Personenbezogene Daten: Was Ihre Website wirklich sammelt und was das für Sie bedeutet

Viele Website-Betreiber:innen denken bei personenbezogenen Daten an Namen oder E-Mail-Adressen. Tatsächlich ist die Definition unter der DSGVO deutlich weiter gefasst.

Wenn Ihre Website Cookies, Analytics-Tools oder Tracking-Technologien nutzt, verarbeiten Sie mit hoher Wahrscheinlichkeit bereits personenbezogene Daten — oft, ohne dass es sofort offensichtlich ist.

In diesem Artikel zeigen wir Ihnen,welche Daten Ihre Website sammelt, wann sie als personenbezogene Daten gelten und was Sie konkret tun müssen.

Was sind personenbezogene Daten laut DSGVO?

Die DSGVO definiert den Begriff in Art. 4 bewusst sehr weit:

Das entscheidende Wort ist „identifizierbar". Es reicht aus, dass jemand – sei es Sie selbst, ein Drittanbieter oder eine Behörde – die Person theoretisch identifizieren könnte. Dafür genügt bereits eine Zuordnung zu einer Online-Kennung, einem Standort, einer Geräte-ID oder einem Verhaltensmuster.

Das bedeutet: Auch Daten, die auf den ersten Blick anonym erscheinen, können unter die DSGVO fallen. Und genau hier passieren auf den meisten Websites die größten Fehler.

PII vs. personenbezogene Daten: Zwei Konzepte, ein wichtiger Unterschied

Wenn Sie sich mit Datenschutz beschäftigen, stoßen Sie früh auf den englischen Begriff PII (Personally Identifiable Information). Wichtig zu wissen: PII und personenbezogene Daten im Sinne der DSGVO sind nicht deckungsgleich.

PII ist ein Konzept aus dem US-amerikanischen Rechtsraum. Es umfasst Daten, die eine Person direkt identifizieren – also etwa Name, Sozialversicherungsnummer oder E-Mail-Adresse. Daten, die nur in Kombination mit anderen Informationen auf eine Person schließen lassen, fallen in vielen US-Gesetzen nicht darunter.

Die DSGVO geht deutlich weiter. Sie schützt auch Daten, die eine Person nur indirekt identifizierbar machen. Eine Cookie-ID, die Ihren Browser eindeutig markiert, ist kein PII im US-Sinne, aber ein personenbezogenes Datum nach europäischem Recht. Dasselbe gilt für Geräte-Fingerprints, dynamische IP-Adressen oder Clickstream-Daten.

Für Website-Betreiber:innen in Deutschland heißt das: Orientieren Sie sich nicht an dem, was US-Tools als „anonyme Daten" labeln. Maßgeblich ist die DSGVO – und die ist strenger, als viele denken.

Welche Daten sammelt Ihre Website und welche davon sind personenbezogene Daten?

Die meisten Website-Betreiber:innen unterschätzen, wie viele Datenpunkte ihre Seite bei jedem Besuch erfasst. Hier ein Überblick über die häufigsten Kategorien, die unter die DSGVO fallen.

IP-Adressen

Ja, IP-Adressen sind personenbezogene Daten. Der EuGH hat das 2016 im sogenannten Breyer-Urteil (Rs. C-582/14) klargestellt, und zwar auch für dynamische IP-Adressen, die sich regelmäßig ändern. Die Begründung: Website-Betreiber:innen verfügen grundsätzlich über rechtliche Mittel, um über den Internetzugangsanbieter die Person hinter der IP-Adresse identifizieren zu lassen.

In der Praxis bedeutet das: Jedes Mal, wenn jemand Ihre Website aufruft, verarbeiten Sie bereits personenbezogene Daten, nämlich die IP-Adresse.

Cookie-IDs und Geräte-Fingerprints

Cookies vergeben einzigartige Kennungen, sogenannte IDs, die einen Browser über mehrere Besuche hinweg wiedererkennbar machen. Genau diese Wiedererkennbarkeit macht sie zu personenbezogenen Daten. Erwägungsgrund 30 der DSGVO nennt Online-Kennungen ausdrücklich als Beispiel.

Beim Device-Fingerprinting wird es noch heikler: Hier wird ein Profil aus Browsertyp, Bildschirmauflösung, installierten Schriftarten, Betriebssystem und weiteren Merkmalen erstellt, ganz ohne Cookies. Die Kombination ist oft so einzigartig, dass sie eine Person identifizierbar macht. Auch das sind personenbezogene Daten nach Art. 4 DSGVO.

Browser- und Gerätedaten

User-Agent-Strings, Spracheinstellungen, Zeitzone und Bildschirmauflösung sind technische Daten, die Ihr Server bei jedem Seitenaufruf automatisch empfängt. Einzeln betrachtet sind sie oft harmlos, zusammengenommen werden sie jedoch zum Fingerprint und damit zu einem identifizierbaren Profil.

Verhaltens- und Klickdaten

Welche Seiten jemand besucht, wie lange die Person dort bleibt, worauf sie klickt und wie weit sie scrollt: Diese Clickstream-Daten erstellen ein detailliertes Nutzungsprofil. Wenn sie mit einer Cookie-ID oder IP-Adresse verknüpft sind, was bei den meisten Analytics-Tools automatisch der Fall ist, handelt es sich um personenbezogene Daten.

Standortdaten

GPS-Koordinaten vom Smartphone oder grobe Standorte, die aus der IP-Adresse abgeleitet werden, fallen ebenfalls unter personenbezogene Daten. Art. 4 Nr. 1 DSGVO nennt Standortdaten sogar explizit als Beispiel für Informationen, die eine Person identifizierbar machen.

E-Mail-Adressen und Formulardaten

Das ist der offensichtlichste Fall: Kontaktformulare, Newsletter-Anmeldungen und Account-Registrierungen. Sobald Nutzer:innen ihren Namen, ihre E-Mail-Adresse oder andere Angaben eingeben, verarbeiten Sie personenbezogene Daten. In diesen Fällen ist das Thema für die meisten Website-Betreiber:innen klar. Schwieriger wird es bei Daten, die ohne aktive Eingabe gesammelt werden.

First-Party vs. Third-Party: Welches Tool sammelt was?

Der entscheidende Unterschied auf Ihrer Website: Eigene Cookies (First-Party) werden von Ihrer Domain gesetzt und bleiben dort. Drittanbieter-Cookies (Third-Party) werden von externen Diensten gesetzt, die Sie in Ihre Seite eingebunden haben, und die Daten fließen an diese Dritten ab.

Typische First-Party-Datenquellen

Ihr CMS, ob WordPress, Shopify oder TYPO3, setzt Session-Cookies für Warenkorb, Login oder Spracheinstellungen. Wenn Sie ein selbst gehostetes Analysetool wie Matomo nutzen, bleiben auch diese Daten bei Ihnen. Aber Achtung: Auch First-Party-Daten sind personenbezogene Daten, sobald sie IP-Adressen oder Nutzer:innen-IDs enthalten.

Typische Third-Party-Datenquellen

Google Analytics erfasst IP-Adressen, Cookie-IDs, Standortdaten, Geräteinformationen und Verhaltensdaten und überträgt sie an Google-Server. Der Facebook- bzw. Meta-Pixel trackt Seitenaufrufe und Conversions und sendet diese Daten an Meta. Eingebettete YouTube-Videos, Google Maps, Social-Media-Buttons, Chatbots und Schriftarten von externen Servern können ebenfalls personenbezogene Daten an Dritte übermitteln, oft schon beim bloßen Laden der Seite.

Gerade bei Google Analytics ist vielen Betreiber:innen nicht bewusst, dass die Verarbeitung personenbezogener Daten bereits beim Seitenaufruf beginnt und nicht erst dann, wenn jemand etwas anklickt oder ein Formular ausfüllt. Selbst wenn Sie die IP-Anonymisierung aktiviert haben, werden in der Standardkonfiguration weitere personenbezogene Datenpunkte wie Cookie-IDs und Geräte-Fingerprints erhoben.

Ihre Pflichten, wenn Ihre Website personenbezogene Daten verarbeitet

Sobald Ihre Website personenbezogene Daten verarbeitet, und das tut praktisch jede, greifen die Pflichten der DSGVO.

Informationspflicht nach Art. 13 DSGVO

Sie müssen Nutzer:innen vor der Datenverarbeitung darüber informieren, wer die Daten verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage dies geschieht. Ebenso müssen Sie angeben, ob Daten an Dritte oder in Drittstaaten übermittelt werden, wie lange sie gespeichert werden und welche Rechte die Nutzer:innen haben. All diese Informationen gehören in Ihre Datenschutzerklärung, und zwar konkret und verständlich formuliert, nicht als Copy-Paste-Textblock.

Sie brauchen eine Rechtsgrundlage

Die DSGVO kennt in Art. 6 sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Für Websites sind vor allem drei davon relevant.

Einwilligung (Art. 6 Abs. 1 lit. a) bedeutet, dass Nutzer:innen aktiv und informiert zustimmen. Das ist die Rechtsgrundlage für alle nicht-essenziellen Cookies, Tracking-Tools, Marketing-Pixel und Analytics-Dienste. Die Einwilligung muss vor der Datenverarbeitung erfolgen, denn ein nachträgliches „Weiter-surfen-bedeutet-Zustimmung" reicht nicht.

Vertragserfüllung (Art. 6 Abs. 1 lit. b) greift, wenn die Datenverarbeitung für die Erfüllung eines Vertrags erforderlich ist, etwa wenn ein Online-Shop die Lieferadresse verarbeitet. Für Cookies, die den Warenkorb verwalten, kann das eine Grundlage sein.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) kann herangezogen werden, wenn die Verarbeitung einem berechtigten Interesse der Website-Betreiber:innen dient und die Interessen der betroffenen Person nicht unangemessen überwiegt. Für technisch notwendige Sicherheitsmaßnahmen wie den Schutz vor DDoS-Angriffen kann das greifen. Für Marketing und Tracking reicht ein berechtigtes Interesse in der Regel jedoch nicht als Rechtsgrundlage, hier ist eine Einwilligung nötig.

Wenn Sie sich unsicher sind, gilt als Faustregel: Für alles, was über den technisch notwendigen Betrieb Ihrer Website hinausgeht, brauchen Sie in der Regel eine Einwilligung. Das TDDDG (§ 25) verschärft das zusätzlich, weil es die Einwilligung für jeden Zugriff auf das Endgerät vorschreibt, unabhängig davon, ob personenbezogene Daten betroffen sind.

Nutzerrechte ernst nehmen

Die DSGVO gibt Nutzer:innen konkrete Rechte über ihre Daten, und als Website-Betreiber:in müssen Sie diese umsetzen können.

Das Auskunftsrecht nach Art. 15 erlaubt Nutzer:innen zu erfahren, welche personenbezogenen Daten über sie gespeichert sind. Das Recht auf Berichtigung nach Art. 16 verpflichtet Sie, falsche Daten zu korrigieren. Das Recht auf Löschung nach Art. 17, oft als „Recht auf Vergessenwerden" bezeichnet, ermöglicht es Nutzer:innen, die Löschung ihrer Daten zu verlangen. Über das Widerspruchsrecht nach Art. 21 können Nutzer:innen der Verarbeitung widersprechen, insbesondere bei Direktwerbung. Und gemäß Art. 7 Abs. 3 muss der Widerruf einer Einwilligung genauso einfach sein wie deren Erteilung.

In der Praxis heißt das: Ihr Cookie-Banner muss nicht nur die Einwilligung einholen, sondern auch einen einfachen Weg bieten, diese jederzeit zu widerrufen.

Wissen Sie, was Ihre Website wirklich sammelt?

Hand aufs Herz: Die wenigsten Website-Betreiber:innen wissen genau, welche Cookies und Tracker auf ihrer Seite aktiv sind. Besonders bei WordPress, Shopify oder TYPO3 kommen durch Plugins, Themes und externe Einbindungen schnell Dutzende Cookies zusammen, viele davon ohne Ihr Wissen.

Der kostenlose Cookiebot-Scanner analysiert Ihre Website und zeigt Ihnen exakt, welche Cookies und Tracking-Technologien aktiv sind, welche davon personenbezogene Daten verarbeiten, welche Drittanbieter Daten erhalten und ob Daten in Drittstaaten übermittelt werden.

Das Ergebnis: volle Transparenz darüber, welche Daten Ihre Website verarbeitet und was Sie konkret tun müssen.

Was das konkret für Ihre Website bedeutet und wie Cookiebot Sie dabei unterstützt

Personenbezogene Daten nach der DSGVO gehen weit über das hinaus, was die meisten unter „persönliche Daten" verstehen. Ihre Website sammelt sie mit hoher Wahrscheinlichkeit, und zwar vom ersten Seitenaufruf an. Das ist kein Problem, solange Sie die Anforderungen korrekt umsetzen. Cookiebot hilft Ihnen dabei.

Automatische Erkennung. Cookiebot scannt Ihre Website regelmäßig und findet alle Cookies und Tracker, auch solche, die durch Plugins oder Drittanbieter-Skripte hinzugekommen sind, ohne dass Sie es bemerkt haben.

Blockierung vor der Einwilligung. Cookiebot sorgt dafür, dass keine nicht-essenziellen Cookies gesetzt und keine personenbezogenen Daten an Dritte übertragen werden, bevor Nutzer:innen aktiv zugestimmt haben. Das gilt für Google Analytics ebenso wie für den Meta-Pixel, YouTube-Embeds oder andere Integrationen.