Incognify
AnmeldenKostenlos testen
Alle Beiträge
Grundlagen 28. März 2026 10 Min. Lesezeit

Was sind personenbezogene Daten (PII)? Der vollständige Guide für 2026

Was sind personenbezogene Daten (PII)? Der vollständige Guide für 2026

Personenbezogene Daten – international als PII (Personally Identifiable Information) bekannt – umfassen alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren können. Sowohl die EU-DSGVO als auch das Schweizer DSG und das österreichische DSG (AT) schützen diese Daten umfassend. Doch was genau darunter fällt, ist vielen Unternehmen nicht vollständig bewusst.

In diesem Guide erklären wir, welche Daten als personenbezogene Daten gelten, wie DSGVO und DSG sie kategorisieren und warum selbst scheinbar harmlose Informationen wie eine IP-Adresse unter den Schutz fallen. Am Ende zeigen wir, wie Incognify diese Daten automatisch erkennt und anonymisiert – ohne manuellen Aufwand.

1. Definition nach DSGVO Art. 4 und DSG Art. 5

Art. 4 Nr. 1 der DSGVO und Art. 5 lit. a des Schweizer DSG definieren personenbezogene Daten (bzw. Personendaten) als:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt [...] identifiziert werden kann."

Das bedeutet: Nicht nur offensichtliche Angaben wie Name oder Geburtsdatum zählen als PII. Auch Informationen, die in Kombination mit anderen Datenpunkten eine Identifikation ermöglichen, fallen darunter:

Direkte Identifikatoren

  • Vor- und Nachname
  • Sozialversicherungsnummer
  • Personalausweisnummer

Indirekte Identifikatoren

  • Standortdaten
  • IP-Adresse, Online-Kennung
  • Cookie-ID

CH / EU vs. USA: Sowohl die DSGVO als auch das Schweizer DSG fassen personenbezogene Daten deutlich weiter als die US-amerikanische Definition. Während in den USA oft nur Daten erfasst sind, die eine Person direkt identifizieren, schliessen die europäische und die schweizerische Gesetzgebung ausdrücklich auch indirekte Identifikationsmerkmale ein.

2. PII-Kategorien im Überblick

Personenbezogene Daten lassen sich in fünf Hauptkategorien einteilen:

Kontaktdaten

Die häufigste und offensichtlichste Kategorie. Dazu gehören Name, Adresse, Telefonnummer und E-Mail-Adresse. Diese Daten tauchen in nahezu jedem Geschäftsprozess auf – von Kundenverträgen über Support-Tickets bis hin zu internen HR-Dokumenten.

Finanzdaten

IBAN, Kreditkartennummern, Steuer-IDs und Kontostände. Diese Daten sind besonders sensibel, da ein Missbrauch direkten finanziellen Schaden verursachen kann.

Digitale Identifikatoren

IP-Adressen, Cookie-IDs, Geräte-Fingerprints und Login-Daten. Diese Kategorie wird häufig unterschätzt, obwohl sie nach DSGVO und DSG eindeutig als personenbezogene Daten gelten.

Gesundheitsdaten

Diagnosen, Medikation, Laborwerte und Krankenversicherungsnummern. Diese Daten unterliegen dem besonderen Schutz nach Art. 9 DSGVO bzw. Art. 5 lit. c DSG (besonders schützenswerte Personendaten).

Biometrische Daten

Fingerabdrücke, Gesichtserkennungsdaten, Stimmprofile und Iris-Scans. Auch diese Kategorie fällt unter Art. 9 DSGVO / Art. 5 lit. c DSG und erfordert besondere Schutzmassnahmen.

KategorieBeispieleRisikostufe
KontaktdatenName, E-Mail, Telefon, AdresseMittel
FinanzdatenIBAN, Kreditkarte, Steuer-IDHoch
Digitale IdentifikatorenIP-Adresse, Cookie-ID, LoginMittel
GesundheitsdatenDiagnosen, MedikationSehr hoch
Biometrische DatenFingerabdruck, GesichtsdatenSehr hoch

3. Besondere Kategorien (Art. 9 DSGVO / Art. 5 lit. c DSG)

Art. 9 DSGVO und Art. 5 lit. c des Schweizer DSG definieren besonders schützenswerte personenbezogene Daten, deren Verarbeitung grundsätzlich untersagt ist – mit eng definierten Ausnahmen:

  • Gesundheitsdaten
  • Biometrische Daten zur eindeutigen Identifizierung
  • Genetische Daten
  • Daten zur rassischen und ethnischen Herkunft
  • Politische Meinungen, religiöse Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Sanktionsrisiko

DSGVO: Verstösse gegen Art. 9 können Bussgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen.

DSG (Schweiz): Strafrechtliche Sanktionen gegen verantwortliche Einzelpersonen mit Bussen bis zu CHF 250'000 (Art. 60–66 DSG).

Praxisbeispiel: Gesundheitswesen

Ein Krankenhaus verarbeitet täglich Arztbriefe, Befunde und Entlassungsberichte. Diese Dokumente enthalten Patientennamen, Diagnosen (ICD-Codes), Medikamentennamen und behandelnde Ärzte.

Wenn solche Dokumente für Forschungszwecke oder externe Audits weitergegeben werden, müssen sie vorher anonymisiert werden. Incognify erkennt alle Datenkategorien – einschliesslich besonders schützenswerter Daten nach Art. 9 DSGVO / Art. 5 lit. c DSG – automatisch.

4. Warum IP-Adressen PII sind

Seit dem EuGH-Urteil Breyer v. Bundesrepublik Deutschland (C-582/14, 2016) steht fest: Auch dynamische IP-Adressen sind personenbezogene Daten, wenn der Verantwortliche über die rechtlichen Mittel verfügt, die betroffene Person zu identifizieren.

Jedes Unternehmen, das Web-Server-Logs speichert, verarbeitet PII:

Webserver-Logs

Apache, NGINX – jeder Request enthält die IP-Adresse.

Analytics-Tools

Google Analytics, Matomo erfassen IP-Adressen.

CDN / Firewall

Cloudflare, AWS CloudFront loggen standardmäßig.

E-Mail-Header

Jede empfangene E-Mail enthält Sender-IPs.

Versteckte Personendaten: Datenschutz-Audits nach DSGVO und DSG decken regelmässig auf, dass Server-Logs über Monate unverschlüsselt gespeichert werden – mit vollständigen IP-Adressen. Incognify erkennt IPv4- und IPv6-Adressen automatisch.

5. Wie Incognify personenbezogene Daten automatisch erkennt

Incognify kombiniert zwei sich ergänzende Erkennungsmethoden zu einem robusten Anonymisierungsprozess:

Kontextbasierte Erkennung

Ein speziell für deutschsprachige Texte trainiertes KI-Modell erkennt sensible Daten im Kontext.

  • Personennamen (inkl. Titel)
  • Adressen und Orte
  • Organisationen
  • Datumswerte

Mustererkennung

Für strukturierte Datenformate mit klar definierten Mustern.

  • E-Mail-Adressen
  • Telefonnummern
  • IBAN und Kreditkartennummern
  • IP-Adressen (v4/v6)

Der Anonymisierungsprozess

1

Textanalyse

Incognify analysiert den gesamten Text auf personenbezogene Daten.

2

Konfidenz-Filter

Nur Treffer über dem einstellbaren Schwellenwert werden übernommen.

3

Ergänzende Mustererkennung

Strukturierte Datenformate werden zusätzlich erfasst.

4

Zusammenführung

Überlappende Treffer werden dedupliziert und konsolidiert.

5

Anonymisierung

Alle erkannten Stellen werden durch neutrale Platzhalter ersetzt.

Unterstützte Formate

PDF

Text wird extrahiert und anonymisiert

DOCX

Formatierung bleibt erhalten

Freitext

Web-Oberfläche oder API

Fazit

Personenbezogene Daten sind weit mehr als Name und Adresse. Sowohl die DSGVO als auch das Schweizer DSG definieren den Schutzbereich bewusst breit – von IP-Adressen über Cookie-IDs bis hin zu Gesundheitsdaten. Für Unternehmen in der Schweiz, Deutschland und Österreich bedeutet das: Jeder Geschäftsprozess, der mit personenbezogenen Daten arbeitet, muss datenschutzkonform gestaltet sein.

Mit Incognify automatisieren Sie die Erkennung und Anonymisierung personenbezogener Daten – ohne manuellen Aufwand, ohne Spezialwissen und ohne Risiko, eine Datenkategorie zu übersehen.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.