Personenbezogene Daten, auch persönlich identifizierbare Informationen, ist ein Begriff aus dem Datenschutzrecht. Im europäischen Kontext wurde der Begriff in Artikel 4 der Datenschutz-Grundverordnung definiert. Nach der DSGVO sind personenbezogene Daten alle Informationen, anhand derer eine lebende Person identifiziert werden kann. Dazu gehören auch Teilinformationen, die zusammen zur Identifizierung einer bestimmten Person beitragen können, unabhängig davon, wo und zu welchem Zweck die Daten erhoben wurden und in welcher Form sie vorliegen.
Beispiele für personenbezogene Daten sind der Name und Vorname, die Adresse, die E-Mail-Adresse, Ausweisnummern, Standortdaten, IP-Adresse und Gesundheitsdaten eines Arztes/Krankenhauses. Die Handelsregisternummer oder die Firmen-E-Mail-Adresse werden in der Regel als nicht personenbezogene Daten betrachtet.
Erst wenn Informationen unumkehrbar anonymisiert wurden, können sie nicht mehr als personenbezogene Daten bezeichnet werden. Das bedeutet, dass Informationen, die lediglich verschlüsselt oder pseudonymisiert sind, immer noch als personenbezogene Daten gelten, wenn sie zur Rückidentifizierung einer Person verwendet werden können. Der Unterschied zwischen pseudonymisierten und wirklich anonymisierten Daten ist jedoch feinsinnig und hängt von kontextuellen Faktoren ab. Manchmal können Informationen, die unpersönlich zu sein scheinen, dennoch dazu verwendet werden, personenbezogene Informationen abzurufen, indem sie mit anderen Datensätzen verknüpft werden.