Der Begriff der personenbezogenen Daten ist der entscheidende Anknüpfungspunkt für das Datenschutzrecht. Dies wird bereits in § 1 Abs. 1 und Abs. 2 BDSG deutlich. Zweck des Bundesdatenschutzgesetzes ist es, das allgemeine Persönlichkeitsrecht des Einzelnen vor einer Beeinträchtigung durch den Umgang mit seinen personenbezogenen Daten zu schützen. Die Anwendung des BDSG setzt gemäß § 1 Abs. 2 BDSG eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten voraus. Es handelt sich damit um einen, wenn nicht den, Schlüsselbegriff des Datenschutzrechts. Daran wird sich auch unter Geltung des DS-GVO und dem neuen BDSG ab dem 25.05.2018 nichts ändern.
Eine gesetzliche Definition enthält das BDSG in § 3 Nr., 1 wonach personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person sind. Etwas konkreter wird die DS-GVO in Art. 1 Nr. 1. Im Sinne der DS-GVO bezeichnet der Begriff personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer oder einer Onlinekennung etc. identifiziert werden kann. Diesbezüglich orientiert sich die DS-GVO an Art. 2 lit a. der Datenschutz-RL aus dem Jahr 1995.
In der Praxis kann die Einordnung als personenbezogenes Datum im Einzelfall schwierig sein. Insbesondere, wenn es um die Frage einer Identifizier- bzw. Bestimmbarkeit der natürlichen Person geht. Lange umstritten war deshalb auch die Frage, ob eine dynamische IP-Adresse eines Internetnutzers im Verhältnis zu einem Website-Betreiber als personenbezogenes Datum anzusehen ist. In einer solchen Fallkonstellation besteht die Besonderheit, dass der Diensteanbieter alleine, den Nutzer nicht anhand der dynamischen IP-Adresse identifizieren kann, sondern nur unter Mitwirkung eines Dritten, nämlich des Internetproviders, der die dynamsiche IP-Adresse vergeben hat. Reicht also die Möglichkeit, dass ein Dritter den Nutzer anhand des Datums (dynamische IP-Adresse) identifizieren kann aus?
Der EuGH hat im Jahr 2016 (Urt. v. 19.10.2016 – C-582/14) zur Beantwortung der Frage noch auf einen Erwägungsgrund des Richtliniengebers zur Datenschutzrichtlinie aus 1995 zurückgegriffen. Danach sollen bei der Frage der Bestimmbarkeit alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Damit scheidet nach Auffassung des EuGH ein Personenbezug des Datums nicht bereits deshalb aus, weil sich die Mittel zur Identifizierung des Nutzers alleine in der Hand eines Dritten befinden. Als entscheidend erachtet der EuGH vielmehr, dass der Diensteanbieter etwa im Fall von Cyberattacken über rechtliche Möglichkeiten verfügt, die es ihm erlauben, die betroffene Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, zu identifizieren.