IBMs Bericht zu den Kosten von Datenschutzverletzungen 2026 bezifferte die weltweiten Durchschnittskosten eines Datenlecks auf 4,88 Millionen Dollar — und der gemeinsame Nenner der meisten Vorfälle war die Exposition personenbezogener Daten. PII ist gleichzeitig das am häufigsten angegriffene Asset in modernen Cyberangriffen und der am wenigsten einheitlich definierte Begriff in den Datenschutzprogrammen vieler Unternehmen.
Sicherheitsingenieure diskutieren es ständig. Rechtsteams interpretieren es unterschiedlich. Und Regulierungsbehörden — DSGVO, CCPA, HIPAA, NIST — sind sich nicht immer einig, wo die Grenzen liegen. Schauen wir uns daher genau an, was PII wirklich ist, welche Beispiele unter verschiedenen regulatorischen Rahmenwerken relevant sind und was Ihr Team zum Schutz dieser Daten tun muss.
Was ist PII? Die Arbeitsdefinition
PII bezeichnet alle Informationen, die allein oder in Kombination mit anderen Daten zur Identifizierung einer bestimmten Person verwendet werden können. Der letzte Teil ist entscheidend: allein oder in Kombination. Ein Name allein mag harmlos erscheinen. Verbindet man ihn mit Arbeitgeber, Postleitzahl und Geburtsdatum, erhält man eine Kombination von Quasi-Identifikatoren, die eine Person mit erschreckender Genauigkeit re-identifizieren kann.
NIST SP 800-122 definiert PII als Informationen, die die Identität einer Person unterscheiden oder zurückverfolgen können, entweder allein oder in Kombination mit anderen verknüpften Informationen. Die DSGVO verwendet den weiteren Begriff personenbezogene Daten — jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Eine statische IP-Adresse ist unter der DSGVO eindeutig PII; nach älteren US-Bundesstandards ist die Antwort weniger klar.
Direkte PII-Beispiele
Direkte Identifikatoren sind Datenpunkte, die für sich allein eine Person eindeutig identifizieren. Dies sind die hochrangigen Assets in jeder Datenklassifizierungsrichtlinie:
- Vollständiger Name — Vor-, Mittel- und Nachname, Geburtsname, rechtliche Aliase
- Sozialversicherungsnummer — Das klassische US-Beispiel für sensitive PII
- Reisepassnummer — Staatlich ausgestellt; weltweit eindeutig einer Person zugeordnet
- Führerscheinnummer — Staatlich ausgestellt, aber direkter Identifikator
- Nationale Ausweisnummern — Steueridentifikationsnummer in Deutschland, AADHAAR in Indien
- Biometrische Daten — Fingerabdrücke, Netzhautscans, Gesichtsgeometrie, Stimmabdrücke, DNA-Sequenzen
- Finanzkontonummern — Bankkontonummer, Kredit- und Debitkartennummern, IBAN
- Krankenaktennummern — Unter HIPAA als PHI eingestuft
Biometrische Daten sind nicht nur PII — sie sind sensitive PII und nach Artikel 9 der DSGVO eine besondere Datenkategorie, die ausdrückliche Einwilligung und erhöhten Schutz erfordert.
Indirekte PII-Beispiele
Indirekte Identifikatoren sind diejenigen, die selbst erfahrene Compliance-Teams in die Falle locken. Diese Datenpunkte identifizieren jemanden nicht direkt, werden aber in Kombination mit anderen verfügbaren Informationen identifizierend. Telefonnummern sind unter DSGVO, CCPA und NIST SP 800-122 eindeutig PII. IP-Adressen gelten nach einem EuGH-Urteil als personenbezogene Daten. E-Mail-Adressen, Geolokationsdaten und Gerätekennungen wie MAC-Adressen vervollständigen die Liste der indirekten Identifikatoren, die in jedem modernen Datenschutzprogramm berücksichtigt werden müssen.
Sensitive PII: Die Hochrisiko-Kategorie
Nicht alle PII tragen das gleiche Risiko. Sensitive personenbezogene Daten sind Daten, deren Offenlegung unverhältnismäßig großen Schaden verursacht. Beispiele umfassen Sozialversicherungsnummern, biometrische Identifikatoren, Finanzkontozugangsdaten, medizinische Informationen, sexuelle Orientierung, religiöse und politische Überzeugungen, Einwanderungsstatus sowie genetische Daten. Artikel 9 der DSGVO listet besondere Kategorien auf, die ausdrückliche Einwilligung und zusätzliche Schutzmaßnahmen erfordern.
PII im Code: Wo Ingenieure tatsächlich Daten verlieren
PII leckt nicht nur aus kompromittierten Datenbanken — sie leckt aus Anwendungscode. Hardcodierte API-Schlüssel, Debug-Logs mit vollständigen Request-Payloads und Fehlermeldungen, die Benutzereingaben zurückgeben, sind klassische Verlustquellen. Die Secret Detection-Funktionen moderner Sicherheitsplattformen existieren genau deshalb, weil Entwickler versehentlich Zugangsdaten commiten, die Zugang zu PII-Speichern gewähren. Statische Analyse durch SAST-Tools kann gefährliche Muster erkennen, bevor sie in Produktion gelangen.
Technische und organisatorische Schutzmaßnahmen
Automatisierte Tools sollten Cloud-Speicher, Datenbanken und Data Lakes auf PII-Muster scannen. Cloud Inventory-Transparenz ist dabei grundlegend. Sensitive PII im Ruhezustand sollte auf Feldebene verschlüsselt sein. Tokenisierung ersetzt PII durch nicht-sensitive Token. IAM-Fehlkonfigurationen in Cloud-Umgebungen sind einer der führenden Vektoren für PII-Exposition — genau hier liefert CSPM-Tooling messbaren Mehrwert. Policy-as-Code ermöglicht die automatische Durchsetzung von Datenschutzregeln vor dem Produktiveinsatz.
PII-Compliance: Regulatorische Pflichten
Für DSGVO-pflichtige Organisationen sind die Anforderungen anspruchsvoll: Rechtsgrundlage für die Verarbeitung, Betroffenenrechte, Datenschutzfolgenabschätzungen und 72-Stunden-Meldepflicht bei Datenschutzverletzungen. Bußgelder können 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes erreichen. Das Aggregationsproblem gehört zu den am häufigsten unterschätzten PII-Risiken. Einzelne Datenpunkte, die harmlos erscheinen, werden identifizierend und schädlich, wenn sie kombiniert werden. Die Compliance-Tooling-Landschaft hat sich weiterentwickelt, um die Evidenzerfassung zu automatisieren, aber die zugrundeliegende Data-Governance-Arbeit ist unverzichtbar. Die Cloud Security-Postur Ihrer Umgebung beeinflusst direkt die PII-Angriffsfläche Ihres Unternehmens.

