Personenbezogene Daten: Verständnis, Kategorien, DSGVO und Schutz im HR

Geschätzte Lesezeit: 7 Minuten

Key Takeaways

• • Personenbezogene Daten umfassen jegliche Informationen, die auf eine identifizierbare Person bezogen werden können.

• • Die DSGVO schreibt strenge Regeln für Sammlung, Speicherung und Nutzung dieser Daten vor, speziell im HR-Bereich.

• • Es gibt zahlreiche Kategorien personenbezogener Daten – von Kontaktdaten bis zu besonders sensiblen Informationen.

• • Nur mit klaren Rechtsgrundlagen wie Einwilligung oder Vertrag ist eine Datenverarbeitung zulässig.

• • Schutz und Transparenz sind essenziell, um Missbrauch und Vertrauensverlust zu vermeiden.

Was versteht man unter personenbezogenen Daten?

Personenbezogene Daten umfassen Informationen, die direkt oder indirekt einer lebenden natürlichen Person zugeordnet werden können. Sie beziehen sich etwa auf Kontaktdaten, persönliche Merkmale oder auch Angaben, die Rückschlüsse auf eine bestimmte Person zulassen. Der besondere Schutz dieser Daten leitet sich daraus ab, dass jede Person selbst bestimmen dürfen soll, wie offen sie mit den eigenen Informationen umgeht.

Aus rechtlicher Sicht ist entscheidend, ob eine Person anhand der Daten eindeutig identifiziert werden kann oder ob eine Identifikation mit zusätzlichem Aufwand möglich wäre – auch wenn Dritte das Wissen beisteuern. Zudem werden unter personenbezogenen Daten nur Informationen verstanden, die sich auf lebende Menschen beziehen. Firmen, Organisationen oder bereits Verstorbene fallen nicht darunter.

Kurz gesagt: Alles, was mit einer identifizierbaren Person in Zusammenhang steht, fällt in diese Kategorie und unterliegt damit dem besonderen Schutz durch geltende Datenschutzgesetze innerhalb der EU.

Kategorien und Beispiele für personenbezogene Daten

In der Praxis stoßen Unternehmen auf zahlreiche Arten personenbezogener Daten, die sich in verschiedene Kategorien unterteilen lassen:

Persönliche Basisdaten

• Name
• Adresse, Telefonnummer, E-Mail
• Geburtsdatum und -ort, Nationalität, Familienstand

Der Name eines Menschen ist grundsätzlich personenbezogen, da jede lebende Person damit eindeutig benannt werden kann.

Physische Merkmale

• Geschlecht
• Haar-, Augen- und Hautfarbe
• Körpergröße, Gewicht, Statur
• Besondere äußerliche Kennzeichen

Finanzielle Informationen

• Konto- und Kreditkartennummern
• Kontostände, Transaktionshistorien
• Angaben zu Einkommen, Vermögen, Krediten
• Immobilienbesitz

Kennnummern

• Kunden- und Mitgliedsnummern
• Personalnummern und Ausweisnummern
• Fahrzeugkennzeichen

Daten im Netz und im Kundenkontakt

• IP-Adressen und Standortdaten
• Kundendaten wie Bestellungen und Zahlungen

Daten zu Arbeitsverhältnissen

• Angaben zu Ausbildung und beruflichem Lebenslauf
• Zeugnisse, Leistungsbeurteilungen
• Urlaubs- und Krankheitszeiten
• Höhe von Lohn oder Gehalt

Sensible besondere Daten

• Informationen zu ethnischer Herkunft, politischer oder religiöser Überzeugung
• Gewerkschaftszugehörigkeit
• Genetische und biometrische Merkmale
• Gesundheitsdaten
• Angaben zu Sexualleben oder sexueller Orientierung

Daten, die nicht einem Mensch zugeordnet werden können – wie vollständig anonymisierte Datensätze oder Informationen zu Unternehmen – gelten hingegen nicht als personenbezogen.

Datenschutzvorgaben der DSGVO für die Verarbeitung personenbezogener Daten

Sobald Unternehmen personenbezogene Daten systematisch erfassen oder speichern, greifen die Vorschriften der Datenschutz-Grundverordnung (DSGVO). Grundsätzlich ist die Verarbeitung dieser Daten erst einmal untersagt – sie wird nur in ganz bestimmten Fällen erlaubt. Außerdem gilt immer das Prinzip der Datenminimierung: Es dürfen nicht mehr Informationen verarbeitet werden als für den jeweiligen Zweck nötig.

Vier zentrale Rechtsgrundlagen nach DSGVO erlauben die Verarbeitung personenbezogener Daten:

• Einwilligung: Personen stimmen freiwillig und nach transparenter Aufklärung der Nutzung ihrer Daten zu. Diese Einwilligung kann jederzeit zurückgezogen werden.
• Vertrag: Daten werden benötigt, um Verträge abzuschließen oder zu erfüllen. Beispielsweise zur Gehaltsabrechnung im Arbeitsverhältnis oder zur Lieferung einer online bestellten Ware.
• Berechtigtes Interesse: Wenn ein Unternehmen beispielsweise seine IT-Sicherheit schützen muss, aber die Interessen der betroffenen Person nicht überwiegen.
• Gesetzliche Verpflichtung: Behörden wie das Finanzamt müssen bestimmte Daten aufgrund gesetzlicher Vorgaben bearbeiten.

Außerdem dürfen personenbezogene Daten nur für den Zweck verwendet werden, für den sie erhoben wurden – eine Zweckänderung ist nur durch erneute Rechtsgrundlage möglich. Unternehmen und Organisationen sind außerdem verpflichtet, Betroffene umfassend über die Erhebung und Verarbeitung ihrer Daten zu informieren. Jede Person hat zudem das Recht, Auskunft über die gespeicherten Daten zu verlangen und kann unter bestimmten Bedingungen die Löschung dieser Daten fordern.

Warum Schutz personenbezogener Daten so wichtig ist

Angesichts der Digitalisierung werden immer mehr persönliche Informationen in enormem Umfang gesammelt, gespeichert und analysiert. Dadurch steigt das Risiko des Datenmissbrauchs, etwa durch Identitätsdiebstahl, unrechtmäßige Profilbildung, Diskriminierung oder Meinungsmanipulation. Auch Cyberangriffe und Sicherheitslücken können dazu führen, dass sensible Informationen in falsche Hände geraten.

Persönliche Daten eröffnen viele Möglichkeiten des Missbrauchs – sei es durch Kriminelle, die Zugang zu Konten erschleichen, durch Unternehmen, die Profile zu Marketingzwecken analysieren, oder durch Staaten, die mit Überwachungstechnologien arbeiten. Der bewusste und verantwortungsvolle Umgang mit personenbezogenen Daten – sowohl privat als auch beruflich – ist daher für jeden Einzelnen und jedes Unternehmen von großer Bedeutung. Es bleibt eine ständige Aufgabe, Transparenz zu gewährleisten und die Rechte der Betroffenen zu schützen.

Mehr zum Thema Datenschutz und den Anforderungen der DSGVO finden Sie auch im Blogbeitrag Antonio Zill teilt seine Insights aus der Zeitarbeit.

Fazit

Personenbezogene Daten sind ein schützwürdiges Gut, denn jeder Mensch sollte Kontrolle über seine eigenen Informationen behalten. Besonders im Bereich Personalmanagement ist ein sorgfältiger und rechtssicherer Umgang mit diesen Daten unerlässlich. Unternehmen sind gefordert, nicht nur die gesetzlichen Vorgaben der DSGVO umzusetzen, sondern auch das Bewusstsein für Datenschutz in der gesamten Organisation zu stärken. So wird die Privatsphäre geschützt – und das Vertrauen aller Beteiligten bleibt erhalten.

Auch im Zusammenhang mit der Datenanalyse und datenbasierten Entscheidungen in Unternehmen ist der korrekte Umgang mit personenbezogenen Daten ein zentrales Thema, wie im Beitrag Recruiting & Marketing Analytics: Warum Zielgruppe, Kanal und Kontextwichtiger sind als der günstigste Lead vertieft wird.

Wer mehr über die Nutzung von Daten im Recruiting erfahren möchte und wie personalbezogene Informationen geschützt und dennoch effektiv genutzt werden können, dem empfehlen wir auch die HRM Hacks Podcastfolge mit Thorsten Piening über Recruiting mit Google Ads.

Zudem gewinnt im Bereich der Ausbildung die zielgerichtete Nutzung von Daten und Medien an Bedeutung, wie im Beitrag So funktioniert Azubi Gewinnung 2026 eindrucksvoll dargestellt wird.

FAQ

• • Was sind personenbezogene Daten?
    Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen – beispielsweise Name, Adresse, Kontaktdaten, biometrische Daten oder auch IP-Adressen.

• • Was ist der Unterschied zwischen personenbezogenen und anonymisierten Daten?
    Personenbezogene Daten lassen Rückschlüsse auf eine bestimmte Person zu; bei anonymisierten Daten ist dies ausgeschlossen, weil sie keinen Personenbezug mehr aufweisen.

• • Welche Rechte habe ich als betroffene Person?
    Sie haben laut DSGVO u.a. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Widerspruch gegen die Verarbeitung Ihrer Daten.

• • Wann darf ein Unternehmen personenbezogene Daten verarbeiten?
    Nur mit Rechtsgrundlage, also mit Einwilligung, zur Vertragserfüllung, bei berechtigtem Interesse des Unternehmens oder aufgrund gesetzlicher Pflicht.

• Wo finde ich praxisnahe Infos und Erfahrungen zur DSGVO im HR?
  Praktische Einblicke geben Blogbeiträge wie Antonio Zill teilt seine Insights aus der Zeitarbeit oder Recruiting & Marketing Analytics: Warum Zielgruppe, Kanal und Kontextwichtiger sind als der günstigste Lead.