Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die den Schutz personenbezogener Daten regelt. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies können beispielsweise Name, Adresse, Telefonnummer, E-Mail-Adresse, IP-Adresse oder Standortdaten sein. Aber auch persönliche Merkmale wie Geschlecht, Alter, Familienstand oder Religion fallen darunter.
Die DSGVO definiert den Begriff der personenbezogenen Daten sehr weit. So können auch Informationen wie Kreditkartendaten, Gesundheitsdaten oder die Fahrzeugidentifikationsnummer eines Autos als personenbezogene Daten gelten. Es ist also nicht nur die direkte Identifikation einer Person relevant, sondern auch die Möglichkeit der Identifizierung durch Kombination von Informationen.
Ein Beispiel: Wenn jemand nur den Vornamen und das Geburtsdatum einer Person hat, kann er diese Person nicht eindeutig identifizieren. Wenn er jedoch auch den Wohnort der Person kennt, kann er sie möglicherweise identifizieren, da es in einem bestimmten Wohnort nur eine begrenzte Anzahl von Personen mit diesem Namen und Geburtsdatum gibt. In diesem Fall handelt es sich um personenbezogene Daten.
Die DSGVO unterscheidet zwischen zwei Arten von personenbezogenen Daten: regulären und sensiblen. Reguläre personenbezogene Daten sind alle Informationen, die sich nicht auf Rasse, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Sexualleben oder sexuelle Orientierung beziehen. Diese Daten dürfen nur verarbeitet werden, wenn sie für den Zweck, für den sie erhoben wurden, notwendig sind und die betroffene Person ihre Einwilligung gegeben hat.
Sensitive personenbezogene Daten hingegen sind Informationen, die sich auf die oben genannten sensiblen Themenbereiche beziehen. Sie sind besonders schützenswert und dürfen nur unter bestimmten Bedingungen verarbeitet werden, wie beispielsweise wenn die betroffene Person ausdrücklich eingewilligt hat oder wenn die Verarbeitung zur Ausübung von Rechten oder Pflichten im Arbeitsrecht erforderlich ist. Die Verarbeitung sensibler personenbezogener Daten ist strenger geregelt als die Verarbeitung regulärer personenbezogener Daten.
Die DSGVO regelt nicht nur die Verarbeitung personenbezogener Daten, sondern auch deren Schutz. Die Verantwortlichen müssen geeignete Maßnahmen ergreifen, um personenbezogene Daten zu schützen, beispielsweise durch den Einsatz von Verschlüsselungstechnologien oder die Verwendung von sicheren Passwörtern. Zudem haben betroffene Personen das Recht, ihre Daten einzusehen, zu korrigieren oder zu löschen.