Personenbezogene Daten (PII) sind sämtliche Informationen, die mit einer bestimmten Person verbunden sind und verwendet werden können, um die Identität dieser Person zu ermitteln, z. B. ihre Sozialversicherungsnummer, ihren vollständigen Namen oder ihre E-Mail-Adresse.

Da die Menschen in ihrem Arbeits- und Privatleben zunehmend auf Informationstechnologie angewiesen sind, hat die Menge der personenbezogenen Daten, die Unternehmen gemeinsam nutzen, zugenommen. Beispielsweise sammeln Unternehmen persönliche Daten von Kunden, um ihre Märkte zu verstehen, und Verbraucher geben bereitwillig ihre Telefonnummern und Wohnadressen heraus, um sich für Dienste zu registrieren und online einzukaufen. 

Die gemeinsame Nutzung von personenbezogenen Daten kann Vorteile haben, da sie es Unternehmen ermöglicht, Produkte und Dienstleistungen auf die Wünsche und Bedürfnisse ihrer Kunden abzustimmen – beispielsweise die Anzeige relevanterer Suchergebnisse in Navigations-Apps. Allerdings ziehen die immer größer werdenden Speichervolumen von PII durch Unternehmen die Aufmerksamkeit von Cyberkriminellen auf sich. Hacker stehlen personenbezogene Daten, um Identitätsdiebstahl zu begehen, die Daten auf dem Schwarzmarkt zu verkaufen oder sie mithilfe von Ransomware unter Verschluss zu halten. Dem IBM Cost of a Data Breach 2022Report zufolge erlitten 83 Prozent der Unternehmen mehr als eine Datenschutzverletzung, im Durchschnitt betragen die Kosten einer Datenschutzverletzung 4,35 Millionen US-Dollar. Angesichts dieser Attacken müssen sich Einzelpersonen und Experten für Informationssicherheit durch eine komplexe IT- und Rechtslandschaft bewegen, um den Datenschutz zu gewährleisten. 

Es gibt zwei Arten von PII: Direkte Kennungen und indirekte Kennungen. Direkte Kennungen sind eindeutig und umfassen z. B. den Namen, die Passnummer und die Nummer des Fahrerlaubnis einer Person. Eine einzige direkte Kennung reicht normalerweise aus, um die Identität einer Person zu bestimmen.

Indirekte Kennungen sind nicht eindeutig. Sie umfassen allgemeinere personenbezogene Daten wie z. B. Ethnie oder Geburtsort. Während man mit einer einzelnen indirekten Kennung eine Person nicht identifizieren kann, ist dies durch den kombinierten Einsatz möglich. Zum Beispiel können 87 Prozent der US-Bürger (PDF, 303 KB)  (Link befindet sich außerhalb von IBM) einfach anhand ihres Geschlechts, ihrer Postleitzahl und ihres Geburtsdatums identifiziert werden.

Nicht alle personenbezogenen Daten gelten als PII. Zum Beispiel sind Daten über die Streaming-Gewohnheiten einer Person keine PII, da es schwierig, wenn nicht sogar unmöglich wäre, Personen nur auf Basis dessen zu erkennen, was sie auf Netflix gesehen haben. PII bezieht sich lediglich auf Informationen, die auf eine bestimmte Person verweisen – wie die Art von Informationen, die Sie möglicherweise zur Überprüfung Ihrer Identität angeben, wenn Sie Ihre Bank kontaktieren.

Bei den PII sind einige Informationen schutzwürdiger als andere. Schutzwürdige PII sind vertrauliche Informationen, die eine Einzelperson direkt identifizieren und bei Veröffentlichung oder Verlust erheblichen Schaden verursachen könnten. Ein gutes Beispiel für eine schutzwürdige PII ist die Sozialversicherungsnummer (SSN). Da viele Behörden und Finanzinstitute SSNs zur Überprüfung der Identität von Einzelpersonen verwenden, könnte ein Krimineller, der eine SSN stiehlt, ohne großen Aufwand auf die Steuerunterlagen oder Bankkonten seines Opfers zugreifen. Zu weiteren Beispielen für schutzwürdige PII gehören:

• Eindeutige Identifikationsnummern wie Fahrerlaubnis, Personalausweisnummern und weitere behördlich ausgestellte ID-Nummern
• Biometrische Daten wie Fingerabdrücke und Netzhautscans
• Finanzielle Informationen, einschließlich Bankkonto- und Kreditkartennummern
• Krankenakten

Schutzwürdige personenbezogene Daten sind in der Regel nicht öffentlich verfügbar, und die meisten bestehend Datenschutzgesetze sehen es vor, dass Unternehmen diese absichern, indem sie sie verschlüsseln, kontrollieren, wer darauf zugreift, oder andere Maßnahmen in Bezug auf Cybersicherheit ergreifen.

Nicht-schutzwürdige PII sind personenbezogene Daten, die isoliert keinen erheblichen Schaden für eine Person verursachen würden, wenn sie veröffentlicht oder gestohlen würden. Sie können für einen Teilnehmer eindeutig sein oder nicht. Ein Social-Media-Handle wäre beispielsweise nicht schutzwürdig: Man könnte jemanden damit identifizieren, aber ein böswilliger Akteur könnte alleine mit einem Social-Media-Kontonamen keinen Identitätsdiebstahl begehen. Zu weiteren Beispielen für schutzwürdige PII gehören:

• Vollständiger Name einer Person
• Geburtsname der Mutter
• Rufnummer
• IP-Adresse
• Geburtsort
• Geburtsdatum
• Geographische Details (Postleitzahl, Stadt, Staat, Land, etc.)
• Beschäftigungsdaten
• E-Mail-Adresse oder Postanschrift
• Rasse oder Ethnie
• Religion

Nicht-schützenswerte personenbezogene Daten sind häufig öffentlich verfügbar – z. B. können Telefonnummern in einem Telefonbuch stehen und Adressen können in den Akten über öffentliches Eigentum einer Lokalbehörde aufgeführt sein. Einige Datenschutzregelungen erfordern nicht den Schutz nicht-schutzwürdiger PII, aber viele Unternehmen wenden dennoch Schutzmaßnahmen an. Der Grund dafür ist, dass Kriminelle möglicherweise Probleme verursachen könnten, indem sie mehrere nicht-schutzwürdige PII zusammenfügen.

Zum Beispiel könnte ein Hacker in die Bankkonto-App von jemandem eindringen, indem er seine Rufnummer, seine E-Mail-Adresse und den Geburtsnamen seiner Mutter verwendet. Die E-Mail gibt ihnen einen Nutzernamen, durch die Verfälschung der Telefonnummer können sie einen Verifizierungscode erhalten, und der Geburtsname der Mutter gibt ihnen eine Antwort auf die Sicherheitsfrage.

Es ist wichtig zu beachten, dass es wesentlich vom Kontext abhängt, ob etwas als schützenswerte oder nicht schützenswerte PII gilt. Ein vollständiger Name ist an sich möglicherweise nicht-schützenswert, aber eine Liste von Personen, die einen bestimmten Arzt aufgesucht haben, wäre schützenswert. Ebenso kann die Rufnummer einer Person öffentlich verfügbar sein, aber eine Datenbank mit Rufnummern, die für die Zweifaktor-Authentifizierung auf einer Social-Media-Website verwendet werden, wäre eine schützenswerte PII.

Wann werden schutzwürdige Informationen zu PII?

Ob etwas überhaupt als PII betrachtet wird, ist ebenfalls kontextabhängig. Zum Beispiel werden zusammengefasste anonyme Geodaten oft als generische personenbezogene Daten angesehen, da die Identität eines einzelnen Benutzers nicht isoliert werden kann. Individuelle Aufzeichnungen anonymer Geodaten können jedoch zu PII werden, wie eine aktuelles Gerichtsverfahren der Federal Trade Commission (FTC) belegt.  (Link außerhalb von IBM). Die FTC argumentiert, dass der Datenhändler Kochava Geoortungsdaten verkaufte, die als PII eingestuft wurden, weil „es die angepassten Datenfeeds des Unternehmens den Käufern ermöglichen, bestimmte Nutzer von Mobilgeräten zu identifizieren und zu verfolgen. Zum Beispiel ist der Standort eines mobilen Geräts, das nachts genutzt wird, wahrscheinlich die Wohnadresse des Benutzers und könnte mit Immobilienaufzeichnungen in Verbindung gebracht werden, um auf diese Weise seine Identität zu ermitteln.“

Fortschritte in der Technologie machen es auch einfacher, Personen mit weniger Informationen zu identifizieren und senken möglicherweise den Schwellenwert für Daten, die im Allgemeinen als personenbezogene Daten gelten. Zum Beispiel entwickelten Forscher von IBM und der University of Maryland einen Algorithmus (PDF, 959 KB)  (Link befindet sich außerhalb von IBM) zur Identifizierung bestimmter Personen durch Kombination anonymer Standortdaten mit öffentlich verfügbar Informationen von Social Networking-Seiten.

Internationale Datenschutzbestimmungen

Laut McKinsey  (Link befindet sich außerhalb von IBM), haben 75 Prozent der Länder haben Datenschutzgesetze implementiert, welche die Erfassung, die Aufbewahrung und die Verwendung von PII regeln. Die Einhaltung dieser Bestimmungen kann sich schwierig gestalten, da verschiedene Gerichtsbarkeiten unterschiedliche oder sogar widersprüchliche Regelungen haben können. Auch das zunehmende Aufkommen von Cloud Computing und Mitarbeitern an entfernten Standorten stellen eine Herausforderung dar. In diesen Umgebungen können Daten an einem Standort erhoben, an einem anderen gespeichert und bei einem Dritten verarbeitet werden. Je nach Standort können für die Daten in jeder Phase jeweils unterschiedliche Regelungen gelten.

Erschwerend kommt hinzu, dass unterschiedliche Regelungen unterschiedliche Standards für den Schutz von Daten festlegen. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verpflichtet Organisationen, alle personenbezogene Daten zu schützen die definiert  werden (Link befindet sich außerhalb von IBM) als „alle Informationen, die sich auf einen identifizierten oder identifizierbar wirklichkeitsgetreu Teilnehmer beziehen.“ Gemäß DSGVO müssen Unternehmen schützenswerte und nicht-schützenswerte PII schützen, aber auch Dinge, die in anderen Kontexten nicht einmal als schützenswerte Daten gelten, wie politische Meinungen, unternehmensbezogene thematische Zusammenhänge und Beschreibungen physischer Merkmale. 

Datenschutzbestimmungen der USA

Das Office of Management and Budget (OMB) der US-Regierung definiert PII (PDF, 227KB)  (Link befindet sich außerhalb von IBM) enger als

Informationen, die zur Unterscheidung oder Verfolgung der Identität einer Person verwendet werden können, wie Name, Sozialversicherungsnummer, biometrische Datensätze usw., ob allein oder in Kombination mit anderen persönlichen oder identifizierenden Informationen, die mit einer bestimmten Person in Verbindung stehen oder mit dieser verbunden sind, wie Geburtsdatum und -ort, Geburtsname der Mutter usw.

Wie Gartner-Analyst Bart Willemsen  (Link befindet sich außerhalb von IBM) es formuliert: „In den USA … beziehen sich personenbezogen Daten seit jeher auf zwei oder drei Dutzend Identifikatoren wie beispielsweise Name, Adresse, Sozialversicherungsnummer, Fahrerlaubnis oder Kreditkartennummer.“

Während es in den USA keine Datenschutzgesetze auf Bundesebene gibt, unterliegen Regierungsbehörden dem Privacy Act von 1974, der regelt, wie Bundesbehörden personenbezogene Daten sammeln, verwenden und weitergeben. Einige US-Bundesstaaten haben ihre eigenen Datenschutzregelungen, insbesondere Kalifornien. Der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) gewähren Verbrauchern bestimmte Rechte darüber, wie Unternehmen ihre personenbezogenen Daten erfassen, speichern und verwenden.

Branchenspezifische Regelungen zum Schutz personenbezogener Daten

Einige Branchen verfügen auch über eigene Datenschutzbestimmungen. In den USA regelt der Health Insurance Portability and Accountability Act (HIPAA), wie Organisationen der Gesundheitsversorgung medizinische Aufzeichnungen und PII von Patienten erfassen und schützen. In gleicher Weise ist der Payment Card Industry Data Security Standard (PCIDSS) eine weltweite Finanzwirtschaftsnorm für den Umgang mit schutzwürdigen Karteninhaberinformationen durch Kreditkartenunternehmen, Händler und Zahlungsabwickler.

Untersuchungen deuten darauf hin, dass Unternehmen Schwierigkeiten haben, sich in dieser unterschiedlichen Landschaft von Gesetzen und Industriestandards zurechtzufinden. Laut ESG  (Link befindet sich außerhalb von IBM) haben 66 Prozent der Unternehmen, die sich in den letzten drei Jahren einem Datenschutz-Audit unterzogen haben, mindestens einmal nicht bestanden, und bei 23 Prozent ist der Test dreimal oder öfter fehlgeschlagen. Die Nichteinhaltung relevanter Datenschutzregelungen kann zu hohen Geldstrafen führen sowie Rufschädigung und weitere Konsequenzen für Unternehmen nach sich ziehen. Beispielsweise wurde Amazon mit einer Geldstrafe von  888 Millionen US-Dollar wegen Verstoßes gegen die DSGVO im Jahr 2021 belegt  (Link befindet sich außerhalb von IBM).

Hacker stehlen PII aus einer Vielzahl von Gründen: Für Identitätsdiebstahl zwecks Erpressung oder Verkauf auf dem Schwarzmarkt, wo sie bis zu 1 USD pro Sozialversicherungsnummer und 2.000 US-Dollar für eine Personalausweisnummer erzielen können  (Link befindet sich außerhalb von IBM). Hacker können PII auch im Rahmen einer größeren Hackerattacke anvisieren: Sie können die Daten mittels Ransomware unter Verschluss halten oder PII stehlen, um E-Mail-Konten von Führungskräften zu übernehmen und damit Spear-Phishing und Unternehmensbetrug (Business Email Compromise, BEC) zu betreiben.

Cyberkriminelle nutzen häufig Social-Engineering-Angriffe, um ahnungslose Opfer dazu zu verleiten, personenbezogene Daten freiwillig preiszugeben, aber sie können sie ebenfalls im Dark Web kaufen oder im Rahmen einer größeren Datenschutzverletzung Zugriff erlangen. Personenbezogene Daten können physisch gestohlen werden, indem der Angreifer den Papierkorb einer Person durchsucht oder sie ausspioniert, während sie den Computer benutzt. Böswillige Akteure können möglicherweise auch die Social-Media-Konten eines Ziels überwachen, auf denen viele Personen jeden Tag unwissentlich nicht-schützenswerte personenbezogene Daten austauschen. Im Laufe der Zeit kann ein Angreifer ausreichend viel Informationen sammeln, um sich als Opfer auszugeben oder in seine Konten einzubrechen.

Für Unternehmen kann der Schutz personenbezogener Daten eine schwierige Aufgabe darstellen. Das zunehmende Aufkommen von Cloud Computing und SaaS-Services bedeutet, dass PII anstelle eines einzigen zentralisierten Netzwerks an mehreren Standorten gespeichert und verarbeitet werden können. Laut einem Bericht von ESG  (Link befindet sich außerhalb von IBM) soll sich die Menge der in öffentlichen Clouds gespeicherten schützenswerten Daten bis 2024 verdoppeln, und mehr als die Hälfte der Unternehmen glaubt, dass diese Daten nicht sicher genug sind.

Um personenbezogene Daten zu schützen, erstellen Unternehmen üblicherweise Datenschutz-Rahmenbedingungen. Diese Rahmenbedingungen können je nach Organisation, den erhobenen personenbezogenen Daten und den Datenschutzrichtlinien, die sie einzuhalten haben, unterschiedlich sein. Als Beispiel liefert das National Institute of Standards and Technology (NIST) folgendes Framework als Beispiel  (Link befindet sich außerhalb von IBM):

1. Identifizieren Sie alle personenbezogenen Daten in den Systemen des Unternehmens.

2. Minimieren Sie die Erhebung und Verwendung personenbezogener Daten und entfernen Sie regelmäßig nicht länger benötigte personenbezogene Daten.

3. Kategorisieren Sie PII nach Vertraulichkeitsstufe.

4. Wenden Sie Kontrollmechanismen für Datensicherheit an. Beispiele für Kontrollmechanismen können Folgendes einschließen:

• Verschlüsselung: Die Verschlüsselung von personenbezogenen Daten während der Übertragung, im Ruhezustand und bei der Verwendung durch homomorphe Verschlüsselung oder Confidential Computing kann dazu beitragen, dass personenbezogene Daten sicher und konform bleiben, unabhängig davon, wo sie gespeichert oder verarbeitet werden.
  
  
• Identity and Access Management (IAM): Durch die Zweifaktor- oder Mehrfaktorauthentifizierung können mehr Hindernisse zwischen Hackern und schützenswerten Daten geschaffen werden. Ebenso kann die Durchsetzung des Prinzips mit den geringsten Rechten durch eine Zero-Trust-Architektur und rollenbasierte Zugriffskontrollen (RBAC) die Anzahl der PII-Hacker, die auf das Netzwerk zugreifen können, einschränken.
  
  
• Schulung: Dies kann sowohl die Schulung der Mitarbeiter zur ordnungsgemäßen Handhabung und Entsorgung von personenbezogenen Daten als auch die Schulung der Mitarbeiter zum Schutz ihrer eigenen personenbezogenen Daten beinhalten (z. B. Anti-Phishing-Schulung, Social-Engineering-Schulung, Schulung zum Bewusstsein für soziale Medien).
  
  
• Anonymisierung: Bei der Anonymisierung von Daten werden die Erkennungsmerkmale schutzwürdiger Daten entfernt. Zu den üblichen Anonymisierungstechniken gehören das Entfernen von Identifikatoren aus Daten, das Aggregieren von Daten oder das strategische Hinzufügen von Rauschen zu den Daten.
  
  
• Cybersicherheits-Tools: Tools zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) können dazu beitragen, Daten auf ihrem Weg durch das Netz zu verfolgen, was es leichter macht, Lecks und Verstöße zu erkennen. Andere Lösungen zur Cybersicherheit, die Aktivitäten im Netzwerk, wie z. B. erweiterte Erkennungs- und Antworttools (XDR)-Tools, auf übergeordneter Ebene anzeigen, können auch bei der Verfolgung der Verwendung und des unsachgemäßen Gebrauchs von personenbezogenen Daten hilfreich sein.

5. Erstellen eines Notfallplans für Datenlecks und Verstöße gegen personenbezogene Daten.

Es ist erwähnenswert, dass NIST und andere Datenschutzexperten häufig die Anwendung unterschiedlicher Kontrollmechanismen auf verschiedene Datensätze empfehlen, je nachdem, wie schützenswert die Daten sind. Der Einsatz strenger Kontrollmechanismen bei nicht-schützenswerten Daten kann möglicherweise umständlich und nicht kostengünstig sein.