In der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sind personenbezogene Daten im Artikel 4 definiert. Danach sind personenbezogene Daten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden 'betroffene Person') beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind."
Das bedeutet, dass alle Informationen, die dazu verwendet werden können, eine Person eindeutig zu identifizieren, als personenbezogene Daten gelten. Dazu zählen beispielsweise der Name, die Adresse, die E-Mail-Adresse, das Geburtsdatum oder das Geschlecht einer Person. Aber auch Informationen wie die IP-Adresse eines Computers, die verwendete Software oder die Standortdaten eines Mobiltelefons können personenbezogene Daten sein.
Es ist wichtig zu beachten, dass auch pseudonymisierte Daten, also Daten, bei denen die Identität einer Person nicht unmittelbar ersichtlich ist, aber mithilfe von Zusatzinformationen rekonstruiert werden kann, als personenbezogene Daten gelten.
Die Verarbeitung von personenbezogenen Daten ist in der DSGVO reglementiert und darf nur in bestimmten, gesetzlich vorgeschriebenen Fällen erfolgen. Ziel der DSGVO ist es, den Schutz der Privatsphäre und die Persönlichkeitsrechte von Personen zu gewährleisten, wenn es um die Verarbeitung ihrer personenbezogenen Daten geht.