Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Definition klingt zunächst abstrakt, betrifft aber jeden Menschen in seinem täglichen Leben. Ob beim Online-Einkauf, bei der Nutzung sozialer Netzwerke oder beim Besuch einer Arztpraxis – überall werden Daten erhoben, die einer Person zugeordnet werden können. Der Schutz dieser Daten ist nicht nur eine technische Frage, sondern ein Grundrecht. Die brasilianische Lei Geral de Proteção de Dados, kurz LGPD, hat dieses Verständnis gesetzlich verankert und schafft einen rechtlichen Rahmen, der die Rechte der Bürger stärkt. Die Bedeutung personenbezogener Daten liegt in ihrer Fähigkeit, ein Profil eines Menschen zu erstellen. Denn jede einzelne Information mag harmlos erscheinen, aber in ihrer Gesamtheit ergeben sie ein detailliertes Bild. Wer meine Adresse kennt, kann meine Wohngegend zuordnen. Wer mein Geburtsdatum weiss, kann Rückschlüsse auf mein Alter ziehen. Wer mein Kaufverhalten verfolgt, weiss, welche Produkte mich interessieren. Diese Kombination macht Daten wertvoll und schutzbedürftig. Die LGPD definiert personenbezogene Daten in Artikel 5, Absatz I als jede Information, die sich auf eine natürliche Person bezieht und die es ermöglicht, diese Person direkt oder indirekt zu identifizieren. Direkt meint etwa durch den Namen, indirekt durch eine Kombination von Merkmalen wie Standort, Online-Kennung oder physische Eigenschaften. Diese weite Definition stellt sicher, dass nahezu alle modernen Datenverarbeitungen erfasst werden. Unternehmen und Behörden müssen daher bei jeder Erhebung prüfen, ob personenbezogene Daten betroffen sind. Das Bewusstsein für diese Thematik wächst, dennoch gibt es viele Missverständnisse. Viele Menschen glauben, nur sensible Daten wie Gesundheitsinformationen seien schützenswert. Doch auch eine einfache E-Mail-Adresse oder ein Cookie zählen als personenbezogene Daten, sobald sie einer Person zugeordnet werden können. Die Technologie entwickelt sich rasant, und mit ihr die Möglichkeiten der Datenverknüpfung. Deshalb ist es wichtig, die Grundlagen zu verstehen: Was sind personenbezogene Daten, wie werden sie geschützt und welche Rechte haben die Betroffenen.

Die rechtliche Definition nach der LGPD
Die rechtliche Grundlage für den Schutz personenbezogener Daten in Brasilien bildet die LGPD, Lei 13.709 aus dem Jahr 2018. In ihrem Artikel 5, Absatz I findet sich die zentrale Definition: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Begriff identifizierbar ist entscheidend. Eine Person gilt als identifizierbar, wenn sie direkt oder indirekt durch einen Identifikator wie Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder durch besondere Merkmale ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität erkannt werden kann. Diese Formulierung ist weit gefasst und schliesst moderne Technologien ein. Eine IP-Adresse etwa ist eine Online-Kennung, die in Kombination mit anderen Daten eine Person identifizieren kann. Gleiches gilt für Cookies, die auf dem Rechner eines Nutzers gespeichert werden. Die LGPD orientiert sich dabei an der europäischen Datenschutz-Grundverordnung, geht aber in einigen Punkten eigene Wege. Wichtig ist, dass nicht nur die offensichtlichen Daten wie der vollständige Name geschützt sind, sondern auch alle Informationen, die potenziell zur Identifikation führen können. Das bedeutet für Unternehmen, dass sie bei jeder Datenverarbeitung eine Risikobewertung durchführen müssen. Die offizielle Definition ist auf dem Portal der brasilianischen Regierung unter gov.br/anpd einsehbar. Dort werden auch häufig gestellte Fragen beantwortet. Die Definition ist nicht statisch, sondern wird durch die Rechtsprechung und technische Entwicklungen fortlaufend interpretiert. So hat die Datenschutzbehörde ANPD bereits klargestellt, dass auch pseudonymisierte Daten als personenbezogen gelten, wenn eine Zuordnung noch möglich ist. Nur wenn Daten vollständig anonymisiert sind, fallen sie nicht mehr unter den Anwendungsbereich der LGPD. Die Abgrenzung ist in der Praxis oft schwierig, denn Anonymisierung muss nachweislich irreversibel sein.

Beispiele für personenbezogene Daten im Alltag
Um das Konzept greifbar zu machen, ist eine Liste typischer Beispiele hilfreich. Diese Daten werden tagtäglich von Unternehmen, Behörden und Privatpersonen verarbeitet. Die Auflistung erhebt keinen Anspruch auf Vollständigkeit, zeigt aber die Bandbreite der Informationen, die als personenbezogen gelten.

- Name und Vorname in Verbindung mit anderen Daten wie Adresse oder Telefonnummer
- CPF, die brasilianische Steueridentifikationsnummer, und andere amtliche Ausweise wie RG oder Reisepassnummer
- E-Mail-Adresse, vor allem wenn sie den Vor- und Nachnamen enthält
- Internetprotokoll-Adresse, also die IP-Adresse des Geräts
- Cookies und andere Tracker, die das Surfverhalten aufzeichnen
- Standortdaten, die über GPS oder WLAN ermittelt werden
- Kreditkartennummern und Bankverbindungen
- Geburtsdatum und Alter
- Einkaufshistorie und Konsumgewohnheiten
- Daten zum Aussehen, etwa Fotos oder Videoaufnahmen
- Berufliche Informationen wie Arbeitgeber und Position
- Kommunikationsinhalte aus E-Mails oder Chats

All diese Beispiele stammen aus der Praxis und sind auf Plattformen wie Judex.io dokumentiert. Wichtig ist, dass nicht jede einzelne Information automatisch problematisch ist. Die Gefahr liegt in der Verknüpfung. Ein Online-Shop, der Name, Adresse, Zahlungsdaten und Surfverhalten speichert, kann ein sehr genaues Kundenprofil erstellen. Die LGPD verlangt daher, dass nur die Daten erhoben werden, die für den konkreten Zweck notwendig sind. Ausserdem müssen die Betroffenen über die Verarbeitung informiert werden. Viele Menschen sind sich nicht bewusst, wie viele Spuren sie im Internet hinterlassen. Jeder Klick, jede Suche, jeder Like erzeugt Daten. Diese werden von Werbenetzwerken, sozialen Medien und Analysefirmen gesammelt. Die Liste zeigt, dass der Schutz personenbezogener Daten weit über den Schutz der Privatsphäre hinausgeht. Es geht auch um wirtschaftliche und soziale Teilhabe. Wer seine Daten nicht kontrollieren kann, verliert die Kontrolle über seine digitale Identität.

Besondere Kategorien: Sensible personenbezogene Daten
Neben den allgemeinen personenbezogenen Daten kennt die LGPD eine besondere Kategorie: sensible Daten. Diese sind in Artikel 5, Absatz II definiert. Als sensibel gelten Daten über rassische oder ethnische Herkunft, religiöse Überzeugungen, politische Meinungen, die Mitgliedschaft in einer Gewerkschaft oder Organisation religiöser, philosophischer oder politischer Natur, Daten zur Gesundheit, zum Sexualleben, genetische Daten und biometrische Daten, sofern sie zur Identifikation einer Person verwendet werden. Diese Daten geniessen einen erhöhten Schutz, weil ihre Verarbeitung zu Diskriminierung oder schwerwiegenden Eingriffen in die Privatsphäre führen kann. Die Verarbeitung sensibler Daten ist nur unter strengen Bedingungen erlaubt. So muss die betroffene Person explizit und gesondert einwilligen, oder es muss eine gesetzliche Grundlage vorliegen, etwa für den Gesundheitsschutz. Ein Beispiel: Ein Krankenhaus darf sensible Gesundheitsdaten verarbeiten, um eine Behandlung durchzuführen. Es darf diese Daten aber nicht ohne Einwilligung für Werbezwecke nutzen. Die Definition sensibler Daten findet sich auch auf der Seite des Instituts für Verbraucherschutz Idec.org.br. Dort wird betont, dass sensible Daten besonders geschützt werden müssen, weil sie tiefe Einblicke in die Persönlichkeit eines Menschen geben. Ein weiteres Beispiel: Biometrische Daten wie Fingerabdrücke oder Gesichtsscans werden immer häufiger eingesetzt, etwa zur Zugangskontrolle. Diese Daten sind einmalig und können nicht geändert werden wie ein Passwort. Deshalb gelten sie als besonders schutzbedürftig. Die LGPD verbietet die Verarbeitung sensibler Daten grundsätzlich, es sei denn, eine Ausnahme greift. Diese Ausnahmen sind abschliessend aufgezählt und eng auszulegen. Für Unternehmen bedeutet das: Sie müssen genau prüfen, ob die Verarbeitung sensibler Daten wirklich notwendig ist und ob eine Rechtsgrundlage besteht. Fehler können zu hohen Bussgeldern führen. Die Tabelle unten fasst die Unterschiede zwischen allgemeinen





