top of page

Personenbezogene Daten Pii

Personenbezogene Daten (PII): Definition, Arten und Beispiele



Was ist personenbezogene Information (PII)?


Personenbezogene Informationen (PII) sind alle Daten, die eine Person identifizieren können, entweder allein oder in Kombination mit anderen Informationen.

Dazu gehören direkte Identifikatoren wie Passdaten, die allein eine Person unterscheiden können. Es umfasst auch Quasi-Identifikatoren wie Rasse oder Geburtsdatum, die kombiniert werden können, um die Identität einer Person zu enthüllen. Mit der Ausweitung der digitalen Landschaft wird das Verständnis und der Schutz von PII zu einem dringenden Anliegen für Einzelpersonen, Unternehmen und Regierungen.



Wichtige Erkenntnisse


  • Personenbezogene Informationen (PII) sind alle Daten, die eine Person eindeutig identifizieren können, was sie zu einem Hauptziel für Identitätsdiebstahl und Cyberangriffe macht.
  • Sensible PII umfasst Daten wie Sozialversicherungsnummern und biometrische Aufzeichnungen, während nicht sensible PII grundlegende Informationen wie den Namen einer Person enthalten kann.
  • Die Verbreitung von Big Data hat das Risiko von Datenverletzungen erhöht, was Aufsichtsbehörden weltweit dazu veranlasst hat, Gesetze zum Schutz von PII zu erlassen.
  • Techniken wie Anonymisierung und Verschlüsselung sind für Unternehmen entscheidend, um die PII ihrer Kunden zu schützen, wenn sie Daten mit anderen Stellen teilen.
  • Prominente Datenverletzungen wie der Facebook-Cambridge-Analytica-Skandal verdeutlichen die erheblichen rechtlichen und rufschädigenden Folgen für Unternehmen, die PII nicht schützen.


Arten personenbezogener Informationen


Entweder direkt und sensibel oder indirekt und nicht sensibel, umfassen die PII-Arten unter anderem:

Kreditkarteninformationen

Geburtsdatum

Führerschein

Finanzinformationen

Vollständiger Name

Geschlecht

Postanschrift

Krankenakten

Passinformationen

Geburtsort

Rasse

Religion

Sozialversicherungsnummer (SSN)

Postleitzahl



Die Rolle von PII im digitalen Zeitalter


Fortschrittliche Technologieplattformen haben die Art und Weise verändert, wie Unternehmen arbeiten, Regierungen Gesetze erlassen und Einzelpersonen interagieren. Mit digitalen Werkzeugen wie Mobiltelefonen, Internet, E-Commerce und sozialen Medien hat es eine Explosion des Angebots aller Arten von Daten gegeben.

Big Data wird von Unternehmen gesammelt, analysiert, verarbeitet und mit anderen Unternehmen geteilt. Der Reichtum an Informationen, den Big Data bietet, hat es Unternehmen ermöglicht, Einblicke zu gewinnen, wie sie besser mit Kunden interagieren können.

Allerdings hat die Entstehung von Big Data auch die Anzahl der Datenverletzungen und Cyberangriffe durch Unternehmen erhöht, die den Wert dieser Informationen erkennen. Infolgedessen wurden Bedenken darüber geäußert, wie Unternehmen mit den sensiblen Informationen ihrer Verbraucher umgehen. Aufsichtsbehörden suchen nach neuen Gesetzen, um die Daten der Verbraucher zu schützen, während Nutzer nach anonymeren Wegen suchen, um digital zu bleiben.



Unterscheidung zwischen sensibler und nicht sensibler PII




Sensible PII


Personenbezogene Informationen (PII) können sensibel oder nicht sensibel sein. Sensible personenbezogene Informationen umfassen rechtliche Statistiken wie:

Vollständiger Name

Sozialversicherungsnummer (SSN)

Führerschein

Postanschrift

Kreditkarteninformationen

Passinformationen

Finanzinformationen

Krankenakten

Die obige Liste ist keineswegs erschöpfend.

Unternehmen anonymisieren PII oft, indem sie sie vor der Weitergabe verschlüsseln, sodass sie nicht mehr personenbezogen sind. Versicherungsgesellschaften maskieren oft sensible PII und geben nur für das Marketing relevante Daten weiter.



Nicht sensible PII


Nicht sensible oder indirekte PII ist leicht aus öffentlichen Quellen wie Telefonbüchern, dem Internet und Unternehmensverzeichnissen zugänglich. Beispiele für nicht sensible oder indirekte PII sind:

Postleitzahl

Rasse

Geschlecht

Geburtsdatum

Geburtsort

Religion

Die obige Liste enthält Quasi-Identifikatoren und Beispiele für nicht sensible Informationen, die der Öffentlichkeit zugänglich gemacht werden können. Diese Informationen allein können jemanden nicht identifizieren.

Allerdings sind nicht sensible Informationen – obwohl nicht heikel – verknüpfbar. Das bedeutet, dass nicht sensible Daten in Verbindung mit anderen personenbezogenen verknüpfbaren Informationen die Identität einer Person preisgeben können. Eine Deanonymisierung ist möglich, wenn mehrere Quasi-Identifikatoren kombiniert werden, um jemanden zu identifizieren.



Wichtig


Der Schutz von PII ist ein wichtiges Anliegen für Einzelpersonen, Unternehmen und Regierungen.



Wie man personenbezogene Informationen schützt


Mehrere Datenschutzgesetze wurden von verschiedenen Ländern verabschiedet, um Richtlinien für Unternehmen zu schaffen, die personenbezogene Daten von Kunden sammeln, speichern und teilen. Diese Gesetze verbieten oft die Erhebung sensibler Daten, es sei denn, dies ist erforderlich.12

Vorschriften verlangen die Löschung unnötiger Daten und die Vermeidung der Weitergabe an unzuverlässige Quellen.1

Cyberkriminelle brechen in Datensysteme ein, um auf PII zuzugreifen, und verkaufen sie dann an willige Käufer auf digitalen Untergrundmärkten. Zum Beispiel erlitt der Internal Revenue Service (IRS) im Jahr 2015 einen Datenverstoß, der zum Diebstahl von PII von mehr als 100.000 Steuerzahlern führte.3

Mit quasi-Informationen, die aus mehreren Quellen gestohlen wurden, konnten die Täter auf eine IRS-Website-Anwendung zugreifen, indem sie persönliche Verifizierungsfragen beantworteten, die nur den Steuerzahlern bekannt sein sollten.



Kurzer Fakt


Der Schutz von PII liegt möglicherweise nicht immer in der alleinigen Verantwortung eines Dienstanbieters. In einigen Fällen kann er mit der Person geteilt werden.



Häufige Methoden des PII-Diebstahls


Diebe finden PII oft, indem sie den Müll nach ungeöffneter Post durchsuchen. Dies kann den Namen, die Adresse, die Beschäftigungsinformationen, die Bankdaten oder die Sozialversicherungsnummer einer Person liefern.

Heutzutage ist das Internet zu einem Hauptvektor für Identitätsdiebstahl geworden. Phishing- und Social-Engineering-Angriffe nutzen eine täuschend echte Website oder E-Mail, um jemanden dazu zu bringen, wichtige Informationen preiszugeben, wie seinen Namen, Bankkontonummern, Passwörter oder Sozialversicherungsnummer. Es ist auch möglich, diese Informationen durch betrügerische Telefonanrufe oder SMS-Nachrichten zu stehlen.



Effektive Strategien zum Schutz von PII


Obwohl es nicht möglich ist, sich vollständig zu schützen, können Sie sich zu einem kleineren Ziel machen, indem Sie die Möglichkeiten verringern, Ihre PII zu stehlen. Experian schlägt Möglichkeiten vor, Ihr Expositionsrisiko zu minimieren.

Zum Beispiel erschwert ein verschlossener Briefkasten oder ein Postfach Dieben das Stehlen Ihrer Post, und das Entfernen persönlicher Identifikationsdaten aus Werbepost und anderen Dokumenten erschwert es Identitätsdieben, einen Namen mit einer Adresse zu verbinden. Tragen Sie keine unnötigen PII wie Ihre Sozialversicherungskarte in Ihrer Brieftasche.4

Ebenso gibt es einige Schritte, die Sie unternehmen können, um Online-Identitätsdiebstahl zu verhindern. Datenlecks sind eine Hauptquelle für Identitätsdiebstahl, daher ist es wichtig, für jedes Online-Konto ein anderes, komplexes Passwort zu verwenden. Verschlüsseln Sie immer Ihre wichtigen Daten und verwenden Sie ein Passwort für jedes Telefon oder Gerät. Es ist auch eine gute Idee, Ihre Festplatte zu formatieren, wenn Sie einen Computer verkaufen oder spenden.4



Globale Perspektiven zu PII-Vorschriften


Die Definition dessen, was PII ausmacht, unterscheidet sich je nachdem, wo auf der Welt Sie leben. Hier ist, wie verschiedene Regionen mit dem Datenschutz umgehen.



Vereinigte Staaten


In den Vereinigten Staaten definierte die Regierung 2020 „personenbezogen“ als alles, was „dazu verwendet werden kann, die Identität einer Person zu unterscheiden oder zurückzuverfolgen“, wie Name, SSN und biometrische Informationen; entweder allein oder mit anderen Identifikatoren wie Geburtsdatum oder Geburtsort.5



Europa


In der Europäischen Union (EU) erweitert sich die Definition um Quasi-Identifikatoren, wie in der General Data Protection Regulation (GDPR) dargelegt, die im Mai 2018 in Kraft trat. Die GDPR ist ein rechtlicher Rahmen, der Regeln für die Erhebung und Verarbeitung personenbezogener Daten für Personen in der EU festlegt.61



Australien


Personenbezogene Informationen werden durch den Privacy Act 1988 geschützt. Dieses Gesetz regelt die Erhebung, Speicherung, Nutzung und Offenlegung personenbezogener Informationen, sei es durch die Bundesregierung oder private Einrichtungen. Spätere Änderungen regeln die Verwendung von Gesundheitsidentifikatoren und legen die Pflichten von Einrichtungen fest, die von einer Datenverletzung betroffen sind.7



Kanada


Der Personal Information Protection and Electronic Documents Act regelt die Nutzung personenbezogener Informationen für kommerzielle Zwecke. Dies ist definiert als Informationen, die allein oder in Kombination mit anderen Daten Sie als Person identifizieren können.8



Personenbezogene Informationen vs. persönliche Daten


Persönliche Daten umfassen einen breiteren Kontext als PII – zum Beispiel Ihre IP-Adresse, Geräte-ID-Nummern, Browser-Cookies, Online-Aliase oder genetische Daten. Bestimmte Attribute wie Religion, ethnische Zugehörigkeit, sexuelle Orientierung oder Krankengeschichte können als persönliche Daten, aber nicht als personenbezogene Informationen klassifiziert werden.



Wichtige Vorfälle von PII-Verstößen


Es gab viele Fälle, in denen Kunden-PII von Unternehmen gestohlen wurde. Oft führte dies zu hohen Geldstrafen.

Die höchste jemals verhängte Geldstrafe (Stand Oktober 2023) wurde gegen Didi Global verhängt. Das chinesische Fahrdienstunternehmen wurde von der Cyberspace Administration of China mit einer Geldstrafe von 8,026 Milliarden Yuan (1,1 Milliarden US-Dollar) belegt, weil es gegen das nationale Netzwerksicherheitsgesetz, Datensicherheitsgesetz und Gesetz zum Schutz personenbezogener Informationen verstoßen hatte. Andere Empfänger hoher Geldstrafen für die unzureichende Sicherung personenbezogener Daten sind Equifax, Amazon und Meta.9



Facebook-Cambridge Analytica Data Scandal


Einer der bekanntesten Fälle betrifft Meta, oder Facebook, wie es damals hieß. In den 2010er Jahren wurden die Profile von 30 Millionen Facebook-Nutzern ohne deren Einwilligung von einem externen Unternehmen namens Cambridge Analytica gesammelt. Cambridge Analytica erhielt seine Daten von Facebook über einen Forscher, der an der University of Cambridge arbeitete. Der Forscher entwickelte eine Facebook-App, die ein Persönlichkeitstest war.1011

Die App sollte die Informationen derjenigen erfassen, die freiwillig Zugriff auf ihre Daten für den Test gewährten. Leider sammelte die App nicht nur die Daten der Testteilnehmer, sondern aufgrund einer Gesetzeslücke im Facebook-System auch Daten von Freunden und Familienmitgliedern der Testteilnehmer.10

So wurden die Daten von über 50 Millionen Facebook-Nutzern ohne Einwilligung offengelegt.12 Obwohl Facebook den Verkauf seiner Daten verbot, verkaufte Cambridge Analytica die Daten dennoch zur Nutzung für politische Beratung.10

Der Datenschutzverstoß betraf nicht nur Facebook-Nutzer, sondern auch Investoren. In seinem Bericht für das erste Quartal (Q1) 2019 gab Facebook an, dass es Rechtskosten in Höhe von 3 Milliarden US-Dollar angehäuft habe, was laut eigenen Angaben seine Betriebsmarge um 20 Prozentpunkte gedrückt und den Gewinn pro Aktie um 1,04 US-Dollar gesenkt habe.13

Dies war erst der Anfang; das Unternehmen sah sich später mit Milliardenstrafen konfrontiert. Der Datenschutzverstoß schädigte auch seinen Ruf und führte dazu, dass einige Nutzer die Nutzung der Social-Networking-Website einstellten.141015



Was gilt als PII?


Personenbezogene Informationen werden von der US-Regierung definiert als:

„Informationen, die dazu verwendet werden können, die Identität einer Person zu unterscheiden oder zurückzuverfolgen, wie ihr Name, Sozialversicherungsnummer, biometrische Aufzeichnungen usw., allein oder in Kombination mit anderen persönlichen oder identifizierenden Informationen, die mit einer bestimmten Person verknüpft oder verknüpfbar sind, wie Geburtsdatum und -ort, Mädchenname der Mutter usw.“16



Was ist keine PII?


Persönliche Daten werden nicht als PII eingestuft, sowie nicht personenbezogene Daten wie das Unternehmen, für das Sie arbeiten, gemeinsam genutzte Daten oder anonymisierte Daten.



Was ist ein PII-Verstoß?


PII-Verstöße sind illegal und beinhalten oft Betrug wie Identitätsdiebstahl. Verstöße können auch aus unbefugtem Zugriff, Nutzung oder Offenlegung von PII resultieren. Die Unterlassung der Meldung einer PII-Verletzung kann ebenfalls ein Verstoß sein.



Was müssen Sie tun, wenn Sie PII per E-Mail versenden?


Da E-Mail nicht immer sicher ist, vermeiden Sie es, PII per E-Mail zu versenden. Wenn es sein muss, verwenden Sie Verschlüsselung oder sichere Verifizierungstechniken.



Welche Gesetze schützen PII?


Verschiedene bundesstaatliche und landesrechtliche Verbraucherschutzgesetze schützen PII und sanktionieren ihre unbefugte Nutzung – zum Beispiel der Federal Trade Commission Act und der Privacy Act of 1974.1718

bottom of page