Was sind personenbezogene Daten?

Was sind personenbezogene Informationen?

Personenbezogene Daten sind alle Informationen, die mit einer bestimmten Person in Verbindung stehen und die dazu verwendet werden können, die Identität dieser Person aufzudecken oder zu stehlen, wie beispielsweise ihre Sozialversicherungsnummer, ihr vollständiger Name, ihre E-Mail-Adresse oder ihre Telefonnummer.

Da die Menschen in ihrem Arbeits- und Privatleben zunehmend auf Informationstechnologie angewiesen sind, hat die Menge der personenbezogenen Daten, die Unternehmen gemeinsam nutzen, zugenommen. Beispielsweise erheben Unternehmen personenbezogene Daten von Kunden, um ihre Märkte zu verstehen, und Verbraucher geben bereitwillig ihre Telefonnummern und Wohnadressen heraus, um sich für Services zu registrieren und online einzukaufen.

Die Weitergabe personenbezogener Daten kann von Vorteil sein, da Unternehmen so Produkte und Services auf die Wünsche und Bedürfnisse ihrer Kunden zuschneiden können – zum Beispiel durch die Bereitstellung relevanterer Suchergebnisse in Navigations-Apps. Allerdings ziehen die immer größer werdenden Speichervolumen von personenbezogenen Daten durch Unternehmen die Aufmerksamkeit von Cyberkriminellen auf sich.

Hacker stehlen personenbezogene Daten, um Identitätsdiebstahl zu begehen, die Daten auf dem Schwarzmarkt zu verkaufen oder sie mithilfe von Ransomware unter Verschluss zu halten. Laut dem Data Breach Kostenreport 2024 von IBM lagen die durchschnittlichen Kosten für eine Datenschutzverletzung nach einem Ransomware-Angriff bei 5,13 Millionen US-Dollar. Angesichts dieser Angriffe müssen sich Einzelpersonen und Experten für Informationssicherheit in einer komplexen IT- und Rechtslandschaft zurechtfinden, um den Datenschutz zu gewährleisten.

Think-Newsletter

Würde Ihr Team den nächsten Zero-Day rechtzeitig erkennen?

Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

https://www.ibm.com/de-de/privacy

Direkte und indirekte Identifikatoren im Vergleich

Es gibt zwei Arten von personenbezogenen Daten: direkte Identifikatoren und indirekte Identifikatoren. Direkte Identifikatoren sind für eine Person eindeutig und beinhalten Dinge wie eine Reisepassnummer oder eine Führerscheinnummer. Ein einziger direkter Identifikator reicht in der Regel aus, um die Identität einer Person zu bestimmen.

Indirekte Identifikatoren sind nicht eindeutig. Dazu gehören allgemeinere personenbezogene Daten wie zum Beispiel die ethnische Herkunft und der Geburtsort. Während ein einzelner indirekter Identifikator eine Person nicht identifizieren kann, ist dies möglich, wenn man mehrere solcher Identifikatoren miteinander kombiniert. Beispielsweise lassen sich87 % der US-Bürger einfach anhand ihres Geschlechts, ihrer Postleitzahl und ihres Geburtsdatums identifizieren.

Sensible personenbezogene Daten im Vergleich zu nicht sensiblen personenbezogenen Daten

Nicht alle persönlichen Daten gelten als personenbezogene Daten. Daten über die Streaming-Gewohnheiten einer Person sind beispielsweise keine personenbezogenen Daten, da es schwierig, wenn nicht sogar unmöglich wäre, Personen nur auf Basis dessen zu erkennen, was sie auf Netflix gesehen haben. Personenbezogene Daten beziehen sich nur auf Informationen, die auf eine bestimmte Person verweisen – wie zum Beispiel die Art von Informationen, die Sie zur Überprüfung Ihrer Identität angeben, wenn Sie sich an Ihre Bank wenden.

Bei personenbezogenen Daten sind einige Informationen sensibler als andere. Sensible personenbezogene Daten sind vertrauliche Informationen, die direkt eine Person identifizieren und bei deren Veröffentlichung oder Diebstahl erhebliche Schäden entstehen können.

Eine Sozialversicherungsnummer (SSN) ist ein gutes Beispiel für sensible personenbezogene Daten. Da viele Regierungsbehörden und Finanzinstitute in den USA Sozialversicherungsnummern verwenden, um die Identität von Personen zu überprüfen, könnte ein Krimineller, der eine Sozialversicherungsnummer stiehlt, leicht auf die Steuerunterlagen oder Bankkonten seines Opfers zugreifen. Weitere Beispiele für sensible personenbezogene Daten sind:

  • Eindeutige Identifikationsnummern wie Führerscheinnummern, Reisepassnummern und andere behördlich ausgestellte ID-Nummern.
  • Biometrische Daten wie Fingerabdrücke und Netzhautscans.
  • Finanzinformationen, einschließlich Bankkontonummern und Kreditkartennummern.
  • Krankenakten.

Sensible personenbezogene Daten sind in der Regel nicht öffentlich zugänglich, und die meisten bestehenden Datenschutzgesetze verlangen von Unternehmen, sie zu schützen, indem sie sie verschlüsseln, kontrollieren, wer darauf zugreift, oder andere Cybersicherheitsmaßnahmen ergreifen.

Bei nicht sensiblen personenbezogenen Daten handelt es sich um personenbezogene Daten, die für sich genommen einer Person keinen nennenswerten Schaden zufügen würden, wenn sie veröffentlicht oder gestohlen werden. Sie können für eine Person eindeutig sein oder auch nicht. Ein Social-Media-Handle würde zum Beispiel zu den nicht sensiblen personenbezogenen Daten gehören: Damit könnte man jemanden identifizieren, aber ein böswilliger Akteur könnte keinen Identitätsdiebstahl begehen, wenn er nur den Namen eines Social-Media-Kontos hätte. Weitere Beispiele für nicht sensible personenbezogene Daten sind:

  • Vollständiger Name einer Person
  • Mädchenname der Mutter
  • Telefonnummer
  • IP-Adresse
  • Geburtsort
  • Geburtsdatum
  • Geografische Details (Postleitzahl, Stadt, Bundesland, Land usw.)
  • Informationen zur Beschäftigung
  • E-Mail-Adresse oder Postanschrift
  • Ethnische Herkunft oder Zugehörigkeit
  • Religion

Nicht sensible personenbezogene Daten sind häufig öffentlich verfügbar. So können beispielsweise Telefonnummern in einem Telefonbuch und Adressen in den öffentlichen Verzeichnissen einer Gemeindeverwaltung aufgeführt sein. Einige Datenschutzbestimmungen schreiben den Schutz nicht sensibler personenbezogener Daten nicht vor, aber viele Unternehmen treffen trotzdem Schutzmaßnahmen. Der Grund dafür ist, dass Kriminelle möglicherweise Probleme verursachen könnten, indem sie mehrere nicht sensible personenbezogene Daten zusammenführen.

Zum Beispiel könnte sich ein Hacker mit der Telefonnummer, der E-Mail-Adresse und dem Mädchennamen der Mutter Zugriff auf die Bankkonto-App einer Person verschaffen. Die E-Mail ist der Benutzername. Durch Spoofing der Telefonnummer können die Hacker einen Bestätigungscode erhalten. Der Mädchenname der Mutter ist die Antwort auf die Sicherheitsfrage.

Es ist wichtig zu beachten, dass es stark vom Kontext abhängt, ob Informationen als sensible oder nicht sensible personenbezogene Daten gelten. Ein vollständiger Name ist an sich möglicherweise nicht unbedingt eine sensible Information, aber eine Liste von Personen, die einen bestimmten Arzt aufgesucht haben, würde zu den sensiblen personenbezogenen Daten gehören. Ebenso ist die Telefonnummer einer Person möglicherweise öffentlich verfügbar, aber eine Datenbank mit Telefonnummern, die für die Zwei-Faktor-Authentifizierung auf einer Social-Media-Website verwendet werden, würde sensible personenbezogene Daten enthalten.

Wann werden sensible Informationen zu personenbezogenen Daten?

Der Kontext bestimmt auch, ob Informationen überhaupt als personenbezogene Daten betrachtet werden. Beispielsweise werden aggregierte anonyme Geolokalisierungsdaten oft als generische persönliche Daten angesehen, da die Identität eines einzelnen Benutzers nicht isoliert werden kann.

Einzelne Datensätze mit anonymen Geolokalisierungsdaten können jedoch zu PII werden, wie eine kürzlich eingereichte Klage der Federal Trade Commission (FTC) zeigt.

Die FTC argumentiert, dass der Datenbroker Kochava Geolokalisierungsdaten verkauft habe, die als personenbezogene Daten galten, weil „die angepassten Datenfeeds des Unternehmens es Käufern ermöglichen, bestimmte Benutzer mobiler Geräte zu identifizieren und zu tracken. So ist zum Beispiel der Standort eines Mobilgeräts bei Nacht wahrscheinlich die Privatadresse des Benutzers und könnte mit Eigentumsunterlagen kombiniert werden, um dessen Identität zu ermitteln.“

Fortschritte in der Technologie machen es auch einfacher, Personen mit weniger Informationen zu identifizieren, was möglicherweise die Schwelle dafür senkt, wie man personenbezogene Daten definiert. Beispielsweise haben Forscher bei IBM und der University of Maryland einen Algorithmus entwickelt, der bestimmte Einzelpersonen identifiziert, indem anonyme Standortdaten mit öffentlich zugänglichen Informationen von Social-Networking-Websites kombiniert werden.

Datenschutzgesetze und personenbezogene Daten 

Internationale Datenschutzbestimmungen

Laut McKinsey haben 75 % der Länder Datenschutzgesetze zur Erfassung, Speicherung und Nutzung von personenbezogenen Daten eingeführt. Die Einhaltung dieser Vorschriften kann sich als schwierig erweisen, da die verschiedenen Gerichtsbarkeiten manchmal unterschiedliche oder sogar widersprüchliche Regelungen haben.

Die zunehmende Verbreitung von Cloud Computing und Remote-Arbeit stellt ebenfalls eine Herausforderung dar. In diesen Umgebungen können Daten an einem Ort erfasst, an einem anderen gespeichert und an einem dritten verarbeitet werden. Je nach geografischem Standort können für die Daten in jeder Phase unterschiedliche Vorschriften gelten.

Erschwerend kommt hinzu, dass unterschiedliche Vorschriften unterschiedliche Standards dafür festlegen, welche Arten von Daten geschützt werden müssen. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verpflichtet Unternehmen zum Schutz von allen personenbezogenen Daten, definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“

Gemäß der DSGVO müssen Unternehmen sowohl sensible als auch nicht sensible personenbezogene Daten schützen. Sie müssen auch Informationen schützen, die in anderen Zusammenhängen vielleicht nicht einmal als vertraulich gelten. Zu diesen Informationen gehören politische Meinungen, organisatorische Zugehörigkeiten und Beschreibungen von physischen Merkmalen. 

US-Datenschutzbestimmungen

Das Office of Management and Budget (OMB) der US-Regierung definiert PII enger als:

[I]nformationen, die dazu verwendet werden können, die Identität einer Person zu bestimmen oder zurückzuverfolgen, wie z. B. ihr Name, ihre Sozialversicherungsnummer, biometrische Daten usw., entweder allein oder in Verbindung mit anderen personenbezogenen oder identifizierenden Informationen, die mit einer bestimmten Person verknüpft oder verknüpfbar sind, wie z. B. Geburtsdatum und -ort, Mädchenname der Mutter usw.

Wie der Gartner-Analyst Bart Willemsen es ausdrückte: „In den USA ... beziehen sich PII historisch gesehen auf zwei oder drei Dutzend Identifikatoren wie Name, Adresse, Sozialversicherungsnummer, Fahrerlaubnis oder Kreditkartennummer.“

Während es in den USA keine Datenschutzgesetze auf Bundesebene gibt, unterliegen Regierungsbehörden dem Privacy Act von 1974, der regelt, wie Bundesbehörden personenbezogene Daten erheben, verwenden und weitergeben dürfen. Einige US-Bundesstaaten haben ihre eigenen Datenschutzbestimmungen, allen voran Kalifornien. Der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) gewähren Verbrauchern bestimmte Rechte darüber, wie Unternehmen ihre personenbezogenen Daten erheben, speichern und verwenden dürfen.

Branchenspezifische Datenschutzbestimmungen

Einige Branchen haben auch ihre eigenen Datenschutzbestimmungen. In den USA regelt der Health Insurance Portability and Accountability Act (kurz: HIPAA), wie Organisationen und Unternehmen aus dem Gesundheitswesen Krankenakten und personenbezogene Daten von Patienten erheben dürfen und schützen müssen.

In ähnlicher Weise regelt der Payment Card Industry Data Security Standard (PCI DSS), ein globaler Standard der Finanzbranche, wie Kreditkartenunternehmen, Händler und Zahlungsabwickler mit sensiblen Daten von Karteninhabern umgehen müssen.

Untersuchungen lassen darauf schließen, dass Unternehmen Schwierigkeiten haben, sich in diesem vielfältigen Umfeld aus Gesetzen und Branchenstandards zurechtzufinden. Laut ESG sind 66 % der Unternehmen, die in den letzten drei Jahren Datenschutzprüfungen unterzogen wurden, mindestens einmal durchgefallen, und 23 % sind drei oder mehr Mal durchgefallen.

Die Nichteinhaltung relevanter Datenschutzbestimmungen kann für Unternehmen Geldstrafen, Reputationsschäden, Geschäftsverluste und andere Konsequenzen nach sich ziehen. So wurde Amazon beispielsweise im Jahr 2021 wegen eines Verstoßes gegen die DSGVO mit einer Geldstrafe von 888 Millionen US-Dollar belegt.

Schutz personenbezogener Daten

Hacker stehlen personenbezogene Daten aus vielen Gründen: um Identitätsdiebstahl zu begehen, um Erpressung zu betreiben oder um sie auf dem Schwarzmarkt zu verkaufen, wo sie bis zu 1 USD pro Sozialversicherungsnummer und 2.000 USD für eine Reisepassnummer erzielen können.

Hacker können personenbezogene Daten auch als Teil eines größeren Angriffs ins Visier nehmen: Sie können diese mithilfe von Ransomware unter Verschluss halten oder personenbezogene Daten stehlen, um die E-Mail-Konten von Führungskräften für Spear-Phishing- und BEC-Betrügereien (Business Email Compromise) zu verwenden.

Cyberkriminelle nutzen häufig Social-Engineering-Angriffe, um ahnungslose Opfer dazu zu bringen, personenbezogene Daten bereitwillig herauszugeben. Sie können diese jedoch auch im Dark Web kaufen oder sich im Rahmen einer größeren Datenschutzverletzung Zugriff verschaffen. Personenbezogene Daten können auch physisch gestohlen werden, indem man den Müll einer Person durchsucht oder sie ausspioniert, während sie einen Computer benutzt.

Böswillige Akteure können außerdem die Konten eines Ziels in sozialen Netzwerken überwachen, wo viele Menschen täglich unwissentlich nicht sensible personenbezogene Daten teilen. Im Laufe der Zeit kann ein Angreifer so genügend Informationen sammeln, um sich als das Opfer auszugeben oder in seine Konten einzudringen.

Für Unternehmen kann der Schutz personenbezogener Daten kompliziert sein. Durch die zunehmende Verbreitung von Cloud Computing und SaaS-Services können personenbezogene Daten an mehreren Orten gespeichert und verarbeitet werden, anstatt in einem einzigen, zentralisierten Netzwerk.

Einem Bericht von ESG zufolge wird sich die Menge der in Public Clouds gespeicherten sensiblen Daten bis 2024 voraussichtlich verdoppeln, und mehr als die Hälfte der Unternehmen ist der Ansicht, dass diese Daten nicht ausreichend sicher sind.

Um personenbezogene Daten zu schützen, entwickeln Unternehmen in der Regel Datenschutz-Frameworks. Diese Frameworks können je nach Unternehmen, den von ihm erfassten personenbezogenen Daten und den einzuhaltenden Datenschutzbestimmungen unterschiedliche Formen annehmen. Beispielsweise hat das National Institute of Standards and Technology (NIST) dieses Framework als Muster bereitgestellt:

1. Identifizieren Sie alle personenbezogenen Daten in den Systemen des Unternehmens.

2. Minimieren Sie die Erhebung und Verwendung personenbezogener Daten und entfernen Sie regelmäßig nicht länger benötigte personenbezogene Daten.

3. Kategorisieren Sie personenbezogene Daten nach Vertraulichkeitsstufe.

4. Wenden Sie Kontrollmechanismen für Datensicherheit an. Hier sind einige Beispiele für solche Kontrollmechanismen:

  • Verschlüsselung: Die Verschlüsselung personenbezogener Daten während der Übertragung, im Ruhezustand und bei der Verwendung durch homomorphe Verschlüsselung oder Confidential Computing kann dazu beitragen, dass personenbezogene Daten sicher und konform bleiben, unabhängig davon, wo sie gespeichert oder verarbeitet werden.

  • Identity und Access Management (IAM): Die Zwei-Faktor- oder Multi-Faktor-Authentifizierung kann mehr Barrieren zwischen Hackern und sensiblen Daten schaffen. In ähnlicher Weise kann die Durchsetzung des Prinzips der geringsten Privilegien durch eine Zero-Trust-Architektur und rollenbasierte Zugriffskontrollen (Role-based access controls, RBAC) die Menge an personenbezogenen Daten begrenzen, auf die Hacker zugreifen können, wenn sie sich doch Zugriff auf das Netzwerk verschaffen sollten.

  • Schulung: Die Mitarbeiter lernen, wie sie mit personenbezogenen Daten richtig umgehen und sie entfernen. Die Mitarbeiter lernen auch, wie sie ihre eigenen personenbezogenen Daten schützen können. Solche Schulungen decken Bereiche wie Anti-Phishing, Social Engineering und den bewussten Umgang mit Social Media ab.

  • Anonymisierung: Unter Datenanonymisierung versteht man den Prozess des Entfernens der identifizierenden Merkmale sensibler Daten. Zu den gängigen Anonymisierungstechniken gehören das Entfernen von Identifikatoren aus Daten, das Aggregieren von Daten oder das strategische Hinzufügen von Rauschen zu den Daten.

  • Tools für die Cybersicherheit: Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) können dabei helfen, Daten auf ihrem Weg durch das Netzwerk zu verfolgen und so Datenlecks und Verstöße leichter zu erkennen. Andere Cybersicherheitslösungen, die umfassende Einblicke in Aktivitäten im Netzwerk bieten – z. B. Tools für Extended Detection and Response (XDR) – können auch bei der Nachverfolgung der Verwendung und des Missbrauchs von personenbezogenen Daten helfen.

5. Erstellen Sie einen Notfallplan für Datenlecks und Verstöße im Zusammenhang mit personenbezogenen Daten.

Es ist erwähnenswert, dass NIST und andere Datenschutzexperten häufig die Anwendung unterschiedlicher Kontrollmechanismen auf verschiedene Datensätze empfehlen, je nachdem, wie sensibel die Daten sind. Der Einsatz strenger Kontrollmechanismen bei nicht sensiblen Daten kann möglicherweise umständlich und nicht kosteneffizient sein.

Ressourcen

Erfahren Sie, warum Kuppinger Cole IBM als führend einstuft

Der Bericht von KuppingerCole zu Datensicherheitsplattformen bietet Anleitungen und Empfehlungen dazu, wie Sie Produkte zum Schutz und zur Verwaltung vertraulicher Daten finden, die den Anforderungen Ihrer Kunden am besten entsprechen.
IBM® X-Force Threat Intelligence Index 2025

Gewinnen Sie mit dem Index „IBM X-Force Threat Intelligence“ Erkenntnisse, um Vorbereitung und Reaktion auf Cyberangriffe schneller und effektiver zu machen.
The Total Economic Impact (TEI) of Guardium Data Protection

Entdecken Sie Nutzen und ROI von IBM Security Guardium Data Protection in dieser TEI-Studie von Forrester.
Gartner Market Guide for AI TRiSM

In diesem Gartner-Bericht erfahren Sie, wie Sie das gesamte KI-Inventar verwalten, die KI-Workloads mit Schutzmechanismen sichern, das Risiko reduzieren und den Governance-Prozess verwalten, um Vertrauen für alle KI-Anwendungsfälle in Ihrem Unternehmen zu erreichen.
Erweitern Sie Ihre Fähigkeiten mit kostenlosen Sicherheits-Tutorials

Befolgen Sie klare Schritte, um Aufgaben zu erledigen und zu lernen, wie Sie Technologien in Ihren Projekten effektiv einsetzen können.
Was ist Identity und Access Management (IAM)?

Identity und Access Management (IAM) ist eine Disziplin der Cybersicherheit, die sich mit Benutzerzugriff und Ressourcenberechtigungen befasst.
Weiterführende Lösungen
Lösungen zu Datensicherheit und Datenschutz

Schützen Sie Ihre Daten in mehreren Umgebungen, erfüllen Sie Datenschutzauflagen und verringern Sie die Komplexität von Betriebsabläufen.

         Mehr über Datensicherheitslösungen
    IBM Guardium

    Entdecken Sie IBM Guardium, eine Datensicherheitssoftware-Reihe, die sensible On-Premises- und Cloud-Daten schützt.

     

             Entdecken Sie IBM Guardium
      Datensicherheitsservices

      IBM bietet umfassende Datensicherheitsservices zum Schutz von Unternehmensdaten, Anwendungen und KI.

             Mehr über Datensicherheitsservices
      Machen Sie den nächsten Schritt

      Schützen Sie die Daten Ihres Unternehmens über Hybrid Clouds hinweg und vereinfachen Sie Compliance-Anforderungen mit Datensicherheitslösungen.

             Mehr über Datensicherheitslösungen Buchen Sie eine Live-Demo