Welche Daten müssen geschwärzt werden? DSGVO-Übersicht
Die DSGVO verpflichtet Organisationen, personenbezogene Daten zu schützen. Wenn Dokumente weitergegeben werden — etwa bei Akteneinsicht, Auskunftsersuchen oder Veröffentlichungen — müssen personenbezogene Daten Dritter in der Regel geschwärzt werden. Welche Daten dies genau sind, hängt vom Kontext ab, aber die Grundlagen sind in der Verordnung klar geregelt.
Was bedeutet Schwärzung im DSGVO-Kontext?
Schwärzung ist die irreversible Entfernung von Text aus einem Dokument. Im Gegensatz zur Löschung des gesamten Dokuments bleibt das Dokument erhalten, aber die personenbezogenen Daten werden physisch entfernt. Dies ist relevant, wenn Dokumente aus rechtlichen Gründen aufbewahrt oder weitergegeben werden müssen, aber bestimmte Daten darin nicht zugänglich sein dürfen.
Die DSGVO nennt dies nicht ausdruecklich 'Schwaerzung', sondern regelt die Pflicht zur Datenminimierung (Art. 5 Abs. 1 lit. c), das Recht auf Loeschung (Art. 17) und die Pflicht zu technischen und organisatorischen Massnahmen (Art. 32). Schwaerzung ist eine dieser Massnahmen.
Diese Datenarten müssen geschwärzt werden
Nicht alle Daten in einem Dokument sind personenbezogen. Die folgende Tabelle zeigt die häufigsten Datenarten und ihre Einordnung:
| Datenart | Personenbezogen? | Schwärzung erforderlich? |
|---|---|---|
| ---------- | :----------------: | :------------------------: |
| Vor- und Nachname | Ja | Ja |
| E-Mail-Adresse | Ja | Ja |
| Telefonnummer | Ja | Ja |
| Wohnadresse | Ja | Ja |
| IBAN / Bankverbindung | Ja | Ja |
| Sozialversicherungsnummer | Ja | Ja |
| Geburtsdatum | Ja | Ja |
| Kreditkartennummer | Ja | Ja |
| IP-Adresse | Ja | Ja |
| Aktenzeichen (mit Personenbezug) | Ja | Ja |
| Gesundheitsdaten | Ja (besonders sensibel) | Ja |
| Berufsbezeichnung | Kontextabhängig | Eingeschränkt |
| Firmenname | Nein (juristische Person) | Nein |
| Öffentliche Adresse einer Behörde | Nein | Nein |
| Datum ohne Personenbezug | Nein | Nein |
Die Grundregel: Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO), sind personenbezogen und müssen vor unbefugter Weitergabe geschützt werden.
Wann ist Schwärzung gesetzlich vorgeschrieben?
Schwärzungspflichten ergeben sich aus verschiedenen Rechtsgrundlagen:
Art. 15 DSGVO — Auskunftsrecht: Wenn eine betroffene Person Auskunft über ihre Daten verlangt, müssen die Daten Dritter in den Dokumenten geschwärzt werden, bevor die Auskunft erteilt wird. Der BFH hat 2025 klargestellt, dass dieser Anspruch nicht wegen zu hohen Aufwands verweigert werden darf.
Art. 17 DSGVO — Recht auf Löschung: Wenn personenbezogene Daten gelöscht werden müssen, das Dokument aber aus anderen rechtlichen Gründen aufbewahrt werden muss, kann Schwärzung ein geeignetes Mittel sein.
IFG / Informationsfreiheitsgesetz: Behörden müssen personenbezogene Daten Dritter schwärzen, bevor sie Dokumente im Rahmen von Informationsfreiheitsanträgen herausgeben.
§ 203 StGB — Berufsgeheimnisträger: Rechtsanwälte, Ärzte, Steuerberater und Notare unterliegen einer gesetzlichen Verschwiegenheitspflicht. Bei Weitergabe von Dokumenten müssen sie Daten schwärzen, die unter diese Pflicht fallen.
Schwärzung vs. Löschung — was ist der Unterschied?
Löschung bedeutet, dass das gesamte Dokument oder die Datensätze unwiderruflich entfernt werden. Schwärzung bedeutet, dass das Dokument erhalten bleibt, aber bestimmte darin enthaltene personenbezogene Daten irreversibel entfernt werden.
- In der Praxis ist Schwärzung oft die bessere Wahl, wenn:
- Das Dokument aus rechtlichen Gründen aufbewahrt werden muss (z.B. Rechnungen, Verträge)
- Nur bestimmte Daten entfernt werden sollen, der Rest aber relevant bleibt
- Das Dokument im Rahmen einer Akteneinsicht oder eines Auskunftsersuchs weitergegeben wird
Automatische Erkennung personenbezogener Daten
Die manuelle Schwärzung von Dokumenten ist fehleranfällig und zeitaufwändig. Studien zeigen, dass 65% der manuell geschwärzten PDFs weiterhin versteckte Informationen enthalten. Automatische Erkennungswerkzeuge nutzen eine Kombination aus:
- Regelbasierten Mustern (Regex): Erkennen IBANs, E-Mail-Adressen, Telefonnummern, Kreditkartennummern und Sozialversicherungsnummern anhand festgelegter Formate.
- Named Entity Recognition (NER): Machine-Learning-Modelle erkennen Eigennamen, Orte, Organisationen und andere Entitäten im Textkontext.
Datenmaske kombiniert beide Ansätze und verarbeitet alle Daten ausschließlich auf EU-Servern — ohne externe KI-Dienste.
Praxistipp: So schwärzen Sie richtig
- Dokument in ein Schwärzungstool laden
- Automatische Erkennung der personenbezogenen Daten starten
- Jede Erkennung einzeln prüfen — nicht blind bestätigen
- Manuelle Schwärzungen ergänzen, wenn Daten übersehen wurden
- Geschwärztes Dokument exportieren
- Prüfen, ob die Schwärzung irreversibel ist (Text darf nicht kopierbar sein)
Wichtig: Die DSGVO fordert nicht, dass Sie jedes einzelne Datum schwärzen. Sie fordert, dass Sie die Datenminimierung beachten und nur die Daten weitergeben, die für den jeweiligen Zweck erforderlich sind.
Zuletzt aktualisiert: 13. Mai 2026
Haufige Fragen
Welche Daten müssen nach DSGVO geschwärzt werden?
Alle personenbezogenen Daten, die für den jeweiligen Zweck nicht erforderlich sind: Namen, E-Mail-Adressen, Telefonnummern, IBANs, Adressen, Sozialversicherungsnummern, Geburtsdaten und Kreditkartennummern. Auch Gesundheitsdaten und biometrische Daten fallen darunter (Art. 9 DSGVO).
Ist Schwärzung dasselbe wie Löschung?
Nein. Löschung entfernt das gesamte Dokument. Schwärzung entfernt nur die personenbezogenen Daten aus dem Dokument, während das Dokument selbst erhalten bleibt. Schwärzung ist sinnvoll, wenn das Dokument aus rechtlichen Gründen aufbewahrt werden muss.
Wann ist Schwärzung gesetzlich vorgeschrieben?
Schwärzung ist erforderlich bei Auskunftsersuchen (Art. 15 DSGVO), Informationsfreiheitsanträgen (IFG), Akteneinsicht, der Weitergabe von Dokumenten durch Berufsgeheimnisträger (§ 203 StGB) und immer dann, wenn Dokumente personenbezogene Daten Dritter enthalten und weitergegeben werden.
Kann man geschwärzte PDFs wieder sichtbar machen?
Echte Schwärzung — bei der der Text physisch aus dem PDF entfernt wird — ist irreversibel. Wird der Text jedoch nur visuell verdeckt (z.B. durch ein schwarzes Rechteck), kann er mit einfachen Mitteln wieder sichtbar gemacht werden. Verwenden Sie daher ein Tool, das den Text irreversibel entfernt.
Wie erkennt man personenbezogene Daten automatisch?
Automatische Erkennung nutzt regelbasierte Muster (Regex für IBAN, E-Mail, Telefon) und Named Entity Recognition (NER für Namen, Orte, Organisationen). Die Kombination beider Ansätze bietet die höchste Erkennungsrate.
Weitere Artikel
Kontoauszug schwärzen: Was sagt die DSGVO?
Darf ich meinen Kontoauszug beim Jobcenter schwärzen? Welche Daten dürfen geschwärzt werden, welche müssen sichtbar bleiben? DSGVO-Rechtlicher Ratgeber.
Akteneinsicht und Schwärzung: Pflichten und Praxis
Akteneinsicht und Schwärzung personenbezogener Daten: IFG-Pflichten, welche Daten geschwärzt werden müssen, und wie Behörden den Prozess automatisieren können.
Kann man geschwärzte PDFs wieder sichtbar machen?
Können geschwärzte PDFs wieder sichtbar gemacht werden? Echte vs. falsche Schwärzung, wie man es prüft und warum irreversible Schwärzung wichtig ist.