Es gibt zwei Arten von personenbezogenen Daten: direkte Identifikatoren und indirekte Identifikatoren. Direkte Identifikatoren sind für eine Person eindeutig und beinhalten Dinge wie eine Reisepassnummer oder eine Führerscheinnummer. Ein einziger direkter Identifikator reicht in der Regel aus, um die Identität einer Person zu bestimmen.

Indirekte Identifikatoren sind nicht eindeutig. Dazu gehören allgemeinere persönliche Daten wie zum Beispiel die ethnische Herkunft und der Geburtsort. Während ein einzelner indirekter Identifikator eine Person nicht identifizieren kann, ist dies möglich, wenn man mehrere solcher Identifikatoren miteinander kombiniert. Beispielsweise lassen sich 87 % der US-Bürger (Link befindet sich außerhalb von ibm.com) einfach anhand ihres Geschlechts, ihrer Postleitzahl und ihres Geburtsdatums identifizieren.

Nicht alle persönlichen Daten gelten als personenbezogene Daten. Daten über die Streaming-Gewohnheiten einer Person sind beispielsweise keine personenbezogenen Daten, da es schwierig, wenn nicht sogar unmöglich wäre, Personen nur auf Basis dessen zu erkennen, was sie auf Netflix gesehen haben. Personenbezogene Daten beziehen sich nur auf Informationen, die auf eine bestimmte Person verweisen – wie zum Beispiel die Art von Informationen, die Sie zur Überprüfung Ihrer Identität angeben, wenn Sie sich an Ihre Bank wenden.

Bei personenbezogenen Daten sind einige Informationen sensibler als andere. Sensible personenbezogene Daten sind vertrauliche Informationen, die direkt eine Person identifizieren und bei deren Veröffentlichung oder Diebstahl erhebliche Schäden entstehen können. Eine Sozialversicherungsnummer (SSN) ist ein gutes Beispiel für sensible personenbezogene Daten. Da viele Regierungsbehörden und Finanzinstitute in den USA Sozialversicherungsnummern verwenden, um die Identität von Personen zu überprüfen, könnte ein Krimineller, der eine Sozialversicherungsnummer stiehlt, leicht auf die Steuerunterlagen oder Bankkonten seines Opfers zugreifen. Weitere Beispiele für sensible personenbezogene Daten sind:

• Eindeutige Identifikationsnummern wie Führerscheinnummern, Reisepassnummern und andere behördlich ausgestellte ID-Nummern
• Biometrische Daten wie Fingerabdrücke und Netzhautscans
• Finanzinformationen, einschließlich Bankkontonummern und Kreditkartennummern
• Krankenakten

Sensible personenbezogene Daten sind in der Regel nicht öffentlich zugänglich, und die meisten bestehenden Datenschutzgesetze verlangen von Unternehmen, sie zu schützen, indem sie sie verschlüsseln, kontrollieren, wer darauf zugreift, oder andere Cybersicherheitsmaßnahmen ergreifen.

Bei nicht sensiblen personenbezogenen Daten handelt es sich um personenbezogene Daten, die für sich genommen einer Person keinen nennenswerten Schaden zufügen würden, wenn sie veröffentlicht oder gestohlen werden. Sie können für eine Person eindeutig sein oder auch nicht. Ein Social-Media-Handle würde zum Beispiel zu den nicht sensiblen personenbezogenen Daten gehören: Damit könnte man jemanden identifizieren, aber ein böswilliger Akteur könnte keinen Identitätsdiebstahl begehen, wenn er nur den Namen eines Social-Media-Kontos hätte. Weitere Beispiele für nicht sensible personenbezogene Daten sind:

• Vollständiger Name einer Person
• Mädchenname der Mutter
• Telefonnummer
• IP-Adresse
• Geburtsort
• Geburtsdatum
• Geografische Details (Postleitzahl, Stadt, Bundesland, Land usw.)
• Informationen zur Beschäftigung
• E-Mail-Adresse oder Postanschrift
• Ethnische Herkunft oder Zugehörigkeit
• Religion

Nicht-sensible personenbezogene Daten sind häufig öffentlich verfügbar – z. B. können Telefonnummern in einem Telefonbuch stehen und Adressen können in den Akten über öffentliches Eigentum einer Lokalbehörde aufgeführt sein. Einige Datenschutzbestimmungen schreiben den Schutz nicht sensibler personenbezogener Daten nicht vor, aber viele Unternehmen treffen trotzdem Schutzmaßnahmen. Der Grund dafür ist, dass Kriminelle möglicherweise Probleme verursachen könnten, indem sie mehrere nicht sensible personenbezogene Daten zusammenführen.

Zum Beispiel könnte sich ein Hacker mit der Telefonnummer, der E-Mail-Adresse und dem Mädchennamen der Mutter Zugriff auf die Bankkonto-App einer Person verschaffen. Die E-Mail ist der Benutzername. Durch Spoofing der Telefonnummer können die Hacker einen Bestätigungscode erhalten. Der Mädchenname der Mutter ist die Antwort auf die Sicherheitsfrage.

Es ist wichtig zu beachten, dass es stark vom Kontext abhängt, ob Informationen als sensible oder nicht sensible personenbezogene Daten gelten. Ein vollständiger Name ist an sich möglicherweise nicht unbedingt eine sensible Information, aber eine Liste von Personen, die einen bestimmten Arzt aufgesucht haben, würde zu den sensiblen personenbezogenen Daten gehören. Ebenso ist die Telefonnummer einer Person möglicherweise öffentlich verfügbar, aber eine Datenbank mit Telefonnummern, die für die Zwei-Faktor-Authentifizierung auf einer Social-Media-Website verwendet werden, würde sensible personenbezogene Daten enthalten.

Wann werden sensible Informationen zu personenbezogenen Daten?

Der Kontext bestimmt auch, ob Informationen überhaupt als personenbezogene Daten betrachtet werden. Beispielsweise werden aggregierte anonyme Geolokalisierungsdaten oft als generische persönliche Daten angesehen, da die Identität eines einzelnen Benutzers nicht isoliert werden kann. Einzelne Datensätze anonymer Geolokalisierungsdaten können jedoch zu personenbezogenen Daten werden, wie eine kürzliche Klage der Federal Trade Commission (FTC) (Link befindet sich außerhalb von ibm.com) zeigt. Die FTC argumentiert, dass der Datenbroker Kochava Geolokalisierungsdaten verkauft habe, die als personenbezogene Daten galten, weil „die angepassten Datenfeeds des Unternehmens es Käufern ermöglichen, bestimmte Benutzer mobiler Geräte zu identifizieren und zu tracken. So ist zum Beispiel der Standort eines Mobilgeräts bei Nacht wahrscheinlich die Privatadresse des Benutzers und könnte mit Eigentumsunterlagen kombiniert werden, um dessen Identität zu ermitteln.“

Fortschritte in der Technologie machen es auch einfacher, Personen mit weniger Informationen zu identifizieren, was möglicherweise die Schwelle dafür senkt, wie man personenbezogene Daten definiert. Beispielsweise haben Forscher bei IBM und der University of Maryland einen Algorithmus entwickelt (Link befindet sich außerhalb von ibm.com), der bestimmte Einzelpersonen identifiziert, indem anonyme Standortdaten mit öffentlich zugänglichen Informationen von Social-Networking-Websites kombiniert werden.

Internationale Datenschutzbestimmungen

Laut McKinsey (Link befindet sich außerhalb von ibm.com) haben 75 % der Länder Datenschutzgesetze zur Erfassung, Speicherung und Nutzung von personenbezogenen Daten eingeführt. Die Einhaltung dieser Vorschriften kann sich als schwierig erweisen, da die verschiedenen Gerichtsbarkeiten manchmal unterschiedliche oder sogar widersprüchliche Regelungen haben. Die zunehmende Verbreitung von Cloud Computing und Remote-Arbeit stellt ebenfalls eine Herausforderung dar. In diesen Umgebungen können Daten an einem Ort erfasst, an einem anderen gespeichert und an einem dritten verarbeitet werden. Je nach geografischem Standort können für die Daten in jeder Phase unterschiedliche Vorschriften gelten.

Erschwerend kommt hinzu, dass unterschiedliche Vorschriften unterschiedliche Standards dafür festlegen, welche Arten von Daten geschützt werden müssen. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verpflichtet Unternehmen zum Schutz von allen personenbezogenen Daten, definiert (Link befindet sich außerhalb von ibm.com) als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Gemäß der DSGVO müssen Unternehmen sowohl sensible als auch nicht sensible personenbezogene Daten schützen. Sie müssen auch Informationen schützen, die in anderen Zusammenhängen vielleicht nicht einmal als vertraulich gelten. Zu diesen Informationen gehören politische Meinungen, organisatorische Zugehörigkeiten und Beschreibungen von physischen Merkmalen. 

US-Datenschutzbestimmungen

Das Office of Management and Budget (OMB) der US-Regierung definiert personenbezogene Daten enger (Link befindet sich außerhalb von ibm.com):

[I]nformationen, die dazu verwendet werden können, die Identität einer Person zu bestimmen oder zurückzuverfolgen, wie z. B. ihr Name, ihre Sozialversicherungsnummer, biometrische Daten usw., entweder allein oder in Verbindung mit anderen personenbezogenen oder identifizierenden Informationen, die mit einer bestimmten Person verknüpft oder verknüpfbar sind, wie z. B. Geburtsdatum und -ort, Mädchenname der Mutter usw.

Der Gartner-Analyst Bart Willemsen (Link befindet sich außerhalb von ibm.com) formulierte es so: „In den USA ... beziehen sich personenbezogene Daten historisch gesehen auf zwei oder drei Dutzend Identifikatoren wie Name, Adresse, SSN, Führerschein oder Kreditkartennummer.“

Während es in den USA keine Datenschutzgesetze auf Bundesebene gibt, unterliegen Regierungsbehörden dem Privacy Act von 1974, der regelt, wie Bundesbehörden personenbezogene Daten erheben, verwenden und weitergeben dürfen. Einige US-Bundesstaaten haben ihre eigenen Datenschutzbestimmungen, allen voran Kalifornien. Der California Consumer Privacy Act (CCPA) und der California Privacy Rights Act (CPRA) gewähren Verbrauchern bestimmte Rechte darüber, wie Unternehmen ihre personenbezogenen Daten erheben, speichern und verwenden dürfen.

Branchenspezifische Datenschutzbestimmungen

Einige Branchen haben auch ihre eigenen Datenschutzbestimmungen. In den USA regelt der Health Insurance Portability and Accountability Act (kurz: HIPAA), wie Organisationen und Unternehmen aus dem Gesundheitswesen Krankenakten und personenbezogene Daten von Patienten erheben dürfen und schützen müssen. In ähnlicher Weise regelt der Payment Card Industry Data Security Standard (PCI DSS), ein globaler Standard der Finanzbranche, wie Kreditkartenunternehmen, Händler und Zahlungsabwickler mit sensiblen Daten von Karteninhabern umgehen müssen.

Untersuchungen lassen darauf schließen, dass Unternehmen Schwierigkeiten haben, sich in diesem vielfältigen Umfeld aus Gesetzen und Branchenstandards zurechtzufinden. Laut ESG (Link befindet sich außerhalb von ibm.com) sind 66 % der Unternehmen, die in den letzten drei Jahren Datenschutzprüfungen unterzogen wurden, mindestens einmal durchgefallen, und 23 % sind drei oder mehr Mal durchgefallen. Die Nichteinhaltung relevanter Datenschutzbestimmungen kann für Unternehmen Geldstrafen, Reputationsschäden, Geschäftsverluste und andere Konsequenzen nach sich ziehen. So wurde Amazon beispielsweise im Jahr 2021 wegen eines Verstoßes gegen die DSGVO mit einer Geldstrafe von 888 Millionen US-Dollar belegt (Link führt zu Seite außerhalb von ibm.com).

Hacker stehlen personenbezogene Daten aus vielen Gründen: um Identitätsdiebstahl zu begehen, um andere zu erpressen oder um die Daten auf dem Schwarzmarkt zu verkaufen, wo sie bis zu 1 USD pro Sozialversicherungsnummer und 2.000 USD für eine Passnummer (Link befindet sich außerhalb von ibm.com) erhalten können. Hacker können personenbezogene Daten auch als Teil eines größeren Angriffs ins Visier nehmen: Sie können diese mithilfe von Ransomware unter Verschluss halten oder personenbezogene Daten stehlen, um die E-Mail-Konten von Führungskräften für Spear-Phishing- und BEC-Betrügereien (Business Email Compromise) zu verwenden.

Cyberkriminelle nutzen häufig Social-Engineering-Angriffe, um ahnungslose Opfer dazu zu bringen, personenbezogene Daten bereitwillig herauszugeben. Sie können diese jedoch auch im Dark Web kaufen oder sich im Rahmen einer größeren Datenschutzverletzung Zugriff verschaffen. Personenbezogene Daten können auch physisch gestohlen werden, indem man den Müll einer Person durchsucht oder sie ausspioniert, während sie einen Computer benutzt. Böswillige Akteure können außerdem die Konten eines Ziels in sozialen Netzwerken überwachen, wo viele Menschen täglich unwissentlich nicht sensible personenbezogene Daten teilen. Im Laufe der Zeit kann ein Angreifer so genügend Informationen sammeln, um sich als das Opfer auszugeben oder in seine Konten einzudringen.

Für Unternehmen kann der Schutz personenbezogener Daten kompliziert sein. Durch die zunehmende Verbreitung von Cloud Computing und SaaS-Services können personenbezogene Daten an mehreren Orten gespeichert und verarbeitet werden, anstatt in einem einzigen, zentralisierten Netzwerk. Laut einem Bericht von ESG (Link befindet sich außerhalb von ibm.com) wird sich die Menge der in Public Clouds gespeicherten sensiblen Daten bis 2024 voraussichtlich verdoppeln, und mehr als die Hälfte der Unternehmen sind der Meinung, dass diese Daten nicht ausreichend geschützt sind.

Um personenbezogene Daten zu schützen, entwickeln Unternehmen in der Regel Datenschutz-Frameworks. Diese Frameworks können je nach Unternehmen, den von ihm erfassten personenbezogenen Daten und den einzuhaltenden Datenschutzbestimmungen unterschiedliche Formen annehmen. Beispielsweise hat das National Institute of Standards and Technology (NIST) dieses Framework als Muster (Link befindet sich außerhalb von ibm.com) bereitgestellt:

1. Identifizieren Sie alle personenbezogenen Daten in den Systemen des Unternehmens.

2. Minimieren Sie die Erhebung und Verwendung personenbezogener Daten und entfernen Sie regelmäßig nicht länger benötigte personenbezogene Daten.

3. Kategorisieren Sie personenbezogene Daten nach Vertraulichkeitsstufe.

4. Wenden Sie Kontrollmechanismen für Datensicherheit an. Hier sind einige Beispiele für solche Kontrollmechanismen:

• Verschlüsselung: Die Verschlüsselung personenbezogener Daten während der Übertragung, im Ruhezustand und bei der Verwendung durch homomorphe Verschlüsselung oder Confidential Computing kann dazu beitragen, dass personenbezogene Daten sicher und konform bleiben, unabhängig davon, wo sie gespeichert oder verarbeitet werden.
  
  
• Identity und Access Management (IAM): Die Zwei-Faktor- oder Multi-Faktor-Authentifizierung kann mehr Barrieren zwischen Hackern und sensiblen Daten schaffen. In ähnlicher Weise kann die Durchsetzung des Prinzips der geringsten Privilegien durch eine Zero-Trust-Architektur und rollenbasierte Zugriffskontrollen (Role-based access controls, RBAC) die Menge an personenbezogenen Daten begrenzen, auf die Hacker zugreifen können, wenn sie sich doch Zugriff auf das Netzwerk verschaffen sollten.
  
  
• Schulung: Die Mitarbeiter lernen, wie sie mit personenbezogenen Daten richtig umgehen und sie entfernen. Die Mitarbeiter lernen auch, wie sie ihre eigenen personenbezogenen Daten schützen können. Solche Schulungen decken Bereiche wie Anti-Phishing, Social Engineering und den bewussten Umgang mit Social Media ab.
  
  
• Anonymisierung: Unter Datenanonymisierung versteht man den Prozess des Entfernens der identifizierenden Merkmale sensibler Daten. Zu den gängigen Anonymisierungstechniken gehören das Entfernen von Identifikatoren aus Daten, das Aggregieren von Daten oder das strategische Hinzufügen von Rauschen zu den Daten.
  
  
• Tools für die Cybersicherheit: Tools zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) können dabei helfen, Daten auf ihrem Weg durch das Netzwerk zu verfolgen und so Datenlecks und Verstöße leichter zu erkennen. Andere Cybersicherheitslösungen, die umfassende Einblicke in Aktivitäten im Netzwerk bieten – z. B. Tools für Extended Detection and Response (XDR) – können auch bei der Nachverfolgung der Verwendung und des Missbrauchs von personenbezogenen Daten helfen.

5. Erstellen Sie einen Notfallplan für Datenlecks und Verstöße im Zusammenhang mit personenbezogenen Daten.

Es ist erwähnenswert, dass NIST und andere Datenschutzexperten häufig die Anwendung unterschiedlicher Kontrollmechanismen auf verschiedene Datensätze empfehlen, je nachdem, wie sensibel die Daten sind. Der Einsatz strenger Kontrollmechanismen bei nicht sensiblen Daten kann möglicherweise umständlich und nicht kosteneffizient sein.