Kundendatenbanken, Personalakten, Logdateien mit IP-Adressen: Praktisch jedes Unternehmen verarbeitet personenbezogene Daten, oft an weit mehr Stellen als vermutet. Die DSGVO knüpft daran umfangreiche Pflichten, von der Rechtsgrundlage bis zur Meldung von Datenpannen. Für IT-Entscheider ist der Begriff deshalb keine juristische Randnotiz. Er bestimmt, welche Systeme besonders geschützt werden müssen und wo ein Vorfall teuer wird.
Was sind personenbezogene Daten?
Nach Artikel 4 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar heißt: Die Person muss sich direkt oder indirekt bestimmen lassen, etwa über Name, Kennnummer, Standortdaten oder Online-Kennungen. Damit fallen neben offensichtlichen Angaben wie Adresse oder Geburtsdatum auch IP-Adressen, Gerätekennungen, Kundennummern und Bewegungsprofile unter den Begriff.
Im englischsprachigen Raum ist die Abkürzung PII (Personally Identifiable Information) verbreitet. Sie wird häufig synonym verwendet, ist im US-Verständnis aber enger gefasst als der europäische Begriff. Für Unternehmen im Geltungsbereich der DSGVO ist die weite europäische Definition maßgeblich.
Eine eigene Schutzstufe gilt für besondere Kategorien nach Artikel 9 DSGVO, darunter Gesundheitsdaten, biometrische und genetische Daten sowie Angaben zu Religion, politischen Überzeugungen oder sexueller Orientierung. Ihre Verarbeitung ist grundsätzlich untersagt und erst unter engen Ausnahmen erlaubt.
Wie funktioniert der Schutz personenbezogener Daten?
Der Schutz entsteht aus dem Zusammenspiel rechtlicher, organisatorischer und technischer Maßnahmen:
- Rechtsgrundlage sichern: Jede Verarbeitung braucht eine Grundlage nach Artikel 6 DSGVO, etwa eine Einwilligung, einen Vertrag oder ein berechtigtes Interesse. Ohne Grundlage ist die Verarbeitung unzulässig.
- Datenbestand kennen: Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert, welche Daten wo und zu welchem Zweck verarbeitet werden. Es ist zugleich die Landkarte für alle Schutzmaßnahmen.
- Datenminimierung leben: Erhoben wird, was für den Zweck erforderlich ist. Löschkonzepte sorgen dafür, dass Daten nach Ablauf der Fristen tatsächlich verschwinden.
- Technisch absichern: Artikel 32 DSGVO verlangt dem Risiko angemessene Maßnahmen. Dazu zählen Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrolle nach dem Need-to-know-Prinzip, Netzwerksegmentierung um Systeme mit sensiblen Daten sowie Protokollierung und getestete Backups.
- Organisatorisch verankern: Berechtigungsprozesse, Schulungen, Verträge zur Auftragsverarbeitung und ein geübter Meldeweg für Datenpannen machen den Schutz alltagstauglich. Bei einer meldepflichtigen Panne bleiben 72 Stunden für die Meldung an die Aufsichtsbehörde.
Warum der Schutz personenbezogener Daten wichtig ist
- Hohe Bußgelder: Die DSGVO sieht Bußgelder bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Wert höher ist.
- Ansprüche Betroffener: Neben Behördenverfahren drohen Auskunftswellen und Schadenersatzforderungen, die nach einem Vorfall erhebliche Kapazitäten binden.
- Reputationsrisiko: Datenpannen werden öffentlich, spätestens durch die Benachrichtigungspflicht gegenüber Betroffenen. Verlorenes Vertrauen wirkt länger als jedes Bußgeld.
- Attraktives Angriffsziel: Identitätsdaten lassen sich monetarisieren. Systeme mit Personendaten stehen deshalb im Fokus von Ransomware-Gruppen, die vor der Verschlüsselung Daten abziehen und mit Veröffentlichung drohen.
- Vertrauensbasis für Geschäftsmodelle: Wer Kundendaten nachweisbar schützt, verhandelt leichter mit Konzernkunden und deren Datenschutzprüfungen.
Typische Szenarien
Ein Handelsunternehmen konsolidiert Kundendaten aus Shop, CRM und Newsletter-System. Erst das Verzeichnis der Verarbeitungstätigkeiten deckt auf, wie viele Kopien existieren. Die Zahl der Speicherorte wird reduziert, Zugriffe werden rollenbasiert eingeschränkt.
Ein Dienstleister verarbeitet Gesundheitsdaten für Krankenkassen. Wegen der besonderen Kategorien gelten verschärfte Anforderungen: Die Systeme laufen in einem eigenen Netzsegment, jeder Zugriff wird protokolliert, und die Übertragung erfolgt durchgehend verschlüsselt.
Eine Ransomware-Gruppe dringt über einen kompromittierten Arbeitsplatz ein. Weil die Personalsysteme strikt segmentiert sind, scheitert die Ausbreitung dorthin. Der Vorfall bleibt auf unkritische Systeme begrenzt und löst keine Benachrichtigung der Belegschaft aus.
PII vs. pseudonymisierte Daten
Pseudonymisierung ersetzt direkte Identifikatoren durch Kennungen, etwa eine Kundennummer statt des Namens. Entscheidend: Pseudonymisierte Daten bleiben personenbezogen, weil die Zuordnung mit dem getrennt verwahrten Schlüssel weiterhin möglich ist. Die DSGVO gilt für sie in vollem Umfang, honoriert die Maßnahme aber als Risikominderung im Sinne von Artikel 32.
Davon zu unterscheiden ist die Anonymisierung. Sie entfernt den Personenbezug unumkehrbar, sodass die DSGVO auf die Daten keine Anwendung mehr findet. Die Hürde ist hoch: Lässt sich der Bezug durch Zusatzwissen oder Verknüpfung mit anderen Quellen wiederherstellen, sind die Daten nur pseudonym. Für Analysen und Tests lohnt die Prüfung, welche der beiden Stufen tatsächlich erreicht wird.
Schutz personenbezogener Daten bei KAEMI
KAEMI sichert die Netzwerke, in denen personenbezogene Daten fließen. Mit Mikrosegmentierung werden Systeme mit Kunden- oder Personaldaten präzise isoliert. Zugriffe folgen dem Need-to-know-Prinzip, und die Visualisierung aller Verbindungen liefert den Nachweis für Datenschutzprüfungen. Für Mitarbeitende im Homeoffice und in den Niederlassungen sorgt der Zero-Trust-Ansatz von Secure Access Service Edge dafür, dass jeder Zugriff auf Datenbestände authentifiziert, verschlüsselt und protokolliert erfolgt. Wenn Sie den Schutzbedarf Ihrer Datenbestände strukturiert angehen wollen, erreichen Sie uns über die Kontaktseite .