Datentypen in der DSGVO

Wer in der Praxis mit Daten arbeitet, egal ob im Unternehmen oder in einem Forschungsprojekt, stößt schnell auf die Frage: Mit welchen Datentypen habe ich es zu tun und wieso ist diese Unterscheidung so wichtig?

Die Datenschutz-Grundverordnung (DSGVO) stellt klare Anforderungen an den Umgang mit Daten und differenziert zwischen verschiedenen Datentypen. Die Unterscheidung ist keinesfalls theoretisch: Sie hat Auswirkungen auf die Rechtsgrundlagen der Verarbeitung, Dokumentationspflichten, technische und organisatorische Maßnahmen (TOMs) und Bußgeldrisiken.

Eine saubere Datenklassifikation ist daher eine zentrale Voraussetzung für die rechtssichere Datenverarbeitung.

Personenbezogene Daten

Den Kern der DSGVO bilden die personenbezogen Daten (Art. 4 Nr. 1 DSGVO).  Diese umfassen all solche Informationen, die sich auf eine identifizierte und identifizierbare natürliche Person beziehen. Beispiele für personenbezogene Daten sind unter anderem: Name, Adresse, Telefonnummer, Kundennummer oder Standortdaten.

Die Identifizierbarkeit der Person steht dabei im Fokus. Es ist auch ausreichend, wenn der Personenbezug über eine Kombination mehrerer Daten hergestellt werden kann.

Besondere Kategorien personenbezogener Daten

Ein sensibler Bereich der personenbezogenen Daten sind die besonderen Kategorien von personenbezogenen Daten (Art. 9 DSGVO). Diese Daten sind besonders schützenswert, da deren Verarbeitung in der Regel ein großes Risiko für die betroffene Person mit sich bringt. Beispiele für Daten dieser Kategorie sind unter anderem: Gesundheitsdaten, biometrische Daten, religiöse oder politische Überzeugungen und Daten zur sexuellen Orientierung.

Die Verarbeitung dieser sensiblen Daten ist grundsätzlich untersagt (Art. 9 I DSGVO).
Ausnahmen von dieser Regelung finden sich in Art. 9 II DSGVO. So kann die betroffene Person zum Beispiel in die Verarbeitung einwilligen oder eine gesetzliche Grundlage kann die Verarbeitung rechtfertigen.

Pseudonymisierte Daten

Bei der Pseudonymisierung (Art. 4 Nr. 5 DSGVO) werden personenbezogene Daten so verarbeitet, dass sie ohne zusätzliche Informationen keiner Person direkt zugeordnet werden können. Ein Beispiel dafür ist es, nur eine Kundennummer statt dem Namen der betroffenen Person zu verwenden.

Pseudonymisierte Daten gelten weiterhin als personenbezogene Daten, sofern eine Re-Identifikation der betroffenen Person weiterhin möglich ist.

Anonymisierte Daten

Bei anonymisierten Daten (Erwägungsgrund 26 DSGVO) ist im Gegensatz dazu keine Re-Identifikation der betroffenen Person möglich. Die Daten werden so verändert, dass selbst mit Zusatzwissen kein Personenbezug mehr hergestellt werden kann. Ein Bespiel für anonymisierte Daten sind statistische Auswertungen ohne Rückschlüsse auf Einzelpersonen.

Da keine identifizierbare Person bei der Verarbeitung von anonymisierten Daten betroffen ist, fallen diese Daten nicht in den Anwendungsbereich der DSGVO.

Fazit

Die DSGVO unterscheidet nicht einfach nur „Daten“ und „keine Daten“, sondern differenziert sehr genau nach Schutzbedarf und Identifizierbarkeit. Nur wer weiß, ob Daten personenbezogen, pseudonymisiert oder anonym sind, kann passende Maßnahmen wählen und Risiken richtig einschätzen.

Die Relevanz wird auch in der Praxis deutlich: Die Einordnung der Datentypen muss bereits zu Beginn eines Projektes erfolgen, weil sie alle weiteren Schritte, von der Rechtsgrundlage bis hin zu Schutzmaßnahmen, beeinflusst. Gerade bei der Verarbeitung von großen Datenmengen ist der Personenbezug nicht immer eindeutig. Es ist deswegen unerlässlich bereits frühzeitig eine saubere Datenklassifikation vorzunehmen, um eine sichere, strukturierte und verantwortungsvolle Datenverarbeitung zu gewährleisten.

Die Besonderheit im Projekt KoWima stellt die Verarbeitung von konversationsbasierten Daten aus E-Mails, Chatverläufen und anderen Kommunikationsformaten im Unternehmen dar. Solche Daten entstehen im Arbeitsalltag oft beiläufig, können jedoch zahlreiche (sensible) persönliche Daten enthalten. 

Gerade hier ergeben sich datenschutzrechtlich viele Fragestellungen: In welchem Umfang enthalten die Kommunikationsdaten personenbezogene oder sogar besonders schützenswerte Informationen? Lassen sich diese eindeutig klassifizieren oder entstehen Personenbezüge erst durch Kontext, Schreibstil oder die Kombination einzelner Inhalte? Inwieweit ist eine vollständige Anonymisierung realistisch, wenn sich Identitäten möglicherweise ohne direkte Angaben erschließen lassen? Und wie kann sichergestellt werden, dass die Erwartungen und Rechte der betroffenen Personen angemessen berücksichtigt werden?

Ein bewusster und gezielter Umgang mit den erhobenen Daten kann dazu beitragen, das Vertrauen der Beteiligten zu stärken und die Nutzung der Daten verantwortungsvoll zu gestalten. Vor diesem Hintergrund wird deutlich, dass der Umgang mit konversationsbasierten Daten in diesem Forschungsprojekt besondere Aufmerksamkeit erfordert und kontinuierlich reflektiert werden sollte.

Quelle: Mit ChatGPT (OpenAI) generiertes Bild; erzeugt am 31. März 2026 auf Basis eines eigenen Prompts.
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© Copyright – kowima.deEnfold WordPress Theme by Kriesi

Impressum

Datenschutz

Kontakt

kontakt@kowima.de

Wissensmanagement mit KI – zwischen Chancen und Herausforderungen