Secrails LogoSECRAILS
Zurück zum BlogDatenschutz & Datensicherheit

PII-Beispiele: Was gilt 2026 als personenbezogene Daten?

secrails··10 Min.
Data PrivacyPIIGDPRComplianceData Protection
Digitale Illustration personenbezogener Datenkategorien als beschriftete Datenkarten — Name, SSN, Biometrie, IP-Adresse — vor dunkelblauem Hintergrund mit Klassifizierungsebenen

IBMs Bericht zu den Kosten von Datenschutzverletzungen 2026 bezifferte die weltweiten Durchschnittskosten eines Datenlecks auf 4,88 Millionen Dollar — und der gemeinsame Nenner der meisten Vorfälle war die Exposition personenbezogener Daten. PII ist gleichzeitig das am häufigsten angegriffene Asset in modernen Cyberangriffen und der am wenigsten einheitlich definierte Begriff in den Datenschutzprogrammen vieler Unternehmen.

Sicherheitsingenieure diskutieren es ständig. Rechtsteams interpretieren es unterschiedlich. Und Regulierungsbehörden — DSGVO, CCPA, HIPAA, NIST — sind sich nicht immer einig, wo die Grenzen liegen. Schauen wir uns daher genau an, was PII wirklich ist, welche Beispiele unter verschiedenen regulatorischen Rahmenwerken relevant sind und was Ihr Team zum Schutz dieser Daten tun muss.

Was ist PII? Die Arbeitsdefinition

PII bezeichnet alle Informationen, die allein oder in Kombination mit anderen Daten zur Identifizierung einer bestimmten Person verwendet werden können. Der letzte Teil ist entscheidend: allein oder in Kombination. Ein Name allein mag harmlos erscheinen. Verbindet man ihn mit Arbeitgeber, Postleitzahl und Geburtsdatum, erhält man eine Kombination von Quasi-Identifikatoren, die eine Person mit erschreckender Genauigkeit re-identifizieren kann.

NIST SP 800-122 definiert PII als Informationen, die die Identität einer Person unterscheiden oder zurückverfolgen können, entweder allein oder in Kombination mit anderen verknüpften Informationen. Die DSGVO verwendet den weiteren Begriff personenbezogene Daten — jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Eine statische IP-Adresse ist unter der DSGVO eindeutig PII; nach älteren US-Bundesstandards ist die Antwort weniger klar.

Direkte PII-Beispiele

Direkte Identifikatoren sind Datenpunkte, die für sich allein eine Person eindeutig identifizieren. Dies sind die hochrangigen Assets in jeder Datenklassifizierungsrichtlinie:

  • Vollständiger Name — Vor-, Mittel- und Nachname, Geburtsname, rechtliche Aliase
  • Sozialversicherungsnummer — Das klassische US-Beispiel für sensitive PII
  • Reisepassnummer — Staatlich ausgestellt; weltweit eindeutig einer Person zugeordnet
  • Führerscheinnummer — Staatlich ausgestellt, aber direkter Identifikator
  • Nationale Ausweisnummern — Steueridentifikationsnummer in Deutschland, AADHAAR in Indien
  • Biometrische Daten — Fingerabdrücke, Netzhautscans, Gesichtsgeometrie, Stimmabdrücke, DNA-Sequenzen
  • Finanzkontonummern — Bankkontonummer, Kredit- und Debitkartennummern, IBAN
  • Krankenaktennummern — Unter HIPAA als PHI eingestuft

Biometrische Daten sind nicht nur PII — sie sind sensitive PII und nach Artikel 9 der DSGVO eine besondere Datenkategorie, die ausdrückliche Einwilligung und erhöhten Schutz erfordert.

Indirekte PII-Beispiele

Indirekte Identifikatoren sind diejenigen, die selbst erfahrene Compliance-Teams in die Falle locken. Diese Datenpunkte identifizieren jemanden nicht direkt, werden aber in Kombination mit anderen verfügbaren Informationen identifizierend. Telefonnummern sind unter DSGVO, CCPA und NIST SP 800-122 eindeutig PII. IP-Adressen gelten nach einem EuGH-Urteil als personenbezogene Daten. E-Mail-Adressen, Geolokationsdaten und Gerätekennungen wie MAC-Adressen vervollständigen die Liste der indirekten Identifikatoren, die in jedem modernen Datenschutzprogramm berücksichtigt werden müssen.

Sensitive PII: Die Hochrisiko-Kategorie

Nicht alle PII tragen das gleiche Risiko. Sensitive personenbezogene Daten sind Daten, deren Offenlegung unverhältnismäßig großen Schaden verursacht. Beispiele umfassen Sozialversicherungsnummern, biometrische Identifikatoren, Finanzkontozugangsdaten, medizinische Informationen, sexuelle Orientierung, religiöse und politische Überzeugungen, Einwanderungsstatus sowie genetische Daten. Artikel 9 der DSGVO listet besondere Kategorien auf, die ausdrückliche Einwilligung und zusätzliche Schutzmaßnahmen erfordern.

PII im Code: Wo Ingenieure tatsächlich Daten verlieren

PII leckt nicht nur aus kompromittierten Datenbanken — sie leckt aus Anwendungscode. Hardcodierte API-Schlüssel, Debug-Logs mit vollständigen Request-Payloads und Fehlermeldungen, die Benutzereingaben zurückgeben, sind klassische Verlustquellen. Die Secret Detection-Funktionen moderner Sicherheitsplattformen existieren genau deshalb, weil Entwickler versehentlich Zugangsdaten commiten, die Zugang zu PII-Speichern gewähren. Statische Analyse durch SAST-Tools kann gefährliche Muster erkennen, bevor sie in Produktion gelangen.

Technische und organisatorische Schutzmaßnahmen

Automatisierte Tools sollten Cloud-Speicher, Datenbanken und Data Lakes auf PII-Muster scannen. Cloud Inventory-Transparenz ist dabei grundlegend. Sensitive PII im Ruhezustand sollte auf Feldebene verschlüsselt sein. Tokenisierung ersetzt PII durch nicht-sensitive Token. IAM-Fehlkonfigurationen in Cloud-Umgebungen sind einer der führenden Vektoren für PII-Exposition — genau hier liefert CSPM-Tooling messbaren Mehrwert. Policy-as-Code ermöglicht die automatische Durchsetzung von Datenschutzregeln vor dem Produktiveinsatz.

PII-Compliance: Regulatorische Pflichten

Für DSGVO-pflichtige Organisationen sind die Anforderungen anspruchsvoll: Rechtsgrundlage für die Verarbeitung, Betroffenenrechte, Datenschutzfolgenabschätzungen und 72-Stunden-Meldepflicht bei Datenschutzverletzungen. Bußgelder können 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes erreichen. Das Aggregationsproblem gehört zu den am häufigsten unterschätzten PII-Risiken. Einzelne Datenpunkte, die harmlos erscheinen, werden identifizierend und schädlich, wenn sie kombiniert werden. Die Compliance-Tooling-Landschaft hat sich weiterentwickelt, um die Evidenzerfassung zu automatisieren, aber die zugrundeliegende Data-Governance-Arbeit ist unverzichtbar. Die Cloud Security-Postur Ihrer Umgebung beeinflusst direkt die PII-Angriffsfläche Ihres Unternehmens.

Frequently Asked Questions

Was sind die häufigsten Beispiele für PII?

Die häufigsten PII-Beispiele umfassen vollständige Namen, Sozialversicherungsnummern, Pass- und Führerscheinnummern, E-Mail-Adressen, Telefonnummern, physische Adressen, IP-Adressen und biometrische Daten wie Fingerabdrücke und Gesichtsgeometrie. Finanzkontonummern, Krankenaktennummern und Gerätekennungen wie MAC-Adressen gelten ebenfalls als PII.

Gilt eine Telefonnummer als PII?

Ja, Telefonnummern gelten unter DSGVO, CCPA und NIST SP 800-122 universell als PII. Eine Telefonnummer verweist direkt auf einen registrierten Teilnehmer und ist damit ein identifizierender Datenpunkt. Mobiltelefonnummern tragen eine höhere Sensibilität als Bürotelefone und sollten als sensitive PII behandelt werden.

Was ist der Unterschied zwischen PII und sensibler PII?

PII sind alle Daten, die eine Person identifizieren können, während sensitive PII eine Teilmenge ist, deren Offenlegung unverhältnismäßig großen Schaden verursacht — finanzielle Verluste, Diskriminierung, physische Gefahr oder Identitätsdiebstahl. Beispiele für sensitive PII sind Sozialversicherungsnummern, biometrische Daten, Finanzkontozugangsdaten, Krankenakten, sexuelle Orientierung, Einwanderungsstatus und genetische Daten.

Wie definiert die DSGVO PII im Vergleich zu US-Vorschriften?

Die DSGVO verwendet den Begriff personenbezogene Daten und wendet die breiteste Definition an: jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht, einschließlich pseudonymisierter Daten und IP-Adressen. US-Rahmenwerke wie NIST SP 800-122, HIPAA und CCPA sind enger gefasst. Der extraterritoriale Geltungsbereich der DSGVO macht sie zum de-facto-globalen Standard für die meisten multinationalen Unternehmen.

Wie sollten Unternehmen PII in Cloud-Umgebungen schützen?

Unternehmen sollten PII in Cloud-Umgebungen schützen, indem sie ein vollständiges Dateninventar pflegen, Feldebenen-Verschlüsselung für sensitive PII durchsetzen, Least-Privilege-Zugriffskontrollen auf PII-Datenspeicher anwenden, mit CSPM- und SAST-Tooling auf Secrets und Fehlkonfigurationen scannen und Datenverarbeitungsregeln als Policy-as-Code in CI/CD-Pipelines kodifizieren.

Verhindern Sie PII-Datenlecks in Ihrer Cloud

Automatisieren Sie die PII-Erkennung, setzen Sie Datenverarbeitungsrichtlinien als Code durch und gewährleisten Sie kontinuierliche Compliance in Ihrer Cloud-Umgebung.

Compliance-Lösungen entdecken