Deine persönlichen Daten sind überall, und das ist das Problem
Jede moderne Organisation verarbeitet personenbezogene Daten. Namen, Adressen, Telefonnummern, E-Mail-Adressen, Login-Daten. In der DSGVO heißen sie personenbezogene Daten. In der IT-Welt PII: Personally Identifiable Information. Das Prinzip ist dasselbe.
Die Frage ist nicht ob deine Organisation personenbezogene Daten verarbeitet. Die Frage ist, wie viele Systeme damit in Berührung kommen.
9 von 10 Brüchen betreffen Namen und E-Mails
Protons Data Breach Observatory 2026 zeigt: In fast 9 von 10 Sicherheitsvorfällen werden Namen und E-Mail-Adressen kompromittiert. Telefonnummern und physische Adressen in 75 %. Passwörter in 47 %.
Das klingt harmlos. Ist es nicht. Namen und E-Mail-Adressen sind der Ausgangspunkt für Identitätsdiebstahl, Phishing-Kampagnen und Credential Stuffing. Wenn Angreifer wissen, wie jemand heißt und wo er arbeitet, können sie sich als diese Person ausgeben. In 42 % der Vorfälle werden Name und physische Adresse gleichzeitig kompromittiert, eine Kombination, die besonders wertvoll für Identitätsbetrug ist.
Der Mensch ist die Schwachstelle
Verizon’s 2025 Data Breach Investigations Report dokumentiert einen klaren Trend: 60 % aller Sicherheitsbrüche beinhalten menschliches Versagen. Schwache Passwörter, schlechte Zugriffsverwaltung, nachlässige Fehler. In großen Organisationen sind gestohlene Zugangsdaten in 32 % der Fälle der primäre Angriffsvektor, in KMUs bei 33 %.
Das ist kein technisches Problem. Das ist ein Organisationsproblem. Jedes System, das personenbezogene Daten speichert, jede Cloud-Applikation, jeder SaaS-Dienst, jeder Auftragnehmer mit Zugang ist ein potenzieller Angriffspunkt.
Wo personenbezogene Daten liegen
Die meisten Organisationen unterschätzen die Verbreitung personenbezogener Daten in ihrer eigenen IT. Es geht nicht nur um die zentrale Datenbank. Es geht um:
CRM-Systeme, in denen E-Mail-Adressen und Kontaktdaten stehen. Personalverwaltung, in der Adressen und Steuerdaten gespeichert sind. Ticket-Systeme, in denen Kundennamen und Account-Historie auftauchen. Backup-Medien, die Jahre nach der Erstellung noch unverschlüsselt irgendwo in Schränken liegen. Smartphones von Mitarbeitern, die auf Unternehmensdaten zugreifen. SaaS-Dienste, die ohne Wissen der IT-Abteilung genutzt werden.
Jeder dieser Punkte ist ein Angriffsvektor. Und die meisten Organisationen können nicht einmal sagen, wie viele dieser Punkte es gibt.
Geräteverlust und mangelnde Aussonderung
ENISA, die europäische Agentur für Cybersicherheit, nennt einen oft unterschätzten Faktor: physische Geräte. Laptops, die gestohlen werden. Backup-Medien, die nach der Aussonderung nicht vernichtet werden. Smartphones, die im Taxi vergessen werden.
Besonders gefährlich wird es, wenn diese Geräte unverschlüsselt sind. Werden sie dann nicht ordnungsgemäß ausgemustert, liegen die Daten brach, oft Jahre lang. Kein Angriff nötig, nur Gelegenheit.
Die DSGVO macht es nicht einfacher
Die Datenschutz-Grundverordnung verlangt, dass Organisationen wissen, welche personenbezogenen Daten sie verarbeiten, wo sie gespeichert werden, wer Zugang hat und wie sie geschützt sind. Das klingt logisch. In der Praxis scheitern viele Organisationen genau daran.
Die European Data Protection Board (EDPB) betont: Wer nicht nachweisen kann, welche Daten wo liegen und wer darauf zugreift, erfüllt nicht die Rechenschaftspflicht der DSGVO. Das bedeutet nicht nur ein Datenschutzverstoß. Das bedeutet ein Compliance-Problem auf Vorstandsebene.
Was konkret hilft
Die gute Nachricht: Die Maßnahmen gegen PII-Exposition sind bekannt und umsetzbar.
Zugriff minimieren. Nicht jeder braucht Zugang zu allem. Role-Based Access Control (RBAC) und das Prinzip der minimalen Berechtigung reduzieren die Angriffsfläche erheblich.
Passwörter abschaffen. Passwortlose Authentifizierung, Passkeys oder zumindest Passwort-Manager mit Multi-Faktor-Authentifizierung. Wenn 32 % der Brüche über gestohlene Passwörter laufen, sind Passwörter das Problem, nicht die Lösung.
Verschlüsselung durchsetzen. Nicht nur bei der Übertragung, sondern auch bei ruhenden Daten. Festplatten verschlüsseln, Backups verschlüsseln, Ende-zu-Ende-Verschlüsselung für sensible Kommunikation.
IT-Schatten bekämpfen. Wer nicht weiß, welche Dienste Mitarbeiter nutzen, kann sie nicht schützen. Shadow IT-Audits, SaaS-Discovery-Tools, klare Policies.
Geräte ordnungsgemäß ausmustern. Wenn ein Gerät das Unternehmen verlässt, muss sein Datenträger vernichtet oder zertifiziert gelöscht werden. Keine Ausnahmen.
Verzeichnis führen. Ein Verzeichnis aller Systeme, die personenbezogene Daten verarbeiten. Wo liegt was, wer hat Zugang, wann wurde es zuletzt geprüft. Klingt bürokratisch, ist aber die Grundlage jeder DSGVO-Konformität.
Meine Einschätzung
In der Rettungsdienst-IT und im Gesundheitswesen ist PII keine abstrakte Kategorie. Patientendaten, Einsatzprotokolle, Mitarbeiterdaten, Adressen von Angehörigen. Das ist alles personenbezogen, das ist alles sensibel und das alles fließt durch Systeme, die oft nicht einmal als sicher gelten.
4,4 Millionen Dollar kostet ein durchschnittlicher Sicherheitsbruch. 60 % beinhalten menschliches Versagen. Die Lösung ist nicht teurer. Sie ist organisatorisch. Weniger Systeme, weniger Zugang, mehr Verschlüsselung, bessere Prozesse.
Anfangen muss man bei den einfachen Dingen: Wissen, wo die Daten sind.
Quellen: