{"id":6692,"date":"2026-04-06T16:13:39","date_gmt":"2026-04-06T14:13:39","guid":{"rendered":"https:\/\/www.cookiebot.com\/de\/?p=6692"},"modified":"2026-04-06T16:28:16","modified_gmt":"2026-04-06T14:28:16","slug":"personenbezogene-daten","status":"publish","type":"post","link":"https:\/\/www.cookiebot.com\/de\/personenbezogene-daten\/","title":{"rendered":"Personenbezogene Daten: Was Ihre Website wirklich sammelt und was das f\u00fcr Sie bedeutet"},"content":{"rendered":"\n

Viele Website-Betreiber:innen denken bei personenbezogenen Daten an Namen oder E-Mail-Adressen. Tats\u00e4chlich ist die Definition unter der DSGVO deutlich weiter gefasst.<\/p>\n\n\n\n

Wenn Ihre Website Cookies, Analytics-Tools oder Tracking-Technologien nutzt, verarbeiten Sie mit hoher Wahrscheinlichkeit bereits personenbezogene Daten \u2014 oft, ohne dass es sofort offensichtlich ist.<\/p>\n\n\n\n

In diesem Artikel zeigen wir Ihnen, <\/strong>welche Daten Ihre Website sammelt, wann sie als personenbezogene Daten gelten und was Sie konkret tun m\u00fcssen.<\/p>\n\n\n\n

Was sind personenbezogene Daten laut DSGVO?<\/h2>\n\n\n\n

Die DSGVO definiert den Begriff in Art. 4<\/a> bewusst sehr weit:<\/p>\n\n\n

\n
\n \n\n<\/svg>\n <\/div>\n
\n

\u201ePersonenbezogene Daten\u201c sind alle Informationen, die sich auf eine identifizierte oder identifizierbare nat\u00fcrliche Person beziehen.<\/span><\/p>\n <\/div>\n<\/div>\n\n\n\n

Das entscheidende Wort ist \u201eidentifizierbar\". Es reicht aus, dass jemand \u2013 sei es Sie selbst, ein Drittanbieter oder eine Beh\u00f6rde \u2013 die Person theoretisch identifizieren k\u00f6nnte<\/em>. Daf\u00fcr gen\u00fcgt bereits eine Zuordnung zu einer Online-Kennung, einem Standort, einer Ger\u00e4te-ID oder einem Verhaltensmuster.<\/p>\n\n\n\n

Das bedeutet: Auch Daten, die auf den ersten Blick anonym erscheinen, k\u00f6nnen unter die DSGVO fallen. Und genau hier passieren auf den meisten Websites die gr\u00f6\u00dften Fehler.<\/p>\n\n\n\n

PII vs. personenbezogene Daten: Zwei Konzepte, ein wichtiger Unterschied<\/h2>\n\n\n\n

Wenn Sie sich mit Datenschutz besch\u00e4ftigen, sto\u00dfen Sie fr\u00fch auf den englischen Begriff PII<\/strong> (Personally Identifiable Information). Wichtig zu wissen: PII und personenbezogene Daten im Sinne der DSGVO sind nicht deckungsgleich<\/strong>.<\/p>\n\n\n\n

PII ist ein Konzept aus dem US-amerikanischen Rechtsraum. Es umfasst Daten, die eine Person direkt identifizieren \u2013 also etwa Name, Sozialversicherungsnummer oder E-Mail-Adresse. Daten, die nur in Kombination mit anderen Informationen auf eine Person schlie\u00dfen lassen, fallen in vielen US-Gesetzen nicht darunter.<\/p>\n\n\n\n

Die DSGVO geht deutlich weiter. Sie sch\u00fctzt auch Daten, die eine Person nur indirekt<\/strong> identifizierbar machen. Eine Cookie-ID, die Ihren Browser eindeutig markiert, ist kein PII im US-Sinne, aber ein personenbezogenes Datum nach europ\u00e4ischem Recht. Dasselbe gilt f\u00fcr Ger\u00e4te-Fingerprints, dynamische IP-Adressen oder Clickstream-Daten.<\/p>\n\n\n\n

F\u00fcr Website-Betreiber:innen in Deutschland hei\u00dft das: Orientieren Sie sich nicht an dem, was US-Tools als \u201eanonyme Daten\" labeln. Ma\u00dfgeblich ist die DSGVO \u2013 und die ist strenger, als viele denken.<\/p>\n\n\n\n

Welche Daten sammelt Ihre Website und welche davon sind personenbezogene Daten?<\/h2>\n\n\n\n

Die meisten Website-Betreiber:innen untersch\u00e4tzen, wie viele Datenpunkte ihre Seite bei jedem Besuch erfasst. Hier ein \u00dcberblick \u00fcber die h\u00e4ufigsten Kategorien, die unter die DSGVO fallen.<\/p>\n\n\n\n

IP-Adressen<\/strong><\/h3>\n\n\n\n

Ja, IP-Adressen sind personenbezogene Daten. Der EuGH hat das 2016 im sogenannten Breyer-Urteil (Rs. C-582\/14) klargestellt, und zwar auch f\u00fcr dynamische IP-Adressen, die sich regelm\u00e4\u00dfig \u00e4ndern. Die Begr\u00fcndung: Website-Betreiber:innen verf\u00fcgen grunds\u00e4tzlich \u00fcber rechtliche Mittel, um \u00fcber den Internetzugangsanbieter die Person hinter der IP-Adresse identifizieren zu lassen.<\/p>\n\n\n\n

In der Praxis bedeutet das: Jedes Mal, wenn jemand Ihre Website aufruft, verarbeiten Sie bereits personenbezogene Daten, n\u00e4mlich die IP-Adresse.<\/p>\n\n\n\n

Cookie-IDs und Ger\u00e4te-Fingerprints<\/strong><\/h3>\n\n\n\n

Cookies vergeben einzigartige Kennungen, sogenannte IDs, die einen Browser \u00fcber mehrere Besuche hinweg wiedererkennbar machen. Genau diese Wiedererkennbarkeit macht sie zu personenbezogenen Daten. Erw\u00e4gungsgrund 30 der DSGVO nennt Online-Kennungen ausdr\u00fccklich als Beispiel.<\/p>\n\n\n\n

Beim Device-Fingerprinting wird es noch heikler: Hier wird ein Profil aus Browsertyp, Bildschirmaufl\u00f6sung, installierten Schriftarten, Betriebssystem und weiteren Merkmalen erstellt, ganz ohne Cookies. Die Kombination ist oft so einzigartig, dass sie eine Person identifizierbar macht. Auch das sind personenbezogene Daten nach Art. 4 DSGVO.<\/p>\n\n\n\n

Browser- und Ger\u00e4tedaten<\/strong><\/h3>\n\n\n\n

User-Agent-Strings, Spracheinstellungen, Zeitzone und Bildschirmaufl\u00f6sung sind technische Daten, die Ihr Server bei jedem Seitenaufruf automatisch empf\u00e4ngt. Einzeln betrachtet sind sie oft harmlos, zusammengenommen werden sie jedoch zum Fingerprint und damit zu einem identifizierbaren Profil.<\/p>\n\n\n\n

Verhaltens- und Klickdaten<\/strong><\/h3>\n\n\n\n

Welche Seiten jemand besucht, wie lange die Person dort bleibt, worauf sie klickt und wie weit sie scrollt: Diese Clickstream-Daten erstellen ein detailliertes Nutzungsprofil. Wenn sie mit einer Cookie-ID oder IP-Adresse verkn\u00fcpft sind, was bei den meisten Analytics-Tools automatisch der Fall ist, handelt es sich um personenbezogene Daten.<\/p>\n\n\n\n

Standortdaten<\/strong><\/h3>\n\n\n\n

GPS-Koordinaten vom Smartphone oder grobe Standorte, die aus der IP-Adresse abgeleitet werden, fallen ebenfalls unter personenbezogene Daten. Art. 4 Nr. 1 DSGVO nennt Standortdaten sogar explizit als Beispiel f\u00fcr Informationen, die eine Person identifizierbar machen.<\/p>\n\n\n\n

E-Mail-Adressen und Formulardaten<\/strong><\/h3>\n\n\n\n

Das ist der offensichtlichste Fall: Kontaktformulare, Newsletter-Anmeldungen und Account-Registrierungen. Sobald Nutzer:innen ihren Namen, ihre E-Mail-Adresse oder andere Angaben eingeben, verarbeiten Sie personenbezogene Daten. In diesen F\u00e4llen ist das Thema f\u00fcr die meisten Website-Betreiber:innen klar. Schwieriger wird es bei Daten, die ohne aktive Eingabe gesammelt werden.<\/p>\n\n\n\n

First-Party vs. Third-Party: Welches Tool sammelt was?<\/strong><\/h2>\n\n\n\n

Der entscheidende Unterschied auf Ihrer Website: Eigene Cookies<\/strong> (First-Party) werden von Ihrer Domain gesetzt und bleiben dort. Drittanbieter-Cookies<\/strong> (Third-Party) werden von externen Diensten gesetzt, die Sie in Ihre Seite eingebunden haben, und die Daten flie\u00dfen an diese Dritten ab.<\/p>\n\n\n\n

Typische First-Party-Datenquellen<\/strong><\/h3>\n\n\n\n

Ihr CMS, ob WordPress, Shopify oder TYPO3, setzt Session-Cookies f\u00fcr Warenkorb, Login oder Spracheinstellungen. Wenn Sie ein selbst gehostetes Analysetool wie Matomo nutzen, bleiben auch diese Daten bei Ihnen. Aber Achtung: Auch First-Party-Daten sind personenbezogene Daten, sobald sie IP-Adressen oder Nutzer:innen-IDs enthalten.<\/p>\n\n\n\n

Typische Third-Party-Datenquellen<\/strong><\/h3>\n\n\n\n

Google Analytics erfasst IP-Adressen, Cookie-IDs, Standortdaten, Ger\u00e4teinformationen und Verhaltensdaten und \u00fcbertr\u00e4gt sie an Google-Server. Der Facebook- bzw. Meta-Pixel trackt Seitenaufrufe und Conversions und sendet diese Daten an Meta. Eingebettete YouTube-Videos, Google Maps, Social-Media-Buttons, Chatbots und Schriftarten von externen Servern k\u00f6nnen ebenfalls personenbezogene Daten an Dritte \u00fcbermitteln, oft schon beim blo\u00dfen Laden der Seite.<\/p>\n\n\n\n

Gerade bei Google Analytics ist vielen Betreiber:innen nicht bewusst, dass die Verarbeitung personenbezogener Daten bereits beim Seitenaufruf beginnt und nicht erst dann, wenn jemand etwas anklickt oder ein Formular ausf\u00fcllt. Selbst wenn Sie die IP-Anonymisierung aktiviert haben, werden in der Standardkonfiguration weitere personenbezogene Datenpunkte wie Cookie-IDs und Ger\u00e4te-Fingerprints erhoben.<\/p>\n\n\n\n

Ihre Pflichten, wenn Ihre Website personenbezogene Daten verarbeitet<\/strong><\/h2>\n\n\n\n

Sobald Ihre Website personenbezogene Daten verarbeitet, und das tut praktisch jede, greifen die Pflichten der DSGVO.<\/p>\n\n\n\n

Informationspflicht nach Art. 13 DSGVO<\/strong><\/h3>\n\n\n\n

Sie m\u00fcssen Nutzer:innen vor<\/strong> der Datenverarbeitung dar\u00fcber informieren, wer die Daten verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage dies geschieht. Ebenso m\u00fcssen Sie angeben, ob Daten an Dritte oder in Drittstaaten \u00fcbermittelt werden, wie lange sie gespeichert werden und welche Rechte die Nutzer:innen haben. All diese Informationen geh\u00f6ren in Ihre Datenschutzerkl\u00e4rung, und zwar konkret und verst\u00e4ndlich formuliert, nicht als Copy-Paste-Textblock.<\/p>\n\n\n\n

Sie brauchen eine Rechtsgrundlage<\/strong><\/h3>\n\n\n\n

Die DSGVO kennt in Art. 6<\/a> sechs Rechtsgrundlagen f\u00fcr die Verarbeitung personenbezogener Daten. F\u00fcr Websites sind vor allem drei davon relevant.<\/p>\n\n\n\n

Einwilligung (Art. 6 Abs. 1 lit. a)<\/strong> bedeutet, dass Nutzer:innen aktiv und informiert zustimmen. Das ist die Rechtsgrundlage f\u00fcr alle nicht-essenziellen Cookies, Tracking-Tools, Marketing-Pixel und Analytics-Dienste. Die Einwilligung muss vor der Datenverarbeitung erfolgen, denn ein nachtr\u00e4gliches \u201eWeiter-surfen-bedeutet-Zustimmung\" reicht nicht.<\/p>\n\n\n\n

Vertragserf\u00fcllung (Art. 6 Abs. 1 lit. b)<\/strong> greift, wenn die Datenverarbeitung f\u00fcr die Erf\u00fcllung eines Vertrags erforderlich ist, etwa wenn ein Online-Shop die Lieferadresse verarbeitet. F\u00fcr Cookies, die den Warenkorb verwalten, kann das eine Grundlage sein.<\/p>\n\n\n\n

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f)<\/strong> kann herangezogen werden, wenn die Verarbeitung einem berechtigten Interesse der Website-Betreiber:innen dient und die Interessen der betroffenen Person nicht unangemessen \u00fcberwiegt. F\u00fcr technisch notwendige Sicherheitsma\u00dfnahmen wie den Schutz vor DDoS-Angriffen kann das greifen. F\u00fcr Marketing und Tracking reicht ein berechtigtes Interesse in der Regel jedoch nicht<\/strong> als Rechtsgrundlage, hier ist eine Einwilligung n\u00f6tig.<\/p>\n\n\n\n

Wenn Sie sich unsicher sind, gilt als Faustregel: F\u00fcr alles, was \u00fcber den technisch notwendigen Betrieb Ihrer Website hinausgeht, brauchen Sie in der Regel eine Einwilligung. Das TDDDG (\u00a7 25) versch\u00e4rft das zus\u00e4tzlich, weil es die Einwilligung f\u00fcr jeden Zugriff auf das Endger\u00e4t vorschreibt, unabh\u00e4ngig davon, ob personenbezogene Daten betroffen sind.<\/p>\n\n\n\n

Nutzerrechte ernst nehmen<\/strong><\/h3>\n\n\n\n

Die DSGVO gibt Nutzer:innen konkrete Rechte \u00fcber ihre Daten, und als Website-Betreiber:in m\u00fcssen Sie diese umsetzen k\u00f6nnen.<\/p>\n\n\n\n

Das Auskunftsrecht nach Art. 15<\/strong><\/a> erlaubt Nutzer:innen zu erfahren, welche personenbezogenen Daten \u00fcber sie gespeichert sind. Das Recht auf Berichtigung nach Art. 16<\/strong><\/a> verpflichtet Sie, falsche Daten zu korrigieren. Das Recht auf L\u00f6schung nach Art. 17<\/strong><\/a>, oft als \u201eRecht auf Vergessenwerden\" bezeichnet, erm\u00f6glicht es Nutzer:innen, die L\u00f6schung ihrer Daten zu verlangen. \u00dcber das Widerspruchsrecht nach Art. 21<\/strong><\/a> k\u00f6nnen Nutzer:innen der Verarbeitung widersprechen, insbesondere bei Direktwerbung. Und gem\u00e4\u00df Art. 7 Abs. 3<\/strong><\/a> muss der Widerruf einer Einwilligung genauso einfach sein wie deren Erteilung.<\/p>\n\n\n\n

In der Praxis hei\u00dft das: Ihr Cookie-Banner muss nicht nur die Einwilligung einholen, sondern auch einen einfachen Weg bieten, diese jederzeit zu widerrufen.<\/p>\n\n\n\n

Wissen Sie, was Ihre Website wirklich sammelt?<\/strong><\/h2>\n\n\n\n

Hand aufs Herz: Die wenigsten Website-Betreiber:innen wissen genau, welche Cookies und Tracker auf ihrer Seite aktiv sind. Besonders bei WordPress, Shopify oder TYPO3 kommen durch Plugins, Themes und externe Einbindungen schnell Dutzende Cookies zusammen, viele davon ohne Ihr Wissen.<\/p>\n\n\n\n

Der kostenlose Cookiebot-Scanner<\/strong> analysiert Ihre Website und zeigt Ihnen exakt, welche Cookies und Tracking-Technologien aktiv sind, welche davon personenbezogene Daten verarbeiten, welche Drittanbieter Daten erhalten und ob Daten in Drittstaaten \u00fcbermittelt werden.<\/p>\n\n\n\n

Das Ergebnis: volle Transparenz dar\u00fcber, welche Daten Ihre Website verarbeitet und was Sie konkret tun m\u00fcssen.<\/p>\n\n\n\n

Was das konkret f\u00fcr Ihre Website bedeutet und wie Cookiebot Sie dabei unterst\u00fctzt<\/h2>\n\n\n\n

Personenbezogene Daten nach der DSGVO gehen weit \u00fcber das hinaus, was die meisten unter \u201epers\u00f6nliche Daten\" verstehen. Ihre Website sammelt sie mit hoher Wahrscheinlichkeit, und zwar vom ersten Seitenaufruf an. Das ist kein Problem, solange Sie die Anforderungen korrekt umsetzen. Cookiebot hilft Ihnen dabei.<\/p>\n\n\n\n

Automatische Erkennung.<\/strong> Cookiebot scannt Ihre Website regelm\u00e4\u00dfig und findet alle Cookies und Tracker, auch solche, die durch Plugins oder Drittanbieter-Skripte hinzugekommen sind, ohne dass Sie es bemerkt haben.<\/p>\n\n\n\n

Blockierung vor der Einwilligung.<\/strong> Cookiebot sorgt daf\u00fcr, dass keine nicht-essenziellen Cookies gesetzt und keine personenbezogenen Daten an Dritte \u00fcbertragen werden, bevor Nutzer:innen aktiv zugestimmt haben. Das gilt f\u00fcr Google Analytics ebenso wie f\u00fcr den Meta-Pixel, YouTube-Embeds oder andere Integrationen.<\/p>\n\n\n

\n
\n
\n
\n

\n Finden Sie heraus, welche Daten Ihre Website sammelt <\/h2>\n
\n

Finden Sie in wenigen Minuten heraus, welche personenbezogenen Daten Ihre Website sammelt.<\/span><\/p>\n <\/div>\n

\n
\n \nWebsite kostenlos scannen<\/span><\/a>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Viele Website-Betreiber:innen denken bei personenbezogenen Daten an Namen oder E-Mail-Adressen. Tats\u00e4chlich ist die Definition unter der DSGVO deutlich weiter gefasst. Wenn Ihre Website Cookies, Analytics-Tools oder Tracking-Technologien nutzt, verarbeiten Sie mit hoher Wahrscheinlichkeit bereits personenbezogene Daten \u2014 oft, ohne dass es sofort offensichtlich ist. In diesem Artikel zeigen wir Ihnen, welche Daten Ihre Website sammelt, […]<\/p>\n","protected":false},"author":28,"featured_media":6693,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"editor_notices":[],"footnotes":""},"categories":[1],"tags":[],"class_list":["post-6692","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"acf":[],"thumbnail_status":false,"thumbnail_url":"https:\/\/www.cookiebot.com\/de\/wp-content\/uploads\/sites\/2\/2026\/04\/Hero-RGPD-1000x1000px_1200x630_ffffff.png","_links":{"self":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/posts\/6692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/comments?post=6692"}],"version-history":[{"count":0,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/posts\/6692\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/media\/6693"}],"wp:attachment":[{"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/media?parent=6692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/categories?post=6692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cookiebot.com\/de\/wp-json\/wp\/v2\/tags?post=6692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}