Personenbezogenen Daten und erkennbarer Personenbezug

Manche Datenschutzstreitigkeiten wirken auf den ersten Blick erstaunlich alltäglich. Jemand verliert Unterlagen, braucht eine Übersicht und greift zum naheliegenden Instrument: dem Auskunftsanspruch nach der DSGVO. Genau so begann der Fall, über den der Bundesgerichtshof am 18.12.2025 (Az.: I ZR 115/25) entschieden hat.

Der BGH hat dabei eine Linie sehr klar herausgearbeitet: Nicht jede Information, die sich auf eine Person „auswirkt“, ist schon ein personenbezogenes Datum. Entscheidend ist, ob die Information einen erkennbaren Bezug zu einer identifizierten oder identifizierbaren Person hat. Allgemeine Auswirkungen, etwa eine Tariferhöhung, können dafür zu wenig sein.

Der Sachverhalt im Detail

Ausgangslage des Versicherungsnehmers

Im Kern ging es um einen privat krankenversicherten Mann, der seine Unterlagen verloren hatte. Betroffen waren Unterlagen, die typischerweise über Jahre hinweg anfallen und die man in der Praxis häufig benötigt, etwa für Nachweise, Rückfragen oder die eigene finanzielle Planung.

Der Versicherungsnehmer wollte von seiner privaten Krankenversicherung insbesondere Kopien/Informationen zum Beitrags- und Tarifverlauf erhalten, weil ihm entsprechende Unterlagen nicht mehr vorlagen. Prozessual relevant wurde dabei vor allem ein Hilfsantrag, den er in der Berufungsinstanz ausdrücklich auf Art. 15 Abs. 1 und 3 DSGVO stützte. Damit ging es nicht darum, dass der Streit von Beginn an ausschließlich „vertraglich“ oder ausschließlich „datenschutzrechtlich“ geführt wurde, sondern darum, ob die im Hilfsantrag begehrten Angaben personenbezogene Daten sind und deshalb nach Art. 15 DSGVO herauszugeben sind.

Was genau verlangte der Mann?

Aus dem Urteil ergibt sich, dass der Kläger (im DSGVO-Hilfsantrag) eine Kopie der personenbezogenen Daten zum Beitragsverlauf verlangte, aus der insbesondere hervorgehen sollte:

• Zeitpunkt und Höhe des Alt- und Neubeitrags für jede erfolgte Beitragsanpassung,
• Zeitpunkt erfolgter Tarifwechsel unter Angabe von Herkunfts- und Zieltarif,
• Zeitpunkt erfolgter Tarifbeendigungen.

Der Antrag bezog sich dabei auf mehrere konkrete Jahre und nahm den Pflegepflichtversicherungstarif aus.

Der praktische Hintergrund ist nachvollziehbar: Wenn Unterlagen fehlen, scheint der DSGVO-Auskunftsanspruch eine „Ersatzquelle“ zu sein, um die eigene Vertrags- und Zahlungshistorie zu rekonstruieren.

Reaktion der Versicherung

Die Versicherung verweigerte die Herausgabe der begehrten Informationen und argumentierte im Kern:

• Bei Beitrags- und Tarifinformationen handele es sich nicht zwangsläufig um personenbezogene Daten
• Viele dieser Angaben beruhten auf allgemeinen Tarifen und Rechenmodellen
• Aus solchen Angaben lasse sich nicht ohne Weiteres ablesen, welche konkrete Person betroffen sei

Die Versicherung stellte also nicht pauschal in Abrede, dass es personenbezogene Daten im Versicherungsverhältnis gibt. Sie bestritt vielmehr, dass gerade die vom Versicherungsnehmer verlangten tarif- und beitragsbezogenen Informationen in der verlangten Form zwingend personenbezogen seien.

Vorinstanzen und Prozessstand

Das Amtsgericht wies die auf Auskunft und Schadensersatz gerichtete Klage zunächst ab. In der Berufungsinstanz änderte der Kläger seine Anträge teilweise und ergänzte den auf Art. 15 Abs. 1 und 3 DSGVO gestützten Hilfsantrag. Das Landgericht Leipzig als Berufungsgericht gab diesem Hilfsantrag statt und verurteilte die Versicherung zur Zurverfügungstellung einer Kopie der (aus seiner Sicht) personenbezogenen Daten zum Beitragsverlauf.

Der BGH hob das Berufungsurteil auf und verwies die Sache zur neuen Verhandlung und Entscheidung an das Landgericht als Berufungsgericht zurück. Die Rückverweisung ist an dieser Stelle besonders wichtig, weil sie zeigt:

• Der BGH hat nicht einfach „abschließend“ jede Einordnung verneint
• Er hat dem Berufungsgericht aufgegeben, die entscheidenden tatsächlichen Fragen sauber festzustellen
• Im Zentrum stand die dogmatische Leitplanke: Ein Personenbezug braucht eine tragfähige Verknüpfung mit einer identifizierten oder identifizierbaren Person

Der rechtliche Rahmen: Was sind „personenbezogene Daten“?

Warum diese Frage in der Praxis so entscheidend ist

Ob eine Information personenbezogen ist, ist keine akademische Spitzfindigkeit. Davon hängt ab, ob die DSGVO überhaupt anwendbar ist und ob insbesondere ein Auskunftsanspruch besteht.

Wenn eine Information nicht personenbezogen ist, gilt:

• Der datenschutzrechtliche Auskunftsanspruch greift hierfür typischerweise nicht
• Der Anspruch kann dann nicht dazu dienen, allgemeine Sachinformationen zu erlangen, die keine hinreichende Personenbindung haben

Der BGH hat genau an diesem Scharnier angesetzt.

Bezug zu einer Person: „über“ eine Person

Der BGH macht deutlich, dass es nicht genügt, dass eine Information „irgendwie“ im Zusammenhang mit einer Person steht oder Folgen für sie hat. Es muss sich um eine Information „über“ eine Person handeln.

Diese „Über“-Beziehung ist nach den Entscheidungsgründen anhand klassischer Kriterien zu prüfen, die sich in der datenschutzrechtlichen Diskussion etabliert haben:

• Inhalt der Information
• Geht es nach ihrem Aussagegehalt um Merkmale, Verhalten, Status oder Umstände einer Person?
• Zweck der Information
• Wird sie gerade dazu verarbeitet, etwas über eine Person festzustellen oder Entscheidungen über sie vorzubereiten?
• Auswirkungen der Information
• Führt sie in einer Weise zu Konsequenzen, dass die Information dadurch mit einer bestimmten Person verknüpft wird?

Entscheidend ist dabei der Punkt, den der BGH besonders herausstellt: Auswirkungen allein reichen nicht automatisch. Eine Information kann Auswirkungen auf sehr viele Personen haben, ohne dass sie dadurch zur Information „über“ eine konkrete Person wird.

Identifiziert oder identifizierbar: direkte und indirekte Bestimmbarkeit

Ein personenbezogenes Datum liegt nur dann vor, wenn sich die Information auf eine identifizierte oder identifizierbare natürliche Person bezieht.

Wichtig ist hier die Differenzierung:

• Identifiziert bedeutet, dass die Person bereits feststeht, etwa weil die Information direkt den Namen oder eine eindeutige Kennung enthält
• Identifizierbar bedeutet, dass die Person bestimmbar ist, auch wenn sie nicht unmittelbar genannt ist

Der BGH betont, dass auch indirekte Identifizierbarkeit ausreichen kann. Gleichzeitig verlangt er aber eine belastbare Begründung, warum und wie eine Identifizierbarkeit konkret gegeben sein soll. Ein vages „könnte vielleicht“ genügt nicht.

Entscheidungsgründe des BGH: Warum der Personenbezug hier nicht ohne Weiteres vorlag

Der Kern der BGH-Argumentation

Der BGH hat dem Berufungsgericht deutlich gemacht, dass es die zentrale Prüfungsstufe nicht überspringen darf:

• Sind die begehrten Informationen so beschaffen, dass sie eine konkrete Person erkennen lassen?
• Oder sind es in erster Linie tarifliche, allgemeine Informationen, die zwar den Preis der Versicherung beschreiben, aber nicht die Person dahinter?

Der BGH formuliert den Maßstab sehr deutlich:

• Der Umstand, dass eine Information einen Sachverhalt betrifft, der Auswirkungen auf eine bestimmte Person hat, reicht für die Annahme eines personenbezogenen Datums allein nicht aus
• Vielmehr muss die Information aufgrund ihres Inhalts, Zwecks oder ihrer Auswirkungen mit einer Person so verknüpft sein, dass diese identifiziert oder identifizierbar wird

Damit rückt der BGH die „Verknüpfung“ in den Mittelpunkt. Eine Auswirkung kann eine solche Verknüpfung begründen, muss es aber nicht.

Anwendung auf Tarif- und Beitragsinformationen

Tarife als Preis- und Produktinformationen

Tarife in der privaten Krankenversicherung sind typischerweise Produkt- und Preisstrukturen. Der BGH stellt sinngemäß heraus, dass Angaben wie:

• Höhe eines Beitrags für einen Tarif
• Zeitpunkt einer Tariferhöhung
• Ausgestaltung tariflicher Regelwerke

zunächst einmal beschreiben, welcher Preis für welche Art von Versicherungsschutz verlangt wird. Das sind Informationen über das Versicherungsprodukt und seine Kalkulation, nicht zwingend über die Person.

Allgemeine Rechenmodelle als typischer Hintergrund

Ein zentraler Gesichtspunkt war, dass Beitragsanpassungen und tarifliche Änderungen häufig auf allgemeinen versicherungsmathematischen Modellen beruhen, also auf Rechenparametern, die für Kollektive und Risikogruppen kalkuliert werden.

Der BGH zieht daraus eine naheliegende Konsequenz:

• Wenn eine Information primär ein allgemeines Kalkulations- oder Tarifgeschehen abbildet
• und daraus nicht erkennbar wird, welche konkrete Person in welchem Zeitraum betroffen war
• dann kann der personenbezogene Bezug fehlen

Das bedeutet nicht, dass Versicherungsverhältnisse „datenschutzfrei“ wären. Es bedeutet aber, dass man genau hinsehen muss, welche Informationen verlangt werden.

Warum „individuell betroffen“ nicht automatisch „personenbezogen“ ist

Hier liegt der für die Praxis wohl wichtigste Punkt.

Viele Informationen im Alltag sind „für jemanden relevant“ oder „betreffen jemanden“. Eine Tariferhöhung betrifft den Versicherungsnehmer wirtschaftlich. Das ist unstreitig. Der BGH sagt jedoch sinngemäß:

• Eine Betroffenheit im Sinne von „das wirkt sich finanziell aus“ ist noch nicht die datenschutzrechtliche Verknüpfung, die Art. 4 Nr. 1 DSGVO verlangt

Denn andernfalls würde praktisch jede Markt- oder Preisänderung, die sich bei einem Verbraucher niederschlägt, zu personenbezogenen Daten führen. Das würde den Begriff erheblich ausweiten und das Datenschutzrecht in Bereiche ziehen, in denen es nicht als Primärinstrument gedacht ist.

Der BGH setzt deshalb eine Schwelle: Die Information muss die Person identifizierbar machen oder zumindest spezifisch „über“ sie aussagen.

Der entscheidende Angriffspunkt: fehlende Feststellungen des Berufungsgerichts

Der BGH hat die vorinstanzliche Entscheidung auch deshalb nicht stehen lassen, weil das Berufungsgericht aus Sicht des BGH zu wenig konkret festgestellt hatte.

Der BGH bemängelte sinngemäß:

• Es sei nicht hinreichend festgestellt, dass die begehrten Informationen tatsächlich Aufschluss darüber geben, wann eine bestimmte natürliche Person nach welchem Tarif versichert war oder welche Beiträge sie gezahlt hat
• Das Berufungsgericht habe sich zu stark auf abstrakte Erwägungen gestützt, ohne die tatsächliche Informationsqualität der verlangten Daten sauber zu klären

Gerade an dieser Stelle zeigt sich die prozessuale Bedeutung: Wenn das Gericht nicht feststellt, ob die Daten in der konkreten Ausgestaltung eine Person identifizierbar machen, fehlt die Grundlage für die Einordnung als personenbezogen.

„Nicht ausgeschlossen“ genügt nicht

Besonders deutlich ist die Kritik des BGH daran, wenn Vorinstanzen Formulierungen verwenden wie „nicht ausgeschlossen“. Der BGH hält diese Art von Argumentation für zu unbestimmt.

Wenn Identifizierbarkeit angenommen werden soll, braucht es nachvollziehbare Überlegungen, etwa:

• Welche konkreten Merkmale enthalten die Daten?
• Welche Kombinationen sind möglich?
• Welche typischen Zusatzkenntnisse sind realistisch zu berücksichtigen?
• Wie wahrscheinlich ist eine Zuordnung im konkreten Verarbeitungskontext?

Ohne solche Feststellungen bleibt die Annahme eines Personenbezugs zu vage.

Besonderer Schwerpunkt: Schreiben des Versicherungsnehmers und „Folgedaten“

Ein weiterer zentraler Teil der Entscheidungsgründe betrifft den Umstand, dass Tarifwechsel und Tarifbeendigungen teilweise durch Erklärungen des Versicherungsnehmers ausgelöst werden können.

Schreiben des Betroffenen als personenbezogene Daten

Der BGH stellt dabei klar, dass Schreiben der betroffenen Person an den Verantwortlichen typischerweise ihrem gesamten Inhalt nach als personenbezogene Daten einzustufen sein können. Der personenbezogene Charakter liegt schon darin, dass:

• die Person eine bestimmte Erklärung abgegeben hat
• die Erklärung aus ihrer Sphäre stammt
• die Erklärung Ausdruck einer persönlichen Entscheidung oder Kommunikation ist

Aber: Folgen einer Erklärung sind nicht automatisch ebenfalls personenbezogen

Der BGH zieht dann jedoch die entscheidende Grenze:

• Aus dem Umstand, dass eine Erklärung personenbezogen ist, folgt nicht automatisch, dass jede daraus entstehende Folgeinformation ebenfalls personenbezogen ist

Im konkreten Kontext bedeutet das:

• Ein Tarifwechsel kann auf einer Erklärung des Versicherungsnehmers beruhen
• Der Tarifwechsel selbst kann aber als Reaktion aus der Sphäre des Versicherungsunternehmens bewertet werden
• Schreiben des Verantwortlichen an die betroffene Person unterfallen dem Auskunftsanspruch nur insoweit, als sie Informationen über die betroffene Person enthalten

Das ist eine differenzierte Sichtweise: Die DSGVO soll nicht dazu führen, dass jede „Reaktionskette“ im Unternehmen datenschutzrechtlich komplett auskunftspflichtig wird, wenn die Folgeinformation nicht hinreichend personenbeziehbar ist.

„Individuell“ ist nicht gleich „identifizierend“

Das Berufungsgericht hatte offenbar argumentiert, Tarifwechsel und Tarifbeendigungen geschähen individuell und nicht einheitlich. Daraus leitete es eine gewisse Möglichkeit der Bestimmbarkeit ab.

Der BGH hält diese Ableitung für zu kurz gegriffen:

• Auch wenn Vorgänge individuell sind, ist nicht automatisch erklärt, wie dadurch eine Person identifizierbar wird
• Die Annahme, eine Identifizierbarkeit erscheine „nicht ausgeschlossen“, bleibt ohne konkrete Begründung unklar

Damit verschiebt der BGH den Fokus von bloßer Individualität hin zu einer konkreten Identifizierbarkeit.

Was bedeutet das Urteil für den DSGVO-Auskunftsanspruch?

Der Auskunftsanspruch ist kein „Universalwerkzeug“

Das Urteil macht deutlich, dass der Auskunftsanspruch nach DSGVO nicht dazu bestimmt ist, allgemeine Sachverhaltsrekonstruktionen zu ermöglichen, wenn der Personenbezug fehlt. Er dient in erster Linie dazu, Transparenz über die Verarbeitung personenbezogener Daten herzustellen.

Wenn die begehrten Informationen in Wahrheit vor allem Folgendes sind:

• allgemeine Tarif- und Preisstrukturen
• abstrakte Beitragsanpassungsmechanismen
• modellbasierte Kalkulationsdaten

dann kann es sein, dass sie nicht oder nicht vollständig vom Auskunftsanspruch erfasst sind.

Gleichzeitig bleibt Raum für personenbezogene Auskunft

Der BGH hat nicht gesagt, dass Beitrags- oder Tarifinformationen niemals personenbezogen sein können. Der entscheidende Punkt ist die konkrete Ausgestaltung.

Personenbezogen können solche Informationen typischerweise sein, wenn sie beispielsweise:

• mit einer konkreten Vertrags- oder Kundennummer in einer Weise verknüpft sind, dass die Zuordnung zur Person naheliegt
• den konkreten Verlauf eines individuellen Versicherungsverhältnisses abbilden
• Aussagen darüber enthalten, wann eine bestimmte Person welchen Tarif hatte oder welche konkreten Beiträge sie zahlte

Der BGH verlangt letztlich eine saubere Trennung zwischen:

• Tarif als allgemeines Produktmerkmal
• Tarifverlauf als personenbezogene Vertrags- und Zahlungshistorie

Praxisfolgen: Worauf Sie sich einstellen sollten

Für Betroffene, die Auskunft verlangen möchten

Wenn Sie als Betroffener eine DSGVO-Auskunft nutzen möchten, sollten Sie den Personenbezug der begehrten Information gedanklich vorab prüfen.

Hilfreich kann sein:

• Die Auskunft gezielt auf Daten zu richten, die typischerweise eine eindeutige Zuordnung ermöglichen
• Zu erläutern, warum die verlangten Informationen im konkreten System des Unternehmens als „über Sie“ gespeichert sind
• Nicht nur abstrakte Tarifdaten zu verlangen, sondern die individuelle Vertrags- und Beitragszuordnung zu adressieren, soweit diese tatsächlich als personenbezogene Daten verarbeitet wird

Für Unternehmen, die Auskunftsanträge bearbeiten müssen

Das Urteil kann Unternehmen Argumentationshilfe bieten, wenn Auskunftsbegehren sehr weit gefasst sind und ersichtlich auf allgemeine Informationen zielen.

In der Praxis kann sich anbieten:

• Den Antrag nach Datenkategorien zu trennen
• personenbezogene Daten herausgeben
• nicht personenbezogene Tarif- oder Modellinformationen begründet abgrenzen
• Die Ablehnung nicht pauschal zu formulieren, sondern nachvollziehbar zu erläutern, warum die verlangten Angaben keinen hinreichenden Personenbezug haben
• Die eigenen Datenbestände so zu verstehen, dass klar wird, wo tatsächlich personenbezogene Zuordnungen entstehen und wo nicht

Gerade im Streitfall zeigt sich, dass Gerichte sehr genau darauf achten, ob Identifizierbarkeit tragfähig dargelegt ist. Eine saubere Dokumentation der Datenstruktur kann hier im Konfliktfall hilfreich sein.

Fazit: Der BGH schärft die Konturen des Personenbezugs

Der BGH betont mit Urteil vom 18.12.2025 – I ZR 115/25, dass personenbezogene Daten nach der DSGVO einen erkennbaren Bezug zu einer identifizierten oder identifizierbaren Person voraussetzen. Informationen, die lediglich einen Sachverhalt betreffen, der sich auf eine Person auswirkt, reichen dafür nicht ohne Weiteres aus.

Für die Praxis bedeutet das:

• Der DSGVO-Auskunftsanspruch bleibt ein starkes Instrument
• Er greift jedoch nur dort, wo tatsächlich personenbezogene Daten betroffen sind
• Tarif- und Beitragsinformationen müssen sorgfältig danach unterschieden werden, ob sie allgemeine Preis- und Produktinformationen oder konkrete, einer Person zuordenbare Vertragsinformationen darstellen

Wenn Sie eine DSGVO-Auskunft durchsetzen oder als Unternehmen rechtssicher bearbeiten möchten, kann eine genaue juristische Einordnung entscheidend sein, weil die Grenzziehung in der Praxis häufig vom konkreten Datenformat und der tatsächlichen Zuordnungslogik abhängt.