten sie haben, woher sie stammen, wer Zugriff hat und wie lange sie gespeichert werden.

Bei KI-Tools entsteht eine haeufige Unsicherheit: Darf ich Kundendaten in ChatGPT oder Claude eingeben? Die Antwort: Nur wenn ein rechtmaessiger Grund existiert und der Anbieter einen Auftragsverarbeitungsvertrag (AVV) angeboten hat. OpenAI und Anthropic stellen solche AVVs bereit, aber viele kostenlose KI-Tools nicht.

Zusaetzlich muessen KMU auf Drittland-Transfers achten. Wenn die KI in den USA laeuft, braucht es Schutzvorkehrungen wie das EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln (SCCs).

Unter Artikel 9 fallen besondere Kategorien: Gesundheit, Religion, Gewerkschaftsmitgliedschaft, biometrische und genetische Daten. Diese benoetigen zusaetzliche Sicherungsmechanismen und sollten grundsaetzlich nicht in externe KI-Tools eingegeben werden.

Verwandte Begriffe

• AVV (Auftragsverarbeitungsvertrag): rechtliche Vereinbarung mit KI-Anbietern vor Verarbeitung von Kundendaten
• EU-US Data Privacy Framework (DPF): Standard fuer sichere Datenuebermittlungen in die USA
• Standardvertragsklauseln (SCCs): Vertragsvorlage fuer weltweite Datenuebermittlung ausserhalb der EU
• Large Language Models (LLM): KI-Modelle wie ChatGPT, die oft personenbezogene Daten verarbeiten
• Embedding: Umwandlung von Text in Zahlenvektoren, kann aus personenbezogenen Dokumenten entstehen
• Pseudonymisierung: Verschleierung von Identitaeten durch Ersetzen durch Kennungen, nicht dasselbe wie Anonymisierung

Haeufige Missverstaendnisse

Nur Namen sind personenbezogene Daten. Falsch. Die DSGVO schuetzt jede Information, die eine Person identifizierbar macht, von IP-Adressen ueber Cookies bis zu Kundennummern und Stimmaufnahmen.

Verschluesselte Daten sind nicht mehr personenbezogen. Falsch. Solange der Schluessel existiert, sind sie weiterhin personenbezogen. Das ist Pseudonymisierung, nicht Anonymisierung.

B2B-Kontakte unterliegen nicht der DSGVO. Falsch. Auch Unternehmenskontakte wie Herr Mueller von Firma XY sind personenbezogen, sobald sie sich auf eine natuerliche Person beziehen.

Einmal anonymisiert, immer anonymisiert. Falsch. Anonymisierung ist nur dann echt, wenn kein wirtschaftlich vertretbarer Weg zur Reidentifikation existiert. In der Praxis ist das selten erreichbar.

Haeufig gestellte Fragen

Sind E-Mail-Adressen personenbezogene Daten? Meistens ja. Persoenliche Adressen wie vorname.nachname@firma.de oder info-mitarbeiter@example.de identifizieren eine natuerliche Person und fallen unter die DSGVO. Funktionsadressen wie info@ oder support@ sind dagegen nicht zwingend personenbezogen.

Darf ich IP-Adressen sammeln? Ja, aber mit Vorsicht. IP-Adressen gelten als personenbezogen gemaess EuGH-Urteil und benoetigen einen Rechtsgrund sowie Nutzerinformation im Cookie-Banner.

Was ist der Unterschied zu nicht-personenbezogenen Daten? Statistische Gesamtdaten ohne Personenbezug sind nicht personenbezogen. Aber sobald ein Datensatz eine natuerliche Person identifizierbar macht, gilt er als personenbezogen.

Wie lange darf ich personenbezogene Daten speichern? So lange, bis der Zweck erfuellt ist. Rechnungsdaten 10 Jahre fuer das Steuerrecht, dann Loeschung. Loeschfristen dokumentieren.

Muss ich eine Einwilligung einholen, bevor ich Kundendaten sammle? Nicht immer. Es reicht ein rechtmaessiger Grund nach Art. 6 DSGVO: Vertrag, berechtigtes Interesse, gesetzliche Pflicht oder Einwilligung. Fuer besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) gelten zusaetzliche Voraussetzungen; eine Einwilligung ist eine davon, es gibt aber weitere Ausnahmen nach Art. 9 Abs. 2 DSGVO.

Fazit

Personenbezogene Daten sind der Kern der DSGVO und umfassen weit mehr als nur Namen. Im KI-Kontext ist das Verstaendnis essentiell: Wer Kundendaten in ChatGPT eingibt, Cookies setzt oder E-Mail-Listen verarbeitet, arbeitet mit personenbezogenen Daten und traegt rechtliche Verantwortung. Faustregel: Im Zweifelsfall davon ausgehen, dass es personenbezogene Daten sind, den Rechtsgrund dokumentieren und den Anbieter auf AVV-Pflicht pruefen.

Passende Tooltests

• ChatGPT Plus
• Claude (Anthropic)

Weiterfuehrende Begriffe

• Was ist ein AVV?
• Was ist das EU-US Data Privacy Framework?
• Was sind Standardvertragsklauseln?