Laut DSGVO und Bundesdatenschutzgesetz handelt es sich bei personenbezogenen Daten um jede Information, die sich auf eine natürliche Person bezieht oder Rückschlüsse auf eine Person ermöglicht. Diese Daten müssen aufgrund des Rechts jedes Menschen auf informationelle Selbstbestimmung sensibel behandelt werden.

Eine vollständige Liste solcher Daten lässt sich kaum erstellen. Beispielsweise zählen folgende Informationen dazu:

• allgemeine Personendaten (Name, Geburtsdatum, Anschrift, E-Mail, Telefon)
• Bankdaten
• Besitzmerkmale (Kfz-Kennzeichen)
• Online-Daten (Standortdaten, IP-Adresse, Kennung)
• Kennnummern (Personalausweis, Sozialversicherung, Steuer-ID, etc)
• Vorstrafen
• Physische Merkmale
• Werturteile (Zeugnisse)

Zusätzlich gibt es noch sogenannte „sensible“ personenbezogene Daten, die eines besonderen Schutzes bedürfen. Dazu zählen:

• Angaben zu Rasse und ethnischer Herkunft
• politische Ansichten
• religiöse und weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Gesundheitsdaten
• Angaben zur Sexualität
• biometrische und genetische Merkmale

Zwischen Kunden und Beschäftigten eines Unternehmens unterscheidet das Datenschutzrecht nicht. Sobald die Daten eine natürliche Person betreffen, gelten sie als personenbezogen.

Die technische Form der Daten spielt ebenfalls keine Rolle. Ob elektronisches Adressenverzeichnis oder Fotos und Tonaufnahmen – sobald die Informationen den Rückschluss auf eine Person zulassen, sind sie als personenbezogen zu behandeln.

Die neue DSGVO verpflichtet Unternehmen besser darüber zu informieren, in welchem Umfang sie personenbezogene Daten erheben, verarbeiten und speichern. Zudem haben die Betroffenen das Recht, ihre gespeicherten Daten einzusehen und bei Bedarf löschen oder berichtigen zu lassen.