Was sind persönlich identifizierbare Informationen (PII)?
Die meisten Unternehmen erheben und verarbeiten im Rahmen ihrer Geschäftstätigkeit die unterschiedlichsten Daten. Um diese sicher empfangen, speichern und übertragen zu können, sind moderne Systeme und Tools erforderlich. Besonders wichtig sind Schutz und Sicherung von personenbezogenen Daten und persönlich identifizierbaren Informationen.
Doch welche Daten sind das? Ohne konkretes Wissen darüber fällt es Unternehmen schwer, personenbezogene Daten und persönlich identifizierbare Informationen verantwortungsbewusst zu schützen. In diesem Artikel erfahren Sie, was unter „persönlich identifizierbaren Informationen“ zu verstehen ist und wie sie sich von „personenbezogenen Daten“ unterscheiden.
Was ist PII?
Der Begriff „persönlich identifizierbare Informationen" ist eine direkte Übersetzung des englischen Ausdrucks „personally identifyable information (PII)“. Persönlich identifizierbare Daten umfassen Informationen, mit deren Hilfe eine natürliche Person identifiziert werden kann. Darunter fallen Daten wie Name, Adresse, E-Mail, Telefonnummer oder Sozialversicherungsnummer, aber auch Informationen, die sich nur in Verbindung mit weiteren Daten eignen, um Personen zu identifizieren, z. B. Postleitzahl, Geburtsdatum oder Standort laut IP-Adresse.
Welche Daten sind PII?
Zu persönlich identifizierbaren Informationen gehören beispielsweise Namen, Kontaktinformationen, biometrische Daten und verschiedene Identifikationsnummern. Denn jede dieser Angaben reicht aus, um eine natürliche Person zu identifizieren.In den USA gelten deshalb folgende Daten als PII:
- vollständiger Name
- Mädchenname der Mutter
- Geburtsdatum und Geburtsort
- Wohnanschrift
- E-Mail-Adresse
- Telefonnummer
- Steuer-ID
- Sozialversicherungsnummer
- Führerschein
- Kfz-Kennzeichen
- Kreditkartennummern
- Bankverbindung
- Digitale Identität
- Foto
- Fingerabdrücke, Netzhautmuster und DNA
- Handschrift
- Medizinische Unterlagen
- Unterlagen bei Bildungseinrichtungen
- Finanzdaten
Einige der PII sind sogenannte „Pseudo-Identifikatoren“ oder „Quasi-Identifikatoren“. Mit einigen diesern Informationen allein lassen sich individuelle Personen nicht direkt identifizieren. Allerdings ist dies in Verbindung mit anderen Informationen und damit indirekt möglich.
Der europäische Rechtsrahmen für den Schutz personenbezogener Daten – die Datenschutz-Grundverordnung der EU und deren Umsetzung ins nationale Recht der Mitgliedstaaten definiert auch solche PII-Daten als personenbezogene Daten, die eine Identifizierung von einzelnen Personen nur indirekt zulassen. Denn schließlich reichen nur wenige Datenpunkte aus, um Personen eindeutig zu identifizieren.
Laut einer wissenschaftlichen Studie der Carnegie Mellon University zu demografischen Daten (PDF-Datei in Englisch) reicht eine Kombination aus Wohnort, Geburtsdatum und Geschlecht aus, um 53 % der US-Bevölkerung zu identifizieren. Pseudo-Identifikatoren gelten in europäischen Gesetzen zum Datenschutz als personenbezogene Daten.
Wie unterscheiden sich PII und personenbezogene Daten?
Die Begriffe „persönlich identifizierbare Informationen“ (PII) und „personenbezogene Daten“ überschneiden sich. Während PII in den USA verwendet wird, ist der Ausdruck „personenbezogene Daten“ mit der deutschen und europäischen Gesetzgebung zum Datenschutz verknüpft.
Persönlich identifizierbare Informationen (PII) – Definition:
In den USA werden PII als Informationen definiert, die isoliert oder in Verbindung mit anderen Informationen geeignet sind, um eine Person zu identifizieren. Laut einer Definition des US-amerikanischen National Institute of Standards and Technology (NIST) sind PII, […] (1) jegliche Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden können, wie z. B. Name, Sozialversicherungsnummer, Geburtsdatum und Geburtsort oder biometrische Aufzeichnungen; und (2) alle anderen Informationen, die mit einer Person verknüpft sind oder verknüpft werden können, wie z. B. medizinische oder bildungsbezogene Informationen, Finanzinformationen und Angaben zum Arbeitgeber." Diese und ähnliche Definitionen unterschiedlicher US-Behörden hat das NIST auf seiner Website veröffentlicht.
Personenbezogene Daten – Definition:
Laut Datenschutz-Grundverordnung (DSGVO) der EU bezieht sich der Begriff “personenbezogene Daten” auf „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
PII und Datenschutzbestimmungen in den USA und Europa
Während die DSGVO und ihre Umsetzung in das nationale Recht der EU-Mitgliedstaaten einen relativ einheitlichen Rechtsrahmen schaffen, sieht die Situation in den USA anders aus. Dort gibt es einen Flickenteppich an branchenspezifischen Vorgaben und einzelstaatlichen Gesetzen, aber kein verbindliches Bundesgesetz, das alle Aspekte zum Schutz der PII erfasst.
PII in den Vereinigten Staaten
Das National Institute of Standards and Technology (NIST) in den Vereinigten Staaten hat die Zuständigkeit für PII. Laut seinem „Guide to Protecting the Confidentiality of Personally Identifiable Information“ (Leitfaden zum Schutz der Vertraulichkeit personenbezogener Daten) gelten PII als Informationen, mit deren Hilfe die Identität einer Person nachverfolgt oder identifiziert werden kann.
Das NIST kann nur Empfehlungen geben. In den USA gibt es auf Bundesebene keine Vorschrift, die Schutz und Sicherheit von PII einheitlich regelt. Stattdessen gibt es zahlreiche branchenspezifische Regelungen, darunter:
- Federal Trade Commission Act (FTC Act): Dieses Gesetz verbietet irreführende und unfaire Praktiken bei der Erhebung, Handhabung, Verwendung und Offenlegung von PII im Handel.
- Gramm-Leach-Bliley Act (GBLA): Dieses Gesetz regelt den Umgang mit persönlich identifizierbaren Informationen im Finanzsektor.
- Health Insurance Portability and Accountability Act (HIPAA): Diese Gesetzgebung schützt PII im Gesundheitswesen vor Betrug, Diebstahl und unbefugter Weitergabe.
- Electronic Communications Privacy Act (ECPA): Dieses Gesetz regelt den Datenschutz bei der elektronischen Kommunikation.
- Computer Fraud and Abuse Act (CFAA): Das CFAA stellt Cyberkriminalität unter Strafe und verbietet beispielsweise unbefugten Zugriff auf Computer und Smartphones.
Zahlreiche einzelstaatliche und lokale Gesetze schützen PII ebenfalls. Insbesondere Kalifornien und Massachusetts haben strenge Datenschutzgesetze.
PII in der Europäischen Union
Richtlinie 95/46/EG der Europäischen Union (EU) zum Schutz personenbezogener Daten wurde 1995 erlassen. Im Jahr 2018 wurde die Richtlinie durch die Datenschutz-Grundverordnung (DSGVO) der EU ersetzt. Dieses ist eines der strengsten Gesetze für den Datenschutz [Link „Was ist Datenschutz“] weltweit.
Die DSGVO regelt den Schutz personenbezogener Daten in ganz Europa und definiert die Anforderungen an den Datenschutz. Sie räumt den Betroffenen weitreichende Rechte an ihren Daten ein, erlegt den Datenverantwortlichen und den Datenverarbeitern Pflichten auf und beschreibt die Sanktionen bei Verstößen gegen die DSGVO.
Laut DSGVO sind Datenverantwortliche und Datenverarbeiter dazu verpflichtet, den Schutz personenbezogener Daten durch technische und organisatorische Maßnahmen (TOM) zu gewährleisten. Vor Verlust von personenbezogenen und anderen geschäftsrelevanten Daten eignet sich beispielsweise ein sicheres Cloud-Backup mit Box. So kann Ihr Unternehmen seine Daten im Notfall schnell wiederherstellen.
Entdecken Sie das Potenzial der Content Cloud
Mit einer sicheren zentralen Plattform für alle Ihre Inhalte wie der von Box können Sie den gesamten Content-Lebenszyklus verwalten: Dateierstellung, gemeinsame Bearbeitung, Freigabe, elektronische Unterschrift, Klassifizierung, Aufbewahrung und vieles mehr. Wir erleichtern Ihnen die gemeinsame Arbeit an Inhalten, sei es mit den Teams in Ihrem Unternehmen oder Externen. Durchgängige Sicherheit und Compliance der Enterprise-Klasse sind in unserer DNA verankert. Daher können Sie sich darauf verlassen, dass Ihre Inhalte stets geschützt sind. Angesichts der mehr als 1.500 nahtlosen Integrationen – sowie einer Reihe nativer Funktionen wie Box Sign – bietet die Content Cloud von Box einen zentralen Layer für Ihre Inhalte. Dadurch können Ihre Teams so arbeiten, wie sie möchten.
Die Content Cloud von Box ist ein echter Gamechanger für die gesamte Organisation: Damit können Sie die Effizienz von Workflows und die Produktivität aller Teams steigern. Kontaktieren Sie Box noch heute, und erfahren Sie mehr über seine Vorteile.
Disclaimer: Wir setzen uns stets dafür ein, Produkte und Dienste anzubieten, die sich durch erstklassigen Datenschutz, Sicherheit und Compliance auszeichnen. Dennoch stellen die in diesem Blog enthaltenen Informationen keine Rechtsberatung dar. Wir empfehlen Interessenten und Kunden daher, ihren Sorgfaltspflichten nachzukommen und die Vereinbarkeit mit geltenden Gesetzen selbst zu beurteilen.