Secrails LogoSECRAILS
Zurück zum BlogDatenschutz & Datensicherheit

PII-Beispiele: Was gilt 2026 als personenbezogene Information?

secrails··11 Min.
Data PrivacyPII ProtectionGDPRComplianceCloud Security
Visuelle Klassifizierungskarte von PII-Beispielen mit Datenkategorien wie Sozialversicherungsnummern, Biometrie und Finanzdaten in einem sicheren Datenverwaltungssystem

Das Klassifizierungsproblem, über das niemand spricht

IBMs Bericht zu den Kosten einer Datenschutzverletzung 2026 beziffert den durchschnittlichen Schaden auf 4,88 Millionen US-Dollar. Ein erheblicher Teil dieser Summe entsteht durch ein spezifisches Versagen: Unternehmen wussten nicht, welche Daten sie besaßen, wo diese gespeichert waren oder ob sie als PII galten — bis die Daten bereits exponiert waren. Das ist kein Problem mit Sicherheitswerkzeugen. Das ist ein Klassifizierungsproblem.

PII — personenbezogene Informationen — klingt nach einem klaren Konzept. Ist es aber nicht. Regulatorische Frameworks sind sich bei den genauen Definitionen uneinig. NIST SP 800-122 definiert PII anders als die DSGVO. CCPA fügt eine weitere Ebene hinzu. Und dann liefert das Engineering-Team ein Feature aus, das IP-Adressen im Klartext protokolliert, und plötzlich diskutiert man mit dem Datenschutzbeauftragten über Meldepflichten.

Dieser Leitfaden schafft Klarheit: konkrete Beispiele, reale Grenzfälle und die Compliance-Implikationen, die 2026 wirklich relevant sind.

Was gilt als PII? Das grundlegende Framework

Die NIST-Definition aus SP 800-122 bleibt der Branchenstandard: PII sind alle Informationen, die zur Identifizierung einer Person verwendet werden können — allein oder in Kombination mit anderen verknüpfbaren Informationen. Der zweite Teil der Definition — in Kombination mit anderen Informationen — ist der Punkt, an dem die meisten Unternehmen scheitern.

Ein Name allein? Diskutabel. Ein Name plus Arbeitgeber plus Postleitzahl? Mit hoher Wahrscheinlichkeit PII. Dies ist das Verknüpfbarkeitsproblem, und genau deshalb können statische Listen von PII-Kategorien gefährlich unvollständig sein.

Die DSGVO geht noch weiter: Alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gelten als personenbezogene Daten. Eine IP-Adresse ist nach DSGVO personenbezogenes Datum — eine Position, die der EuGH im Fall Breyer gegen Deutschland bestätigt hat.

Direkte vs. indirekte Identifikatoren

Direkte Identifikatoren umfassen vollständige Namen, Sozialversicherungsnummern, Reisepassnummern, Führerscheinnummern, biometrische Daten und staatlich ausgestellte ID-Nummern. Indirekte Identifikatoren umfassen Postleitzahlen, Geburtsdaten, Geschlecht, Arbeitgeber, Berufsbezeichnung, IP-Adressen, Geräte-IDs, Cookies, Verhaltensdaten und Standortverlauf.

Eine klassische Carnegie-Mellon-Studie zeigte, dass 87 Prozent der Amerikaner allein anhand von Postleitzahl, Geburtsdatum und Geschlecht eindeutig identifiziert werden konnten. Drei indirekte Identifikatoren — das Verknüpfbarkeitsrisiko in der Praxis.

PII-Beispiele nach Kategorie

Identitäts- und Behördendokumente

Sozialversicherungsnummern, Steuernummern, Reisepassnummern, nationale Ausweisnummern, Führerscheinnummern — unter jedem bedeutenden Framework eindeutig PII und die begehrtesten Ziele bei Credential-Diebstahl. Die Exposition dieser Daten löst unter nahezu allen US-Bundesstaaten-Meldepflichtgesetzen und DSGVO-Artikeln 33 und 34 Benachrichtigungspflichten aus.

Kontaktdaten und technische Identifikatoren

Vollständiger Name, Wohnadresse, persönliche E-Mail-Adresse und persönliche Telefonnummer sind alle PII. Eine häufig gestellte Frage: Ist eine Telefonnummer PII? Ja, eindeutig. Unter der DSGVO sind es personenbezogene Daten. Unter NIST SP 800-122 ist eine Telefonnummer entweder direkt identifizierend oder kann leicht mit anderen Informationen verknüpft werden.

IP-Adressen, Geräte-IDs, Cookie-Kennungen, mobile Werbe-IDs und Geolokationsdaten sind ebenfalls PII. Entwickler schaffen hier am häufigsten unbeabsichtigte PII-Expositionen. Log-Dateien enthalten IP-Adressen; Analytics-Plattformen erfassen Geräte-IDs. Deshalb muss das Secret-Detection-Tooling über API-Schlüssel hinausgehen und auch Log-Dateien mit personenbezogenen Daten abdecken.

Finanzielle und Gesundheitsdaten

Kreditkartennummern, Bankkontonummern, Kreditwürdigkeitsscores und Steuererklärungen sind PII. Biometrische Daten wie Fingerabdrücke, Gesichtserkennung und Irisscans sind besonders sensibel, da sie unveränderlich sind. DSGVO-Artikel 9 klassifiziert biometrische Daten zur eindeutigen Identifizierung als besondere Datenkategorie.

Sensible PII: Die Hochrisikokategorie

Nicht alle PII tragen das gleiche Risiko. Sensible PII ist ein Teilbereich, der erhöhten Schutz erfordert. Dazu gehören: Sozialversicherungsnummern, Finanzkontonummern mit Sicherheitscodes, biometrische Daten, Gesundheitsinformationen, sexuelle Orientierung, religiöse und politische Überzeugungen, rassische oder ethnische Herkunft, Vorstrafen, präzise Geodaten sowie Passwörter.

DSGVO-Artikel 9 bildet dieses Konzept mit seinen besonderen Kategorien personenbezogener Daten ab. Verletzungen dieser Schutzmaßnahmen können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Um sensible PII konsistent zu schützen, sind automatisierte Compliance-Lösungen unerlässlich — manuelle Audits skalieren nicht.

PII in Cloud-Umgebungen

Das PII-Klassifizierungsproblem wird in Cloud-Umgebungen deutlich komplexer. Datenkopien proliferieren, Dev-Umgebungen werden mit Produktionsdaten befüllt, S3-Buckets werden falsch konfiguriert. CSPM-Tools scannen kontinuierlich auf Fehlkonfigurationen, die PII exponieren: öffentliche S3-Buckets, unverschlüsselte Datenbankinstanzen, übermäßig permissive IAM-Richtlinien. Das Ziel ist es, den Schaden zu begrenzen, bevor eine Fehlkonfiguration zur meldepflichtigen Datenpanne wird.

In CI/CD-Pipelines integrierte statische Analyse erkennt PII-Muster bereits im Quellcode, bevor sie in Produktion gelangen — Shift-Left konsequent angewendet. Auch die Integration mit dem Cloud-Inventar ist entscheidend: Ohne vollständigen Asset-Überblick bleiben blinde Flecken in der PII-Klassifizierung unvermeidlich.

Was die Compliance-Frameworks wirklich verlangen

Die DSGVO schreibt sieben Grundsätze vor: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Artikel 25 fordert Privacy by Design. Datenschutzverletzungen müssen innerhalb von 72 Stunden nach Entdeckung an die Aufsichtsbehörde gemeldet werden. Das NIST Privacy Framework ergänzt diese Anforderungen um risikobasierte Kontrollfunktionen und wird zunehmend als Baseline für kommerzielle Datenschutzprogramme eingesetzt.

Technische Schutzmaßnahmen in der Praxis

Sensible PII im Ruhezustand benötigt mindestens AES-256-Verschlüsselung, bei der Übertragung TLS 1.3. Tokenisierung ersetzt PII-Werte durch nicht-sensible Token. Das Prinzip der minimalen Rechtevergabe stellt sicher, dass Rollen nur auf die für ihre Funktion notwendige PII zugreifen können. Vulnerability Management stellt sicher, dass PII-speichernde Systeme keine ungepatchten Schwachstellen aufweisen.

Bei SECRAILS sehen wir diese Muster regelmäßig bei Cloud-Security-Assessments. PII-Exposition ist selten das Ergebnis ausgeklügelter Angriffe — fast immer sind es Konfigurations- oder Prozessfehler, die früher im Entwicklungslebenszyklus hätten erkannt werden können.

Frequently Asked Questions

Was sind die häufigsten Beispiele für PII?

Zu den häufigsten PII-Beispielen gehören vollständige Namen, Sozialversicherungsnummern, Wohnadressen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Reisepassnummern, Führerscheinnummern, IP-Adressen, Geräte-IDs und Finanzkontodaten. Biometrische Daten wie Fingerabdrücke und Gesichtserkennungsvorlagen qualifizieren ebenfalls als sensible PII nach DSGVO und NIST SP 800-122.

Gilt eine Telefonnummer als PII?

Ja, eine Telefonnummer ist PII. Unter der DSGVO ist sie ein personenbezogenes Datum, da sie eine bestimmte Person identifizieren kann. NIST SP 800-122 behandelt Telefonnummern als PII, da sie entweder direkt eine Person identifizieren oder mit anderen Daten kombiniert werden können. Der wesentliche Unterschied liegt zwischen persönlichen Rufnummern — eindeutig PII — und allgemeinen Unternehmensrufnummern, bei denen mehrere Personen antworten.

Was ist der Unterschied zwischen PII und sensibler PII?

PII umfasst alle Informationen, die eine Person identifizieren können. Sensible PII ist eine Teilmenge, die stärkeren Schutz erfordert, da ihre Exposition größeren Schaden verursacht. Sensible PII umfasst Sozialversicherungsnummern, biometrische Daten, Gesundheitsinformationen, Finanzkontodaten mit Sicherheitscodes und besondere Kategorien nach DSGVO wie ethnische Herkunft, sexuelle Orientierung und religiöse Überzeugungen. Die Unterscheidung beeinflusst Verschlüsselungsanforderungen, Zugangskontrollen und Meldeschwellen.

Gilt die DSGVO für alle Arten von PII?

Die DSGVO gilt für personenbezogene Daten, was ein breiteres Konzept ist als die traditionelle US-Definition von PII. Unter der DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, personenbezogene Daten — einschließlich indirekter Identifikatoren wie IP-Adressen, Cookie-Kennungen und Standortdaten. Wenn Ihre Organisation Daten von EU-Bürgern verarbeitet, gilt die DSGVO unabhängig vom Standort Ihrer Organisation.

Wie sollten Unternehmen PII in Cloud-Umgebungen schützen?

Ein effektiver PII-Schutz in Cloud-Umgebungen erfordert mehrere aufeinander abgestimmte Kontrollen: automatisierte PII-Erkennung, um zu wissen, wo personenbezogene Daten in Speichern, Datenbanken und Logs vorhanden sind; CSPM-Tools zur Erkennung von Fehlkonfigurationen; Verschlüsselung mit AES-256 im Ruhezustand und TLS 1.3 bei der Übertragung; Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe; statische Analyse in CI/CD-Pipelines; und kontinuierliches Schwachstellenmanagement. Dev-Umgebungen sollten synthetische Daten statt Produktions-PII verwenden.

PII-Exposition stoppen, bevor sie zur Datenpanne wird

Automatisieren Sie die PII-Erkennung, klassifizieren Sie sensible Daten in Ihrer gesamten Cloud-Infrastruktur und setzen Sie Compliance-Kontrollen kontinuierlich durch.

Compliance-Automatisierung entdecken