Was sind personenbezogene Daten?

Da die Menschen in ihrem Arbeits- und Privatleben zunehmend auf Informationstechnologie angewiesen sind, hat die Menge der personenbezogenen Daten, die Unternehmen gemeinsam nutzen, zugenommen. Beispielsweise erheben Unternehmen personenbezogene Daten von Kunden, um ihre Märkte zu verstehen, und Verbraucher geben bereitwillig ihre Telefonnummern und Wohnadressen heraus, um sich für Services zu registrieren und online einzukaufen.

Die Weitergabe personenbezogener Daten kann von Vorteil sein, da Unternehmen so Produkte und Services auf die Wünsche und Bedürfnisse ihrer Kunden zuschneiden können – zum Beispiel durch die Bereitstellung relevanterer Suchergebnisse in Navigations-Apps. Allerdings ziehen die immer größer werdenden Speichervolumen von personenbezogenen Daten durch Unternehmen die Aufmerksamkeit von Cyberkriminellen auf sich.

Hacker stehlen personenbezogene Daten, um Identitätsdiebstahl zu begehen, sie auf dem Schwarzmarkt zu verkaufen oder sie mithilfe von Ransomware zu missbrauchen. Laut dem IBM-Bericht „Cost of a Data Breach 2024“ beliefen sich die durchschnittlichen Kosten eines durch Ransomware verursachten Datenlecks auf 5,68 Millionen US-Dollar. Einzelpersonen und IT-Sicherheitsexperten müssen sich in einer komplexen IT- und Rechtslandschaft zurechtfinden, um den Datenschutz angesichts dieser Angriffe zu wahren.

Es gibt zwei Arten von personenbezogenen Daten: direkte Identifikatoren und indirekte Identifikatoren. Direkte Identifikatoren sind für eine Person eindeutig und beinhalten Dinge wie eine Reisepassnummer oder eine Führerscheinnummer. Ein einziger direkter Identifikator reicht in der Regel aus, um die Identität einer Person zu bestimmen.

Indirekte Identifikatoren sind nicht eindeutig. Sie enthalten allgemeinere persönliche Daten wie Rasse und Geburtsort. Eine einzelne indirekte Kennung kann eine Person zwar nicht identifizieren, eine Kombination schon. Zum Beispiel könnten 87% der US-Bürger anhand von nichts anderem als ihrem Geschlecht, ihrer Postleitzahl und ihrem Geburtsdatum identifiziert werden.

Nicht alle persönlichen Daten gelten als personenbezogene Daten. Daten über die Streaming-Gewohnheiten einer Person sind beispielsweise keine personenbezogenen Daten, da es schwierig, wenn nicht sogar unmöglich wäre, Personen nur auf Basis dessen zu erkennen, was sie auf Netflix gesehen haben. Personenbezogene Daten beziehen sich nur auf Informationen, die auf eine bestimmte Person verweisen – wie zum Beispiel die Art von Informationen, die Sie zur Überprüfung Ihrer Identität angeben, wenn Sie sich an Ihre Bank wenden.

Bei personenbezogenen Daten sind einige Informationen sensibler als andere. Sensible personenbezogene Daten sind vertrauliche Informationen, die direkt eine Person identifizieren und bei deren Veröffentlichung oder Diebstahl erhebliche Schäden entstehen können.

Eine Sozialversicherungsnummer (SSN) ist ein gutes Beispiel für sensible personenbezogene Daten. Da viele Regierungsbehörden und Finanzinstitute in den USA Sozialversicherungsnummern verwenden, um die Identität von Personen zu überprüfen, könnte ein Krimineller, der eine Sozialversicherungsnummer stiehlt, leicht auf die Steuerunterlagen oder Bankkonten seines Opfers zugreifen. Weitere Beispiele für sensible personenbezogene Daten sind:

• Eindeutige Identifikationsnummern wie Führerscheinnummern, Reisepassnummern und andere behördlich ausgestellte ID-Nummern.
• Biometrische Daten wie Fingerabdrücke und Netzhautscans.
• Finanzinformationen, einschließlich Bankkontonummern und Kreditkartennummern.
• Krankenakten.

Sensible personenbezogene Daten sind in der Regel nicht öffentlich zugänglich, und die meisten bestehenden Datenschutzgesetze verlangen von Unternehmen, sie zu schützen, indem sie sie verschlüsseln, kontrollieren, wer darauf zugreift, oder andere Cybersicherheitsmaßnahmen ergreifen.

Bei nicht sensiblen personenbezogenen Daten handelt es sich um personenbezogene Daten, die für sich genommen einer Person keinen nennenswerten Schaden zufügen würden, wenn sie veröffentlicht oder gestohlen werden. Sie können für eine Person eindeutig sein oder auch nicht. Ein Social-Media-Handle würde zum Beispiel zu den nicht sensiblen personenbezogenen Daten gehören: Damit könnte man jemanden identifizieren, aber ein böswilliger Akteur könnte keinen Identitätsdiebstahl begehen, wenn er nur den Namen eines Social-Media-Kontos hätte. Weitere Beispiele für nicht sensible personenbezogene Daten sind:

• Vollständiger Name einer Person
• Mädchenname der Mutter
• Telefonnummer
• IP-Adresse
• Geburtsort
• Geburtsdatum
• Geografische Details (Postleitzahl, Stadt, Bundesland, Land usw.)
• Informationen zur Beschäftigung
• E-Mail-Adresse oder Postanschrift
• Ethnische Herkunft oder Zugehörigkeit
• Religion

Nicht sensible personenbezogene Daten sind häufig öffentlich verfügbar. So können beispielsweise Telefonnummern in einem Telefonbuch und Adressen in den öffentlichen Verzeichnissen einer Gemeindeverwaltung aufgeführt sein. Einige Datenschutzbestimmungen schreiben den Schutz nicht sensibler personenbezogener Daten nicht vor, aber viele Unternehmen treffen trotzdem Schutzmaßnahmen. Der Grund dafür ist, dass Kriminelle möglicherweise Probleme verursachen könnten, indem sie mehrere nicht sensible personenbezogene Daten zusammenführen.

Zum Beispiel könnte sich ein Hacker mit der Telefonnummer, der E-Mail-Adresse und dem Mädchennamen der Mutter Zugriff auf die Bankkonto-App einer Person verschaffen. Die E-Mail ist der Benutzername. Durch Spoofing der Telefonnummer können die Hacker einen Bestätigungscode erhalten. Der Mädchenname der Mutter ist die Antwort auf die Sicherheitsfrage.

Es ist wichtig zu beachten, dass es stark vom Kontext abhängt, ob Informationen als sensible oder nicht sensible personenbezogene Daten gelten. Ein vollständiger Name ist an sich möglicherweise nicht unbedingt eine sensible Information, aber eine Liste von Personen, die einen bestimmten Arzt aufgesucht haben, würde zu den sensiblen personenbezogenen Daten gehören. Ebenso ist die Telefonnummer einer Person möglicherweise öffentlich verfügbar, aber eine Datenbank mit Telefonnummern, die für die Zwei-Faktor-Authentifizierung auf einer Social-Media-Website verwendet werden, würde sensible personenbezogene Daten enthalten.

Der Kontext bestimmt auch, ob Informationen überhaupt als personenbezogene Daten betrachtet werden. Beispielsweise werden aggregierte anonyme Geolokalisierungsdaten oft als generische persönliche Daten angesehen, da die Identität eines einzelnen Benutzers nicht isoliert werden kann.

Einzelne Datensätze mit anonymen Geolokalisierungsdaten können jedoch zu PII werden, wie eine kürzlich eingereichte Klage der Federal Trade Commission (FTC) zeigt.

Die FTC argumentiert, dass der Datenbroker Kochava Geolokalisierungsdaten verkauft habe, die als personenbezogene Daten galten, weil „die angepassten Datenfeeds des Unternehmens es Käufern ermöglichen, bestimmte Benutzer mobiler Geräte zu identifizieren und zu tracken. So ist zum Beispiel der Standort eines Mobilgeräts bei Nacht wahrscheinlich die Privatadresse des Benutzers und könnte mit Eigentumsunterlagen kombiniert werden, um dessen Identität zu ermitteln.“

Die Technologie ist auch dabei, es einfacher zu machen, Personen mit weniger Informationen zu identifizieren, was möglicherweise die Schwelle für das, was allgemein als personenbezogene Daten gilt, senkt. Forscher von IBM und der University of Maryland haben beispielsweise einen Algorithmus entwickelt. Dieser Algorithmus identifiziert bestimmte Personen, indem er anonyme Standortdaten mit öffentlich zugänglichen Informationen aus sozialen Netzwerken kombiniert.

Laut McKinsey haben 75 % der Länder Datenschutzgesetze eingeführt, die die Erhebung, Speicherung und Nutzung personenbezogener Daten regeln. Die Einhaltung dieser Vorschriften kann schwierig sein, da in verschiedenen Gerichtsbarkeiten unterschiedliche oder sogar widersprüchliche Regeln gelten können.

Die zunehmende Verbreitung von Cloud Computing und Remote-Arbeit stellt ebenfalls eine Herausforderung dar. In diesen Umgebungen können Daten an einem Ort erfasst, an einem anderen gespeichert und an einem dritten verarbeitet werden. Je nach geografischem Standort können für die Daten in jeder Phase unterschiedliche Vorschriften gelten.

Erschwerend kommt hinzu, dass unterschiedliche Vorschriften unterschiedliche Standards dafür festlegen, welche Arten von Daten geschützt werden müssen. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verpflichtet Unternehmen zum Schutz von personenbezogenen Daten, definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“

Gemäß der DSGVO müssen Unternehmen sowohl sensible als auch nicht sensible personenbezogene Daten schützen. Sie müssen auch Informationen schützen, die in anderen Zusammenhängen vielleicht nicht einmal als vertraulich gelten. Zu diesen Informationen gehören politische Meinungen, organisatorische Zugehörigkeiten und Beschreibungen von physischen Merkmalen. 

Das Office of Management and Budget (OMB) der US-Regierung definiert PII genauer als:

[I]nformationen, die dazu verwendet werden können, die Identität einer Person zu bestimmen oder zurückzuverfolgen, wie z. B. ihr Name, ihre Sozialversicherungsnummer, biometrische Daten usw., entweder allein oder in Verbindung mit anderen personenbezogenen oder identifizierenden Informationen, die mit einer bestimmten Person verknüpft oder verknüpfbar sind, wie z. B. Geburtsdatum und -ort, Mädchenname der Mutter usw.

Wie der Gartner-Analyst Bart Willemsen es ausdrückte: „In den USA ... beziehen sich PII historisch gesehen auf zwei oder drei Dutzend Identifikatoren wie Name, Adresse, SSN, Treiber oder Kreditkartennummer.“

Während es in den USA keine Datenschutzgesetze auf Bundesebene gibt, unterliegen Regierungsbehörden dem Privacy Act von 1974, der regelt, wie Bundesbehörden personenbezogene Daten erheben, verwenden und weitergeben dürfen. Einige US-Bundesstaaten haben ihre eigenen Datenschutzbestimmungen, allen voran Kalifornien. Der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) gewähren Verbrauchern bestimmte Rechte darüber, wie Unternehmen ihre personenbezogenen Daten erheben, speichern und verwenden dürfen.

Einige Branchen haben auch ihre eigenen Datenschutzbestimmungen. In den USA regelt der Health Insurance Portability and Accountability Act (kurz: HIPAA), wie Organisationen und Unternehmen aus dem Gesundheitswesen Krankenakten und personenbezogene Daten von Patienten erheben dürfen und schützen müssen.

In ähnlicher Weise regelt der Payment Card Industry Data Security Standard (PCI DSS), ein globaler Standard der Finanzbranche, wie Kreditkartenunternehmen, Händler und Zahlungsabwickler mit sensiblen Daten von Karteninhabern umgehen müssen.

Untersuchungen deuten darauf hin, dass Organisationen Schwierigkeiten haben, sich in dieser vielfältigen Geschäftswelt aus Gesetzen und Branchenstandards zurechtzufinden. Laut ESG, 66 % der Organisationen, die in den letzten drei Jahren Datenschutzprüfungen unterzogen wurden, sind mindestens einmal durchgefallen, 23 % sogar dreimal oder öfter.

Die Nichteinhaltung relevanter Datenschutzbestimmungen kann für Unternehmen Geldstrafen, Reputationsschäden, Geschäftsverluste und andere Konsequenzen nach sich ziehen. So wurde Amazon beispielsweise im Jahr 2021 wegen eines Verstoßes gegen die DSGVO mit einer Geldstrafe von 888 Millionen US-Dollar belegt.

Hacker stehlen personenbezogene Daten aus vielen Gründen: um Identitätsdiebstahl zu begehen, um Erpressung zu betreiben oder um sie auf dem Schwarzmarkt zu verkaufen, wo sie bis zu 1 USD pro Sozialversicherungsnummer und 2.000 USD für eine Reisepassnummer erzielen können.

Hacker können personenbezogene Daten auch als Teil eines größeren Angriffs ins Visier nehmen: Sie können diese mithilfe von Ransomware unter Verschluss halten oder personenbezogene Daten stehlen, um die E-Mail-Konten von Führungskräften für Spear-Phishing- und BEC-Betrügereien (Business Email Compromise) zu verwenden.

Cyberkriminelle nutzen häufig Social-Engineering-Angriffe, um ahnungslose Opfer dazu zu bringen, personenbezogene Daten bereitwillig herauszugeben. Sie können diese jedoch auch im Dark Web kaufen oder sich im Rahmen einer größeren Datenschutzverletzung Zugriff verschaffen. Personenbezogene Daten können auch physisch gestohlen werden, indem man den Müll einer Person durchsucht oder sie ausspioniert, während sie einen Computer benutzen.

Böswillige Akteure können außerdem die Konten eines Ziels in sozialen Netzwerken überwachen, wo viele Menschen täglich unwissentlich nicht sensible personenbezogene Daten teilen. Im Laufe der Zeit kann ein Angreifer so genügend Informationen sammeln, um sich als das Opfer auszugeben oder in seine Konten einzudringen.

Für Unternehmen kann der Schutz personenbezogener Daten kompliziert sein. Durch die zunehmende Verbreitung von Cloud Computing und SaaS-Services können personenbezogene Daten an mehreren Orten gespeichert und verarbeitet werden, anstatt in einem einzigen, zentralisierten Netzwerk.

Einem Bericht von ESG zufolge wird sich die Menge der in Public Clouds gespeicherten sensiblen Daten bis 2024 voraussichtlich verdoppeln, und mehr als die Hälfte der Unternehmen ist der Ansicht, dass diese Daten nicht ausreichend sicher sind.

Zum Schutz personenbezogener Daten erstellen Organisationen üblicherweise Datenschutzrahmenwerke. Diese Rahmenwerke können je nach Organisation, den erfassten personenbezogenen Daten und den einzuhaltenden Datenschutzbestimmungen unterschiedliche Formen annehmen. Das National Institute of Standards and Technology (NIST) stellt beispielsweise dieses Beispielrahmenwerk zur Verfügung:

1. Identifizieren Sie alle personenbezogenen Daten in den Systemen des Unternehmens.

2. Minimieren Sie die Erhebung und Verwendung personenbezogener Daten und entfernen Sie regelmäßig nicht länger benötigte personenbezogene Daten.

3. Kategorisieren Sie personenbezogene Daten nach Vertraulichkeitsstufe.

4. Wenden Sie Kontrollmechanismen für Datensicherheit an. Hier sind einige Beispiele für solche Kontrollmechanismen:

• Verschlüsselung: Die Verschlüsselung personenbezogener Daten während der Übertragung, im Ruhezustand und bei der Verwendung durch homomorphe Verschlüsselung oder Confidential Computing kann dazu beitragen, dass personenbezogene Daten sicher und konform bleiben, unabhängig davon, wo sie gespeichert oder verarbeitet werden.
  
  
• Identity und Access Management (IAM): Die Zwei-Faktor- oder Multi-Faktor-Authentifizierung kann mehr Barrieren zwischen Hackern und sensiblen Daten schaffen. In ähnlicher Weise kann die Durchsetzung des Prinzips der geringsten Privilegien durch eine Zero-Trust-Architektur und rollenbasierte Zugriffskontrollen (role-based access controls, RBAC) die Menge an personenbezogenen Daten begrenzen, auf die Hacker zugreifen können, wenn sie sich doch Zugriff auf das Netzwerk verschaffen sollten.
  
  
• Schulung: Die Mitarbeiter lernen, wie sie mit personenbezogenen Daten richtig umgehen und sie entfernen. Die Mitarbeiter lernen auch, wie sie ihre eigenen personenbezogenen Daten schützen können. Solche Schulungen decken Bereiche wie Anti-Phishing, Social Engineering und den bewussten Umgang mit sozialen Medien ab.
  
  
• Anonymisierung: Unter Datenanonymisierung versteht man den Prozess des Entfernens der identifizierenden Merkmale sensibler Daten. Zu den gängigen Anonymisierungstechniken gehören das Entfernen von Identifikatoren aus Daten, das Aggregieren von Daten oder das systematische Hinzufügen von Datenrauschen.
  
  
• Tools für die Cybersicherheit: Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) können dabei helfen, Daten auf ihrem Weg durch das Netzwerk zu verfolgen und so Datenlecks und Verstöße leichter zu erkennen. Andere Cybersicherheitslösungen, die umfassende Einblicke in Aktivitäten im Netzwerk bieten – z. B. Tools für Extended Detection and Response (XDR) – können auch bei der Nachverfolgung der Verwendung und des Missbrauchs von personenbezogenen Daten helfen.

5. Erstellen Sie einen Notfallplan für Datenlecks und Verstöße im Zusammenhang mit personenbezogenen Daten.

Es ist erwähnenswert, dass NIST und andere Datenschutzexperten häufig die Anwendung unterschiedlicher Kontrollmechanismen auf verschiedene Datensätze empfehlen, je nachdem, wie sensibel die Daten sind. Der Einsatz strenger Kontrollmechanismen bei nicht sensiblen Daten kann umständlich und kostenineffizient sein.