Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Artikel 4 Nr. 1 Datenschutz-Grundverordnung).
Zwischen einer Information auf der einen und einer Person auf der anderen Seite muss also eine unmittelbare oder mittelbare Verbindung herstellbar sein.
Eine unmittelbare Verbindung ist beispielsweise mit dem Namen, der Anschrift oder dem Geburtsdatum gegeben. Mittelbare Verbindung sind beispielsweise Telefon-, Matrikel- und Sozialversicherungsnummern oder Online-Kennungen wie IP-Adressen und Cookie-Kennungen. Ausreichend ist dabei, dass die Information die Identifizierung der betroffenen Person theoretisch ermöglicht. Es kommt nicht darauf an, ob die Person tatsächlich identifiziert wird.
Die Informationen müssen sich auf einen lebenden Menschen beziehen.
Einzelangaben über juristische Personen, wie Kapitalgesellschaften oder eingetragene Vereine, sind prinzipiell keine personenbezogenen Daten.
Eine Ausnahme besteht dann, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen (Beispiel: Max Müller GmbH, GF: Max Müller).
Besondere Kategorien personenbezogener Daten werden nach Artikel 9 DSGVO besonders geschützt. Das sind zum Beispiel Gesundheitsdaten, Daten über die ethnische Herkunft oder religiöse bzw. weltanschauliche Überzeugungen.