Personenbezogene Daten sind gemäß der EU-Datenschutzgrundverordnung (DSGVO) Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Eine identifizierbare Person ist jemand, der direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Identifikationsnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Zu den personenbezogenen Daten gehören beispielsweise der Name, die Anschrift, die E-Mail-Adresse, die Telefonnummer, das Geburtsdatum sowie die IP-Adresse. Auch Fotos, Videos oder Gesundheitsdaten können personenbezogene Daten sein, wenn sie einer bestimmten Person zugeordnet werden können.
Personenbezogene Daten können auf unterschiedliche Weise erhoben, verarbeitet und genutzt werden. So können sie beispielsweise von einer Person selbst mitgeteilt werden, etwa bei der Eröffnung eines Online-Accounts oder bei der Beantragung eines Kredits. Sie können aber auch von Dritten erhoben werden, etwa durch die Nutzung von Kameras in öffentlichen Verkehrsmitteln oder durch das Scannen von Personalausweisen.
Ein wichtiger Aspekt der DSGVO ist die Transparenz bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Betroffene Personen müssen daher darüber informiert werden, welche Daten von ihnen erhoben werden, zu welchem Zweck diese verarbeitet werden und an wen sie weitergegeben werden. Zudem haben sie das Recht auf Auskunft über die von ihnen gespeicherten Daten, das Recht auf Berichtigung unrichtiger Daten und das Recht auf Löschung ihrer Daten.
Ein weiteres wichtiges Element der DSGVO ist der Schutz personenbezogener Daten. Unternehmen und Organisationen, die personenbezogene Daten erheben, verarbeiten und nutzen, müssen angemessene technische und organisatorische Maßnahmen ergreifen, um einen unbefugten Zugriff, Veränderung, Verbreitung oder Löschung der Daten zu verhindern. Dazu gehört beispielsweise die Verschlüsselung sensibler Daten, die regelmäßige Überprüfung der Sicherheitssysteme und die Schulung des Personals in Bezug auf Datenschutz und Sicherheit.
Ein weiteres wichtiges Konzept der DSGVO ist die Verantwortlichkeit. Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, sind verantwortlich dafür, dass sie ihre Pflichten im Sinne der DSGVO erfüllen und dass sie bei einem Verstoß gegen die Regelungen angemessen bestraft werden können. Dazu gehört auch die Dokumentation aller Schritte bei der Verarbeitung personenbezogener Daten, um im Falle einer Überprüfung durch die Aufsichtsbehörden nachweisen zu können, dass die Regelungen eingehalten wurden.
Es gibt auch bestimmte Branchen, wie zum Beispiel die Medizinische, die besondere Vorschriften haben, die sie beachten müssen, um sicherzustellen, dass die Privatsphäre und die Sicherheit der personenbezogenen Daten der Patienten gewahrt bleibt.
Insgesamt hat die DSGVO das Ziel, die Privatsphäre und die Sicherheit personenbezogener Daten zu schützen und sicherzustellen, dass diese Daten nur für berechtigte Zwecke verarbeitet werden. Unternehmen und Organisationen müssen sich an diese Regelungen halten und sicherstellen, dass sie ihre Pflichten erfüllen, um Strafen zu vermeiden und das Vertrauen der Öffentlichkeit in die Verarbeitung personenbezogener Daten zu wahren.