PII (Persönlich Identifizierbare Informationen)

Personal identifiable information (PII) bezieht sich auf Daten, die direkt oder indirekt Personen identifizieren können.

Folgende PII identifizieren eine Person direkt:

Ein Name oder ein Daumenabdruck sind offensichtliche Beispiele für PII. Es ist jedoch nicht immer so einfach.

Betrachte eine Telefonnummer:

(408)-930-0

Kannst du anhand der Telefonnummer eine Person direkt identifizieren? Wahrscheinlich nicht. Wenn du aber auch ein Telefonbuch für die Vorwahl 408 hättest, könntest du es wahrscheinlich.

Mit anderen Worten: Die Telefonnummer kann in Verbindung mit dem Telefonbuch indirekt jemanden identifizieren.

Dieses Beispiel verdeutlicht eine andere Form von PII: verknüpfbare PII, d.h. Daten, die aus verschiedenen Quellen kombiniert werden können, um Personen zu identifizieren.

Gängige Beispiele dafür sind:

Die Einstufung von Informationen als PII ist schwierig. Zum Beispiel können IP-Adressen so betrachtet werden, dass sie keine PII sind, da sie Computer und keine Personen identifizieren. Andererseits können IP-Adressen als personenbezogene Daten betrachtet werden, da sie oft geografische Standorte identifizieren und als verknüpfbare personenbezogene Daten fungieren. Die richtige Klassifizierung ist unklar.

Auch wenn Daten heute noch nicht als personenbezogene Daten gelten, können sie es in Zukunft sein. Wenn ein zukünftiges Gesetz vorschreibt, dass eine Person eine Reihe von IP-Adressen besitzt, dann werden IP-Adressen per Definition zu PII. Die Einstufung von Daten als PII kann sich im Laufe der Zeit ändern.

Verknüpfbare PII machen diese Klassifizierung noch schwieriger. Du kannst zum Beispiel aus den Zeitstempeln der Social-Media-Posts einer Person auf die Zeitzone schließen, in der sie lebt. Wenn diese Person auch ein Foto von einem Restaurant postet, in dem sie gegessen hat, kannst du anhand der Zeitzone herausfinden, wo sich das Restaurant befinden könnte. An diesem Punkt kannst du dir eine ungefähre Vorstellung davon machen, wo eine Person lebt oder wer sie ist! Und das alles durch die Verknüpfung von Zeitstempeln mit einem Restaurantfoto.

🤔 Meinst du, dass in diesem fiktiven Beispiel die verknüpfbaren PII das Restaurantfoto oder die Zeitstempel waren? Was sind andere Beispiele für Daten, die als direkte PII oder verknüpfbare PII eingestuft werden könnten?

Angreifer können personenbezogene Daten von Unternehmen stehlen, was oft als Datenpanne oder auch Datenschutzverletzung bezeichnet wird.

2017 wurde die Verbraucherkreditagentur Equifax Opfer einer Datenpanne und Angreifer hatten Zugang zu den persönlichen Daten von 143 Millionen Amerikanern. Zu den PII gehörten Sozialversicherungsnummern und Kreditkartennummern. ${}^1$‍

Sobald Angreifer Zugang zu diesen Daten hatten, konnten sie die Sozialversicherungsnummern nutzen, um sich als diese Personen auszugeben oder die Kreditkartennummern für unberechtigte Einkäufe zu verwenden.

Wie erfährst du, ob du Opfer einer Datenschutzverletzung geworden bist? Das betroffene Unternehmen wird dich hoffentlich benachrichtigen, aber auch Dienste wie HaveIBeenPwned können eine Antwort geben.

Hier ist ein Beispiel von HaveIBeenPwned für eine generische E-Mail Adresse:

Da personenbezogene Daten, die in die falschen Hände geraten, das Leben ihrer Besitzer beinträchtigen, regeln Gesetze, wie Unternehmen personenbezogene Daten speichern und verarbeiten.

In den USA zum Beispiel regelt der Health Insurance Portability and Accountability Act (HIPAA) die medizinischen PII, während der Children's Online Privacy Protection Act (COPPA) die PII von Kindern regelt. In Europa werden die meisten Formen von PII durch ein Gesetz namens General Data Protection Regulation (GDPR) geregelt. Wenn du eine Website oder App entwickelst, die mit personenbezogenen Daten von Nutzern in diesen Ländern zu tun hat, musst du diese Vorschriften befolgen.

Als Nutzer ist es am besten, unsere PII nur dann an Online-Dienste weiterzugeben, wenn es notwendig ist - und es ist fast nie notwendig, staatliche Identifikatoren wie eine Sozialversicherungsnummer herauszugeben.

Wir sollten auch vorsichtig mit unseren Beiträgen in sozialen Medien sein. Auch wenn unsere Beiträge jetzt nicht eindeutig personenbezogene Daten sind, könnte es Dinge an diesen Daten geben, die wir noch nicht verstehen und die sie in Zukunft zu verknüpfbaren personenbezogenen Daten machen.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Hast du Fragen zu diesem Thema? Wir antworten gerne — stelle sie einfach unten!