Was sind PII (persönlich identifizierbare Informationen)?

Persönlich identifizierbare Informationen (PII) sind alle Daten, mit denen eine bestimmte Person identifiziert werden kann, wie z. B. der Name, die von der Regierung ausgestellte Identifikationsnummer, das Geburtsdatum, der Beruf oder die Adresse.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Erklären, was „PII“ bedeutet
  • Die zwei Haupttypen von PII identifizieren
  • PII mit anderen rechtlichen Definitionen von personenbezogenen Daten vergleichen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was sind PII (persönlich identifizierbare Informationen)?

Persönlich identifizierbare Informationen (PII) sind alle Daten, die zur Identifizierung einer Person verwendet werden können. Alle Informationen, die direkt oder indirekt mit einer Person in Verbindung stehen, gelten als PII. Der Name, die E-Mail-Adresse, die Telefonnummer, die Bankkontonummer und die von der Regierung ausgestellte Identifikationsnummer sind alles Beispiele für PII.

Viele Organisationen sammeln, speichern und verarbeiten heute PII. Wenn diese Datenbestände verletzt werden oder durchsickern, können Menschen Opfer von Identitätsdiebstahl oder anderen Angriffen werden. Darüber hinaus untergräbt die Sammlung von PII manchmal die Privatsphäre, da die Menschen die Kontrolle und den Überblick darüber verlieren, was mit ihren personenbezogenen Informationen geschieht. Aus diesen Gründen ist es wichtig, PII zu schützen und ihre Erhebung so weit wie möglich einzuschränken.

Wie definiert das US-amerikanische National Institute of Security Technology den Begriff PII?

Es gibt keine einheitliche Definition von PII, auch wenn in vielen offiziellen Quellen darauf verwiesen wird. Das National Institute of Security Technology (NIST) hat eine der am häufigsten zitierten Definitionen von PII:

„Alle Informationen über eine Person, die von einer Behörde aufbewahrt werden, einschließlich (1) aller Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden können, wie z. B. Name, Sozialversicherungsnummer, Geburtsdatum und Geburtsort, Mädchenname der Mutter oder biometrische Aufzeichnungen, und (2) alle anderen Informationen, die mit einer Person verknüpft sind oder verknüpft werden können, wie z. B. medizinische, bildungsbezogene, finanzielle und arbeitsbezogene Informationen.“

Was sind die beiden wichtigsten Arten von PII?

Die beiden wichtigsten Arten von PII sind Informationen, die eine Person direkt identifizieren, und Informationen, die eine Person indirekt identifizieren.

So unterscheidet die Definition des NIST zwischen diesen beiden Arten von PII-Informationen.

  • Einige Informationen identifizieren eine Person direkt. Ein vollständiger Name, eine Sozialversicherungsnummer oder eine Adresse sind alles Beispiele für diese Art von Informationen.
  • Verknüpfte oder verknüpfbare Informationen identifizieren eine Person nicht direkt, sondern können sie indirekt identifizieren: mit anderen Worten, wenn sie mit anderen Informationen kombiniert werden.
    • Angenommen, Jake wohnt in 1060 West Addison Street. Der Vorname „Jake“ allein reicht wahrscheinlich nicht aus, um ihn zu identifizieren, da viele Menschen in den USA Jake heißen. Aber in Kombination mit der Adresse 1060 West Addison Street könnte es möglich sein, die betreffende Person zu identifizieren.

Dieses Konzept mit leicht abweichender Terminologie taucht auch in anderen Definitionen von PII auf. Das US-Arbeitsministerium führt zum Beispiel die folgende Definition für PII auf:

„Jede Darstellung von Informationen, die es ermöglicht, auf die Identität einer Person, auf die sich die Informationen beziehen, entweder direkt oder indirekt zu schließen. Darüber hinaus werden PII als Informationen definiert: (i) die eine Person direkt identifizieren (z. B. Name, Adresse, Sozialversicherungsnummer oder andere Identifikationsnummern oder -codes, Telefonnummer, E-Mail-Adresse usw.) oder (ii) durch die eine Behörde beabsichtigt, bestimmte Personen in Verbindung mit anderen Datenelementen zu identifizieren, d. h. indirekte Identifikation [Hervorhebung des Autors].“

Wichtig ist dabei, dass alle Informationen, die zur direkten oder indirekten Identifizierung einer Person verwendet werden können, geschützt werden sollten.

(Ein ähnliches Konzept gilt für die Pseudonymisierung: pseudonymisierte Daten können mit anderen Daten kombiniert werden, um eine Person direkt zu identifizieren. Unter Was ist Pseudonymisierung? erfahren Sie mehr.)

Ist PII dasselbe wie „personenbezogene Informationen“ oder „personenbezogene Daten“?

Das allgemeine Konzept hinter all diesen Begriffen ist ähnlich: Jede Information, die sich auf eine bestimmte Person bezieht, kann als „personenbezogen“ oder „persönlich“ betrachtet werden.

Die verschiedenen Datenschutzbestimmungen verwenden jedoch unterschiedliche Begriffe für Daten, die zur Identifizierung einer Person verwendet werden können. In den USA wird weitgehend der Begriff „PII“ verwendet, während die Datenschutz-Grundverordnung (DSGVO), ein EU-Datenschutzrahmen, stattdessen auf „personenbezogene Daten“ und der California Consumer Privacy Act (CCPA) auf „personal information“ (persönliche Daten) verweist.

Darüber hinaus hat jedes Datenschutzgesetz seine eigenen Definitionen für personenbezogene Informationen, personenbezogene Daten oder PII; Unternehmen sollten die Beschreibungen in den für sie geltenden Gesetzen sorgfältig prüfen.

Warum ist PII ein wichtiges Konzept für den Datenschutz?

Datenschutz bezieht sich im Allgemeinen auf die Fähigkeit einer Person, selbst zu bestimmen, wann, wie und in welchem Umfang personenbezogene Informationen über sie (wie z. B. PII) mit anderen geteilt werden. Um ihre Privatsphäre zu schützen, müssen die Menschen wissen, wer ihre PII sammelt und was mit ihnen geschieht.

Um personenbezogene Daten und die Privatsphäre der Nutzer zu schützen, müssen Unternehmen wissen, über welche personenbezogenen Daten sie verfügen und wie diese Daten geschützt werden. Viele empfehlen auch, die Sammlung und Verwendung von PII einzuschränken. Dies gilt als faire Informationspraxis (erfahren Sie mehr).