Was sind persönlich identifizierbare Informationen (PII)?

Persönlich identifizierbare Informationen (PII) sind alle Informationen, die eine bestimmte Person identifizieren können, entweder allein oder in Kombination mit anderen Daten. Gängige Beispiele sind der vollständige Name, die nationale ID-Nummer, die Reisepassnummer, die E-Mail-Adresse, die Telefonnummer, Kontokennungen und in einigen Zusammenhängen die IP-Adresse, die Cookie-ID, Standortdaten oder biometrische Informationen. Die genaue Grenze hängt vom Kontext ab, da einige Datenpunkte eine Person sofort identifizieren, während andere dies nur tun, wenn sie mit anderen Datensätzen verknüpft werden.

In diesem Zusammenhang ist auch die Terminologie von Bedeutung. In der US-amerikanischen Sicherheitspraxis wird häufig der Begriff PII verwendet. Nach der Datenschutz-Grundverordnung ist der umfassendere und wichtigere Rechtsbegriff persönliche Daten. Die Europäische Kommission erklärt, dass zu den personenbezogenen Daten alle Informationen gehören, die sich auf eine bestimmte oder bestimmbare Person beziehen, und dass mehrere getrennte Informationen immer noch als personenbezogene Daten gelten können, wenn sie zur Identifizierung einer Person kombiniert werden.

Für Unternehmen ist die praktische Schlussfolgerung einfach: Wenn die Daten auf eine reale Person hinweisen, zu ihrer Identifizierung beitragen oder mit anderen Informationen kombiniert werden können, sollten sie als sensible Geschäftsdaten behandelt werden.

Direkte vs. Indirekte Identifikatoren

Nicht alle Identifikatoren funktionieren auf dieselbe Weise. Einige identifizieren eine Person direkt. Andere tun dies nur in Verbindung mit zusätzlichen Informationen.

Ein direkter Bezeichner verweist in der Regel ohne viel zusätzlichen Kontext auf eine Person. Beispiele hierfür sind ein vollständiger Name in Verbindung mit einem Kundenkonto, eine Reisepassnummer, eine Steuernummer oder eine Unternehmens-E-Mail, die einem bestimmten Mitarbeiter zugeordnet ist. Ein indirekter Bezeichner mag auf den ersten Blick weniger sensibel erscheinen. Beispiele hierfür sind IP-Adresse, Cookie-ID, Standortverlauf, Geburtsdatum, Berufsbezeichnung, Geräte-ID oder Kundennummer. Für sich allein genommen können diese Felder nicht immer jemanden identifizieren. Im Kontext sind sie es jedoch oft. Die Website ICO betont genau diesen Punkt: Informationen können auch dann personenbezogene Daten sein, wenn sie eine Person indirekt identifizieren.

Dies ist wichtig, weil viele Unternehmen “gewöhnliche” technische oder betriebliche Daten unterschätzen. Ein einzelner Protokolleintrag mag nicht sensibel erscheinen. Eine Sammlung von Protokolleinträgen, die mit dem Kontoverhalten, den Gerätedetails und dem Standort verknüpft sind, kann jedoch sehr identifizierend sein. Aus diesem Grund hängt gute Datenschutz- und Sicherheitsarbeit vom Kontext ab, nicht nur von offensichtlichen Feldern wie Namen oder ID-Nummern. Die PII-Richtlinien des NIST verfolgen denselben kontextbasierten Ansatz.

PII vs. Persönliche Daten vs. Sensible Daten

Diese Begriffe sind zwar verwandt, aber nicht identisch.

PII ist ein weit gefasster Begriff für Cybersicherheit und Informationssicherheit. Personenbezogene Daten sind der Kernbegriff der DSGVO und werden in vielen Geschäftskontexten weiter gefasst. Nach der Datenschutz-Grundverordnung müssen Informationen nicht direkt eine Person benennen, um als solche zu gelten. Wenn sie sich auf eine identifizierbare natürliche Person beziehen, können sie dennoch personenbezogene Daten sein.

Dann gibt es noch die sensiblen Daten, die sich in der Regel auf Daten beziehen, die bei falscher Handhabung ein höheres Risiko darstellen. Im Rahmen der Datenschutz-Grundverordnung werden bestimmte besondere Kategorien personenbezogener Daten stärker geschützt, z. B. Gesundheitsdaten, biometrische Daten, die zur Identifizierung verwendet werden, politische Meinungen, religiöse Überzeugungen und Informationen über das Sexualleben oder die sexuelle Ausrichtung. Auch außerhalb dieser formalen Kategorien behandeln Unternehmen Finanzdaten, Identitätsdokumente und Authentifizierungsdaten oft als hochsensibel, da ein Missbrauch unmittelbaren Schaden verursachen kann.

Diese Unterscheidung ist für die Governance von Bedeutung. Die E-Mail-Adresse eines Newsletters und der Scan eines Reisepasses stellen nicht dasselbe Betriebsrisiko dar. Beide können personenbezogene Daten sein. Eines erfordert in der Regel viel strengere Kontrollen.

Warum PII für Unternehmen wichtig sind

PII sind wichtig, weil sie an der Schnittstelle von Vertrauen, Betrug, Sicherheit und Compliance liegen. Wenn Kunden- oder Mitarbeiterdaten offengelegt werden, können Angreifer sie für den Diebstahl von Zugangsdaten, die Identitätsverschleierung, den Missbrauch von Kontenwiederherstellung, Phishing oder Identitätsbetrug nutzen. Der ENISA-Überblick über Identitätsdiebstahl beschreibt Identitätsdiebstahl als die unerlaubte Nutzung der PII eines Opfers, um sich als diese Person auszugeben und finanzielle oder andere Vorteile zu erlangen.

Das ist auch deshalb wichtig, weil das Datenschutzrecht weit gefasst ist. Sobald eine Organisation in Europa personenbezogene Daten verarbeitet, kann die Datenschutz-Grundverordnung Anwendung finden. Die Leitlinien der Europäischen Kommission machen deutlich, dass personenbezogene Daten direkte und indirekte Identifikatoren umfassen und dass mehrere Datenelemente zu personenbezogenen Daten werden können, wenn sie miteinander verknüpft werden.

Für Unternehmensleiter sind nicht nur die Geldstrafen das eigentliche Problem. Es sind die Kosten, die durch den Verlust der Kontrolle über das Vertrauen der Kunden, die Reaktionszeit auf Vorfälle, den Aufwand für den Support, die rechtliche Überprüfung, die Meldung von Sicherheitsverletzungen und interne Störungen entstehen. Der Schutz von personenbezogenen Daten ist daher kein Randthema für Compliance-Teams. Er ist Teil der grundlegenden betrieblichen Widerstandsfähigkeit.

Risiken und Angriffsmuster in der realen Welt

Angreifer haben es auf personenbezogene Daten abgesehen, weil sie wiederverwendbar sind. Ein Passwort kann geändert werden. Ein Geburtsdatum, eine Privatadresse, eine Identitätsnummer oder medizinische Daten können dies oft nicht.

Ein gängiges Angriffsmuster ist Phishing. Ein Krimineller gibt sich als vertrauenswürdige Marke oder interne Kontaktperson aus und bringt eine Person dazu, Anmeldedaten oder persönliche Daten preiszugeben. Ein zweites Muster ist das "Credential Stuffing" und die Übernahme von Konten, bei dem ungeschützte E-Mail-Adressen und wiederverwendete Passwörter gegen Anmeldesysteme verwendet werden. Ein drittes Muster ist das automatisierte Harvesting, bei dem Bots öffentliche Profile, Formulare, durchgesickerte Verzeichnisse oder unzureichend geschützte Endpunkte nach persönlichen Informationen durchsuchen. Die ENISA-Materialien zu Datenschutzverletzungen und Identitätsdiebstahl stellen beide eine Verbindung zwischen ungeschützten persönlichen Daten und Betrug und Identitätsmissbrauch her.

Ein noch schädlicheres Szenario ist ein groß angelegter Verstoß, bei dem personenbezogene Daten einer besonderen Kategorie oder mit hoher Sensibilität betroffen sind. Der Fall Vastaamo in Finnland wurde zu einem wichtigen europäischen Beispiel, weil die Angreifer nicht nur Patientendaten stahlen. Sie nutzten sie auch zur Erpressung von Einzelpersonen, was zeigt, wie schwerwiegend die Auswirkungen sind, wenn sehr persönliche Informationen offengelegt werden.

Risiken und Folgen der Offenlegung von personenbezogenen Daten

Wenn personenbezogene Daten offengelegt werden, gehen die Folgen oft über den ersten Vorfall hinaus. Das unmittelbare Risiko kann Betrug, Phishing oder unbefugter Zugriff sein. Das längerfristige Risiko besteht darin, dass dieselben Daten weiter im Umlauf sind und in späteren Angriffen wiederverwendet werden.

Die NIST-Leitlinien für personenbezogene Daten stellen die Vertraulichkeit in den Mittelpunkt, da ein unsachgemäßer Zugriff, eine unsachgemäße Nutzung und eine unsachgemäße Offenlegung Einzelpersonen und Organisationen konkreten Schaden zufügen können. Die ENISA-Methode zum Schweregrad von Datenschutzverletzungen hebt auch die wahrscheinlichen Auswirkungen wie Identitätsdiebstahl, Betrug, Demütigung und Rufschädigung nach einer Verletzung des Schutzes personenbezogener Daten hervor.

Für Unternehmen können die Folgeschäden ebenso gravierend sein. Support-Teams müssen sich um die betroffenen Benutzer kümmern. Sicherheitsteams müssen Nachforschungen anstellen. Rechtsteams müssen möglicherweise Benachrichtigungspflichten prüfen. Die Geschäftsleitung muss Fragen von Kunden und Partnern beantworten. Eine Verletzung des Schutzes personenbezogener Daten ist selten nur ein technisches Ereignis. Sie wird schnell zu einem betrieblichen und rufschädigenden Ereignis.

Wie Unternehmen PII schützen sollten

Der stärkste Schutz beginnt mit der Datenminimierung. Wenn Sie keine unnötigen personenbezogenen Daten erheben, müssen Sie diese später auch nicht sichern, aufbewahren, klassifizieren oder löschen. Der Leitfaden des EDPB zu Persönliche Daten sichern unterstützt diesen risikobasierten Ansatz und erinnert die Organisationen daran, die Schutzmaßnahmen an den Kontext und das Risiko der Verarbeitung anzupassen.

Als nächstes kommt die Zugangskontrolle. Mitarbeiter sollten nur auf die persönlichen Daten zugreifen, die sie für ihre Aufgabe benötigen. Die Authentifizierung sollte streng sein, und sensible Arbeitsabläufe sollten überwacht werden. Auch die Verschlüsselung ist wichtig, sowohl bei der Übertragung als auch im Ruhezustand, insbesondere bei Datenbanken, Backups, exportierten Dateien und Verwaltungssystemen. Die PII-Richtlinien des NIST empfehlen Schutzmaßnahmen, die auf die Sensibilität und den Kontext der betreffenden Daten zugeschnitten sind.

Auch die Aufbewahrung ist wichtig. Viele Unternehmen speichern personenbezogene Daten länger, als sie müssten. Das erhöht das Risiko, ohne einen geschäftlichen Mehrwert zu schaffen. Good Governance bedeutet, dass man weiß, was man sammelt, wo es gespeichert ist, wer darauf zugreifen kann, wozu es gebraucht wird und wann es gelöscht werden sollte.

PII-Schutz auf Websites und Formularen

Für Websites sind einige der risikoreichsten Momente der Zeitpunkt der Datenerfassung. Registrierungsformulare, Anmeldeseiten, Kontaktformulare, Kaufabwicklungen, Support-Portale und Seiten zur Wiederherstellung von Konten verarbeiten personenbezogene Daten oft direkt.

Aus diesem Grund ist der Schutz von Webseiten wichtig. Unternehmen sollten den Transport sichern, Eingaben validieren, verdächtiges Verhalten sorgfältig protokollieren und unnötige Datenerfassung einschränken. Außerdem sollten sie Formulare und Anmeldevorgänge gegen automatischen Missbrauch schützen. Bots nutzen öffentliche Formulare häufig für Scraping, gefälschte Anmeldungen, Angriffe auf Anmeldedaten und Missbrauch zur Wiederherstellung von Konten. Ein datenschutzfreundliches CAPTCHA kann dazu beitragen, diesen automatisierten Druck zu verringern, bevor es zu Datenverlust oder Betrug kommt.

Für europäische Organisationen erfüllt captcha.eu diese unterstützende Rolle gut. Es ist kein Ersatz für Verschlüsselung, Zugangskontrolle oder Datenschutz. Es handelt sich um eine praktische Kontrolle, die dazu beiträgt, den automatisierten Missbrauch in den öffentlich zugänglichen Systemen zu verringern, in denen personenbezogene Daten oft zuerst erfasst werden.

Zukünftiger Ausblick

Das Risiko für personenbezogene Daten nimmt zu, weil mehr Systeme mehr Identifikatoren erzeugen als früher. Websites, mobile Apps, Analysetools, Support-Plattformen, Identitätssysteme und verbundene Geräte erzeugen allesamt Daten, die jemanden direkt oder indirekt identifizieren können.

Die größte Herausforderung ist nicht mehr nur die sichere Speicherung von Kundendaten. Es geht darum zu verstehen, wie viele kleine Datenpunkte miteinander verknüpft werden können. Der Leitfaden des ICO zur indirekten Identifizierung ist hier besonders relevant, denn Unternehmen unterschätzen oft, wie leicht gewöhnliche technische und verhaltensbezogene Daten im Kontext zu personenbezogenen Daten werden können.

Die strategische Richtung ist klar. Die Unternehmen brauchen eine stärkere Datenzuordnung, weniger unnötige Erhebungen, einen besseren Schutz an den Erhebungspunkten und eine diszipliniertere Aufbewahrung. Datenschutz durch Technik ist nicht länger optional. Er wird zum einzigen skalierbaren Weg, um das Risiko personenbezogener Daten zu bewältigen.

Fazit

Persönlich identifizierbare Informationen (PII) sind nicht nur eine rechtliche Bezeichnung. Es handelt sich um eine praktische Sicherheitskategorie, die sich auf das Betrugsrisiko, das Vertrauen der Kunden, die Einhaltung von Vorschriften und die Reaktion auf Zwischenfälle auswirkt.

Für Unternehmen ist der richtige Ansatz strukturiert und realistisch. Sie müssen wissen, welche personenbezogenen Daten Sie sammeln. Unterscheiden Sie zwischen direkten und indirekten Identifikatoren. Schränken Sie die Erfassung nach Möglichkeit ein. Schützen Sie den Zugang. Sichern Sie die Zugangspunkte zum Internet. Löschen Sie, was Sie nicht mehr brauchen. In diesem Modell schützt eine starke Datenschutz-Governance die Daten selbst, während Kontrollen wie ist captcha.eu dazu beitragen, den automatisierten Missbrauch dort zu verringern, wo personenbezogene Daten erstmals in das System gelangen.

FAQ – Häufig gestellte Fragen

Was sind persönlich identifizierbare Informationen (PII)?

PII sind Informationen, die eine bestimmte Person direkt oder indirekt identifizieren können. Dazu können Namen, ID-Nummern, E-Mail-Adressen, Kontodaten, IP-Adressen oder andere Daten gehören, die mit einer Person in Verbindung gebracht werden können.

Gilt eine E-Mail-Adresse als personenbezogene Daten?

Ja, in den meisten geschäftlichen Zusammenhängen ist das der Fall. Mit einer E-Mail-Adresse kann eine Person identifiziert oder kontaktiert werden, und sie wird nach dem Datenschutzrecht in der Regel als personenbezogene Daten behandelt.

Was ist der Unterschied zwischen PII und personenbezogenen Daten?

PII ist ein weit gefasster Sicherheitsbegriff. Personenbezogene Daten ist der umfassendere Rechtsbegriff, der in der DSGVO verwendet wird. Nach der DSGVO können Informationen als personenbezogene Daten gelten, auch wenn sie eine Person nur indirekt identifizieren.

Warum sind personenbezogene Daten für Angreifer wertvoll?

Weil sie für Phishing, Betrug, Nachahmung, Kontoübernahme und Identitätsdiebstahl wiederverwendet werden können. Im Gegensatz zu Passwörtern lassen sich viele persönliche Daten nach der Aufdeckung nicht einfach ändern.

Wie kann ich personenbezogene Daten auf meiner Website schützen?

Nutzen Sie Datenminimierung, Verschlüsselung, Zugriffskontrolle, starke Authentifizierung, sorgfältige Aufbewahrungsregeln und Schutz vor automatisiertem Missbrauch auf Formularen und Anmeldeseiten. CAPTCHA kann diese Web-Ebene unterstützen, indem es Bot-gesteuertes Scraping und Angriffe auf Anmeldedaten reduziert.