Personenbezogene Daten (PII)

Kundendatenbanken, Personalakten, Logdateien mit IP-Adressen: Praktisch jedes Unternehmen verarbeitet personenbezogene Daten, oft an weit mehr Stellen als vermutet. Die DSGVO knüpft daran umfangreiche Pflichten, von der Rechtsgrundlage bis zur Meldung von Datenpannen. Für IT-Entscheider ist der Begriff deshalb keine juristische Randnotiz. Er bestimmt, welche Systeme besonders geschützt werden müssen und wo ein Vorfall teuer wird.

Was sind personenbezogene Daten?

Nach Artikel 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar heißt: Die Person muss sich direkt oder indirekt bestimmen lassen, etwa über Name, Kennnummer, Standortdaten oder Online-Kennungen. Damit fallen neben offensichtlichen Angaben wie Adresse oder Geburtsdatum auch IP-Adressen, Gerätekennungen, Kundennummern und Bewegungsprofile unter den Begriff.

Im englischsprachigen Raum ist die Abkürzung PII (Personally Identifiable Information) verbreitet. Sie wird häufig synonym verwendet, ist im US-Verständnis aber enger gefasst als der europäische Begriff. Für Unternehmen im Geltungsbereich der DSGVO ist die weite europäische Definition maßgeblich.

Eine eigene Schutzstufe gilt für besondere Kategorien nach Artikel 9 DSGVO, darunter Gesundheitsdaten, biometrische und genetische Daten sowie Angaben zu Religion, politischen Überzeugungen oder sexueller Orientierung. Ihre Verarbeitung ist grundsätzlich untersagt und erst unter engen Ausnahmen erlaubt.

Wie funktioniert der Schutz personenbezogener Daten?

Der Schutz entsteht aus dem Zusammenspiel rechtlicher, organisatorischer und technischer Maßnahmen:

  • Rechtsgrundlage sichern: Jede Verarbeitung braucht eine Grundlage nach Artikel 6 DSGVO, etwa eine Einwilligung, einen Vertrag oder ein berechtigtes Interesse. Ohne Grundlage ist die Verarbeitung unzulässig.
  • Datenbestand kennen: Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert, welche Daten wo und zu welchem Zweck verarbeitet werden. Es ist zugleich die Landkarte für alle Schutzmaßnahmen.
  • Datenminimierung leben: Erhoben wird, was für den Zweck erforderlich ist. Löschkonzepte sorgen dafür, dass Daten nach Ablauf der Fristen tatsächlich verschwinden.
  • Technisch absichern: Artikel 32 DSGVO verlangt dem Risiko angemessene Maßnahmen. Dazu zählen Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrolle nach dem Need-to-know-Prinzip, Netzwerksegmentierung um Systeme mit sensiblen Daten sowie Protokollierung und getestete Backups.
  • Organisatorisch verankern: Berechtigungsprozesse, Schulungen, Verträge zur Auftragsverarbeitung und ein geübter Meldeweg für Datenpannen machen den Schutz alltagstauglich. Bei einer meldepflichtigen Panne bleiben 72 Stunden für die Meldung an die Aufsichtsbehörde.

Warum der Schutz personenbezogener Daten wichtig ist

  • Hohe Bußgelder: Die DSGVO sieht Bußgelder bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Wert höher ist.
  • Ansprüche Betroffener: Neben Behördenverfahren drohen Auskunftswellen und Schadenersatzforderungen, die nach einem Vorfall erhebliche Kapazitäten binden.
  • Reputationsrisiko: Datenpannen werden öffentlich, spätestens durch die Benachrichtigungspflicht gegenüber Betroffenen. Verlorenes Vertrauen wirkt länger als jedes Bußgeld.
  • Attraktives Angriffsziel: Identitätsdaten lassen sich monetarisieren. Systeme mit Personendaten stehen deshalb im Fokus von Ransomware-Gruppen, die vor der Verschlüsselung Daten abziehen und mit Veröffentlichung drohen.
  • Vertrauensbasis für Geschäftsmodelle: Wer Kundendaten nachweisbar schützt, verhandelt leichter mit Konzernkunden und deren Datenschutzprüfungen.

Typische Szenarien

Ein Handelsunternehmen konsolidiert Kundendaten aus Shop, CRM und Newsletter-System. Erst das Verzeichnis der Verarbeitungstätigkeiten deckt auf, wie viele Kopien existieren. Die Zahl der Speicherorte wird reduziert, Zugriffe werden rollenbasiert eingeschränkt.

Ein Dienstleister verarbeitet Gesundheitsdaten für Krankenkassen. Wegen der besonderen Kategorien gelten verschärfte Anforderungen: Die Systeme laufen in einem eigenen Netzsegment, jeder Zugriff wird protokolliert, und die Übertragung erfolgt durchgehend verschlüsselt.

Eine Ransomware-Gruppe dringt über einen kompromittierten Arbeitsplatz ein. Weil die Personalsysteme strikt segmentiert sind, scheitert die Ausbreitung dorthin. Der Vorfall bleibt auf unkritische Systeme begrenzt und löst keine Benachrichtigung der Belegschaft aus.

PII vs. pseudonymisierte Daten

Pseudonymisierung ersetzt direkte Identifikatoren durch Kennungen, etwa eine Kundennummer statt des Namens. Entscheidend: Pseudonymisierte Daten bleiben personenbezogen, weil die Zuordnung mit dem getrennt verwahrten Schlüssel weiterhin möglich ist. Die DSGVO gilt für sie in vollem Umfang, honoriert die Maßnahme aber als Risikominderung im Sinne von Artikel 32.

Davon zu unterscheiden ist die Anonymisierung. Sie entfernt den Personenbezug unumkehrbar, sodass die DSGVO auf die Daten keine Anwendung mehr findet. Die Hürde ist hoch: Lässt sich der Bezug durch Zusatzwissen oder Verknüpfung mit anderen Quellen wiederherstellen, sind die Daten nur pseudonym. Für Analysen und Tests lohnt die Prüfung, welche der beiden Stufen tatsächlich erreicht wird.

Schutz personenbezogener Daten bei KAEMI

KAEMI sichert die Netzwerke, in denen personenbezogene Daten fließen. Mit Mikrosegmentierung werden Systeme mit Kunden- oder Personaldaten präzise isoliert. Zugriffe folgen dem Need-to-know-Prinzip, und die Visualisierung aller Verbindungen liefert den Nachweis für Datenschutzprüfungen. Für Mitarbeitende im Homeoffice und in den Niederlassungen sorgt der Zero-Trust-Ansatz von Secure Access Service Edge dafür, dass jeder Zugriff auf Datenbestände authentifiziert, verschlüsselt und protokolliert erfolgt. Wenn Sie den Schutzbedarf Ihrer Datenbestände strukturiert angehen wollen, erreichen Sie uns über die Kontaktseite .

Häufige Fragen zu Personenbezogene Daten (PII)

Ist eine IP-Adresse ein personenbezogenes Datum?

Ja, in aller Regel. Auch dynamische IP-Adressen gelten als personenbezogen, wenn der Verantwortliche über rechtliche Mittel verfügt, den Anschlussinhaber bestimmen zu lassen. Das hat der Europäische Gerichtshof bestätigt. Für die Praxis heißt das: Logdateien, Analysewerkzeuge und Firewalls verarbeiten personenbezogene Daten und gehören in das Verzeichnis der Verarbeitungstätigkeiten.

Was sind besondere Kategorien personenbezogener Daten?

Artikel 9 DSGVO listet Daten mit erhöhtem Schutzbedarf: Gesundheitsdaten, genetische und biometrische Daten, Angaben zu ethnischer Herkunft, politischen Meinungen, religiösen Überzeugungen, Gewerkschaftszugehörigkeit sowie zu Sexualleben oder sexueller Orientierung. Ihre Verarbeitung ist nur unter engen Ausnahmen zulässig und verlangt strengere Schutzmaßnahmen, etwa durchgehende Verschlüsselung und besonders restriktive Zugriffsrechte.

Sind pseudonymisierte Daten noch personenbezogen?

Ja. Solange sich der Personenbezug über einen Schlüssel oder Zusatzwissen wiederherstellen lässt, bleiben die Daten im Anwendungsbereich der DSGVO. Pseudonymisierung ist trotzdem wertvoll: Sie senkt das Risiko bei Vorfällen erheblich und wird von Artikel 32 DSGVO ausdrücklich als Schutzmaßnahme genannt. Erst eine unumkehrbare Anonymisierung beendet die datenschutzrechtlichen Pflichten.

Welche technischen Maßnahmen verlangt die DSGVO konkret?

Artikel 32 nennt beispielhaft Pseudonymisierung und Verschlüsselung sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit dauerhaft sicherzustellen. Konkrete Produkte schreibt das Gesetz nicht vor, gefordert ist ein dem Risiko angemessenes Niveau. In der Praxis bewährt haben sich Zugriffskontrolle mit Mehrfaktor-Authentifizierung, Netzwerksegmentierung, Protokollierung und regelmäßig getestete Backups.

Wann muss eine Datenpanne gemeldet werden?

Eine Verletzung des Schutzes personenbezogener Daten ist der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden zu melden, außer sie führt voraussichtlich zu keinem Risiko für die Betroffenen. Besteht ein hohes Risiko, sind zusätzlich die betroffenen Personen zu benachrichtigen. Vorbereitete Meldewege und eine saubere Protokollierung entscheiden darüber, ob diese Frist haltbar ist.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.