PII
Auf einen Blick
PII (Personally Identifiable Information) umfasst alle Daten, die eine Person direkt oder indirekt identifizieren können. Der Schutz dieser Daten ist durch DSGVO und andere Gesetze geregelt. Unternehmen müssen PII sicher verarbeiten, um Bußgelder und Reputationsschäden zu vermeiden.
Datenschutz, Recht & Compliance
PII — Personally Identifiable Information — alles, was eine Person identifizierbar macht.
Beispiel
Name, E-Mail, IP-Adresse, Geräte-IDs — alles PII. Sollte nie ungefiltert an Cloud-KIs gehen.
Verwandt: DSGVO · Auftragsverarbeitung (AVV)
Mehr im Glossar
PII steht für „Personally Identifiable Information“ (auf Deutsch: personenbezogene Daten). Es bezeichnet alle Informationen, mit denen sich eine natürliche Person direkt oder indirekt identifizieren lässt – von Namen und Adressen bis zu IP-Adressen und biometrischen Merkmalen.
In einfachen Worten
Stellen Sie sich PII wie einen digitalen Fingerabdruck vor. So wie Ihr Fingerabdruck Sie eindeutig von anderen unterscheidet, tun das auch Ihre persönlichen Daten. Ein Name allein reicht oft nicht – erst die Kombination aus Name, Geburtsdatum und Wohnort macht Sie identifizierbar. Für ein KMU bedeutet das: Jede E-Mail-Adresse in Ihrem CRM, jede Kundennummer in Ihrer Buchhaltung und jeder Standortverlauf in Ihrer Logistik-App ist PII. Wenn diese Daten in falsche Hände geraten, können Sie nicht nur gegen Gesetze verstoßen, sondern auch das Vertrauen Ihrer Kunden verlieren.
Was bedeutet das technisch
PII umfasst alle Daten, die sich direkt oder indirekt einer natürlichen Person zuordnen lassen. Die Europäische Datenschutz-Grundverordnung (DSGVO) definiert dies sehr weit: Neben offensichtlichen Angaben wie Name, Anschrift, Telefonnummer oder E-Mail-Adresse zählen auch Kennnummern wie Personalausweisnummer, Sozialversicherungsnummer oder Steuer-ID dazu. Ebenso fallen Standortdaten, Online-Kennungen wie IP-Adressen oder Cookie-IDs sowie biometrische Daten (Fingerabdrücke, Gesichtsscans) und genetische Informationen darunter.
Technisch unterscheidet man zwischen zwei Kategorien: Direkte Identifikatoren (wie der vollständige Name) erlauben eine sofortige Zuordnung. Indirekte Identifikatoren (wie eine Kombination aus Postleitzahl, Geburtsdatum und Geschlecht) machen eine Person erst im Zusammenspiel mehrerer Merkmale identifizierbar. Für KMU ist entscheidend: Auch pseudonymisierte Daten – etwa eine Kundennummer ohne Namen – bleiben PII, solange Sie die Zuordnungstabelle besitzen. Erst die Anonymisierung, bei der jede Rückverfolgbarkeit unmöglich wird, hebt den PII-Status auf.
Warum es für KMU relevant ist
PII ist der zentrale Begriff der DSGVO und anderer Datenschutzgesetze weltweit. Jedes KMU, das Kunden-, Mitarbeiter- oder Lieferantendaten verarbeitet, muss wissen, welche Daten PII sind. Denn der Umgang mit PII unterliegt strengen Regeln: Sie brauchen eine Rechtsgrundlage für die Verarbeitung (etwa Einwilligung oder Vertragserfüllung), müssen Betroffenenrechte wie Auskunft und Löschung gewährleisten und technische sowie organisatorische Maßnahmen zum Schutz ergreifen.
Konkrete Beispiele: Ein Handwerksbetrieb speichert in seiner Auftragsverwaltung Namen, Adressen und Telefonnummern von Kunden – das ist PII. Ein Online-Shop speichert Bestellhistorien mit Namen und Zahlungsdaten – ebenfalls PII. Ein Softwareunternehmen protokolliert IP-Adressen seiner Website-Besucher – auch das ist PII. Die Relevanz zeigt sich bei Verstößen: Bußgelder können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen. Für KMU ist es daher essenziell, eine Datenübersicht zu führen, zu dokumentieren, welche PII wo gespeichert ist, und Zugriffe streng zu kontrollieren. Tools wie Datenmaskierung oder Verschlüsselung helfen, das Risiko zu minimieren.
Verwandte Begriffe
DSGVO
Anonymisierung
Pseudonymisierung
Datenschutz-Folgenabschätzung
Einwilligung
Häufige Fragen
Was genau zählt zu PII?
PII umfasst direkte Identifikatoren wie Name, Adresse, Telefonnummer, E-Mail, Personalausweisnummer sowie indirekte wie IP-Adresse, Standortdaten, biometrische Merkmale oder Kombinationen, die eine Person eindeutig machen.
Welche Gesetze regeln den Umgang mit PII?
In der EU ist die DSGVO maßgeblich, in den USA gibt es sektorale Gesetze wie HIPAA oder CCPA. Unternehmen müssen je nach Rechtsraum unterschiedliche Anforderungen erfüllen.
Welche Folgen hat ein Verstoß gegen PII-Schutz?
Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes (DSGVO), Schadensersatzforderungen, Reputationsverlust und behördliche Auflagen sind möglich.
Wie kann ich PII in meinem Unternehmen schützen?
Durch Verschlüsselung, Zugriffskontrollen, Pseudonymisierung, regelmäßige Audits, Datenschutz-Folgenabschätzungen und Schulungen der Mitarbeiter.
Zuletzt aktualisiert: 2026-06-01 · Autor: Florian Neuhuber
Kommentare ()