Zurück zum Blog

Was sind personenbezogene Daten, PII und Non-PII? [UPDATE]

, ,

Geschrieben von Beata Moryl, Karolina Lubowicka, Karolina Matuszewska, Małgorzata Poddębniak

Veröffentlicht September 02, 2024

ZUSAMMENFASSUNG

  • Der Begriff PII wird hauptsächlich in den USA verwendet, wo er nicht einheitlich rechtlich definiert ist. Der Begriff „personenbezogene Daten“ stammt aus der Europäischen Datenschutz-Grundverordnung (DSGVO). Beide Arten von Daten umfassen Informationen, die direkt oder indirekt die Identität einer Person offenbaren könnten.
  • PII können in einige Kategorien eingeteilt werden, von denen die häufigsten verknüpfte (z. B. Name, SSN) und verknüpfbare (z. B. berufliche Position, unspezifisches Alter) Informationen sind. Andere Arten von PII umfassen sensible und nicht sensible PII.
  • Zu den personenbezogenen Daten gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, einschließlich Online-Kennungen wie Cookies und IP-Adressen.
  • Unternehmen müssen Maßnahmen zum Schutz von PII und personenbezogener Daten ergreifen. Die gesetzlichen Anforderungen werden immer strenger. Sie erfordern von Unternehmen eine genaue Prüfung der von ihnen erfassten Daten und die Einhaltung sich wandelnder Vorschriften.

Persönlich identifizierbare Informationen (PII) und personenbezogene Daten verwirren die meisten. Vor allem beirren diese Begriffe Organisationen, die solche Datenklassen sammeln, speichern und analysieren. Dabei fallen beide Begriffe regionalen und rechtlichen Grenzen zugrunde, nämlich den USA und der Europäischen Union.

Das Rechtssystem der Vereinigten Staaten besteht aus zahlreichen Bundes- und Landesgesetzen sowie auch branchenspezifischen Vorschriften. Sie alle definieren und klassifizieren verschiedene Informationen unter dem Deckmantel PII. Jedoch beschreibt kein einziges amerikanisches Rechtsdokument, was genau unter diesen Begriff fällt.

Im Gegensatz dazu grenzt die Europäische Datenschutz-Grundverordnung (DSGVO) den Begriff „personenbezogene Daten“ rechtlich ab. Daher wissen  wir genau, welche Daten als personenbezogen gelten.

Sowohl PII als auch personenbezogene Daten beschreiben Informationen, die eine Person direkt oder indirekt erkennen lassen. Wieso ist das so wichtig?

Als Website-Administrator, App- oder Produktanbieter sollten Sie wissen:

Besucher und User hinterlassen Datenspuren. Diese könnten eine Person erkennen lassen. Verwalten Sie personenbezogene Daten mit äußerster Vorsicht. Das Rechtssystem sieht Verstöße als Kavaliersdelikte und in manchen Fällen als schwerwiegend an. Dementsprechend sollte Ihr Unternehmen genau wissen, was beide Begriffe bedeuten und wie Sie die Datensicherheit gewährleisten und Gesetze einhalten.

Was sind persönlich identifizierbare Informationen (PII)?

Personal identifiable information, auf Deutsch persönlich identifizierbare Informationen, ist vorwiegend ein amerikanischer Begriff. US-Behörden und Nichtregierungsorganisationen (NRO) verwenden ihn häufig. Da es in den USA jedoch kein übergeordnetes Gesetz über PII gibt, kann die rechtliche Definition des Begriffs von Gerichtsbarkeit zu Gerichtsbarkeit und von Staat zu Staat variieren.

Die gebräuchlichste Definition wird vom Nationalen Institut für Standards und Technologie (NIST) bereitgestellt:

PII sind alle Informationen über eine Person, die eine Behörde aufbewahrt, einschließlich (1) aller Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden können, wie Name, Sozialversicherungsnummer, Geburtsdatum und -ort, Geburtsname der Mutter oder biometrische Aufzeichnungen; und (2) alle anderen Informationen, die mit einer Person verknüpft sind oder verknüpft werden können, wie medizinische, Bildungs-, Finanzinformationen und Informationen über den Beruf.

Die Grenze zwischen PII und anderen Informationsarten verschwimmt geradezu. Die US General Services Administration betont: Die Definition von PII ist nicht an eine einzige Kategorie von Informationen oder Technologien gebunden. Vielmehr erfordert sie eine Einzelfallbewertung des spezifischen Risikos, dass eine Person identifiziert werden kann.

Welche Daten sind PII?

NIST unterteilt PII in zwei Kategorien: verknüpfte und verknüpfbare Informationen.

Verknüpfte Informationen

Verknüpfte Informationen (auf Englisch: linked information) können auch als direkte Identifikatoren definiert werden. 

Direkte Identifikatoren sind eindeutig einer Person zugeordnet und können zur Identifizierung einer Person dienen. Ein einziger direkter Identifikator reicht normalerweise aus, um die Identität einer Person zu bestimmen.

Beispiele für verknüpfte Informationen
Beispiele für verknüpfte Informationen

* Bemerkung

NIST zahlt zu verknüpften Informationen eine IP-Adresse oder eine MAC-Adresse oder eine andere host-spezifische, persistente, statische Kennung, die konsistent mit einer bestimmten Person oder einer kleinen, genau definierten Gruppe von Personen verknüpft ist. Das bedeutet, dass Cookies und Geräte-ID unter die Definition von PII fallen.

Verknüpfbare Informationen

Bei verknüpfbaren Informationen (auf Englisch: linkable information) handelt es sich um indirekte Identifikatoren oder Quasi-Identifikatoren. Sie lassen als alleinstehende Daten keine Person erkennen. Sobald Sie sie aber mit einer zusätzlichen Information verknüpfen, ist es möglich, eine Person zu erkennen, zu tracken und aufzufinden.

Recherchen zeigen, dass 87 % der US-Bürger allein aufgrund ihres Geschlechts, ihrer Postleitzahl und ihres Geburtsdatums identifiziert werden könnten. Techniken zur De-Anonymisierung und Re-Identifizierung funktionieren in der Regel dann, wenn mehrere Sätze von Quasi-Identifikatoren miteinander verbunden sind. Anschließend können Sie sie dazu verwenden, eine Person von einer anderen zu unterscheiden.

Hier sind einige Beispiele verknüpfbarer Informationen:

Beispiele für verknüpfte Informationen
Beispiele für verknüpfbare Informationen

Sensible und nicht sensible PII

Obwohl es sich eher um eine übliche als um eine gesetzliche Unterscheidung handelt, können wir auch von sensiblen und nicht sensiblen PII reden. 

Sensible PII

Sensible PII (auf Englisch: sensitive PII) sind Informationen, mit denen eine Person direkt identifiziert werden kann und die im Falle einer Datenverletzung zu einem Schaden führen könnten. 

Sensible PII sind normalerweise nicht öffentlich zugänglich. Viele Datenschutzgesetze verlangen von Unternehmen, dass sie diese Daten verschlüsseln, den Zugriff darauf kontrollieren und andere Sicherheitsmaßnahmen ergreifen.

Beispiele für sensible PII sind:

  • Eindeutige Identifikationsnummern, wie Führerschein-, Sozialversicherungs- und Reisepassnummern und andere von der Regierung ausgestellte ID-Nummern
  • Biometrische Daten, wie Fingerabdrücke und Netzhautscans
  • Finanzinformationen, einschließlich Bankkonto- und Kreditkartennummern
  • Medizinische Daten
  • Elektronische und digitale Kontoinformationen, wie E-Mail-Adressen und Internetkontonummern
  • Personalakten von Mitarbeitern
  • Passwort-Informationen
  • Identifikationsnummern in Schulen

Nicht-sensible PII

Bei nicht sensiblen PII (auf Englisch: non-sensitive PII) handelt es sich um Informationen, die möglicherweise nicht eindeutig auf eine einzelne Person zutreffen. Diese Art von Daten dürfen Sie unverschlüsselt übertragen. Ihre Offenlegung wird den betroffenen Personen keinen Schaden zufügen. 

Nicht sensible PII sind in der Regel öffentlich zugänglich – wie Telefonnummern in einem Telefonbuch.

Einige Datenschutzgesetze schreiben den Schutz von nicht sensiblen PII nicht vor. Unternehmen sollten dennoch Schutzmaßnahmen ergreifen, um die Risiken für Einzelpersonen zu begrenzen. 

Beispiele für nicht sensible PII sind:

  • Der vollständige Name einer Person
  • Geburtsname der Mutter
  • Spitzname in sozialen Medien
  • Telefonnummer
  • IP-Adresse
  • Geburtsort 
  • Geburtsdatum
  • Geografische Angaben (Postleitzahl, Stadt, Bundesland, Land usw.)
  • Angaben zur Beschäftigung
  • E-Mail-Adresse oder Postanschrift
  • Rasse oder ethnische Zugehörigkeit
  • Religion

Was sind nicht PII?

Nicht persönlich identifizierbare Informationen (nicht PII) lassen alleinstehend ebenfalls keine Person tracken oder erkennen. Beispiele für nicht PII umfassen, beschränken sich aber nicht auf:

  • Aggregierte Statistiken zur Nutzung von Produkten / Dienstleistungen
  • Teilweise oder vollständig maskierte IP-Adressen

PII und nicht PII werden vage dargestellt. Ferner weist NIST nicht auf Cookie-IDs und Geräte-IDs hin. Demnach betrachten viele AdTech-Unternehmen, Werbetreibende und Verlage diese als nicht persönlich identifizierbare Informationen. Dies steht im direkten Widerspruch zur Definition personenbezogener Daten. Sie behandelt solche digitalen Tracker als Information, die eine Person erkennen lassen.

Was sind personenbezogene Daten?

Personenbezogene Daten“ ist ein rechtlicher Ausdruck, den die DSGVO folgendermaßen bestimmt:

Art. 4 (1)

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Die Definition gilt für den Vor- und Nachnamen einer Person sowie für Details, die eine Person erkennen lassen. Dies beinhaltet ebenfalls Cookies und Login Informationen, mit dessen Hilfe ein Besucher als wiederkehrend erkannt werden kann.

Daher, betrachtet die DSGVO Cookies als personenbezogene Daten, wie wir hier sehen:

Erwägungsgrund 30

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Die Definition von personenbezogenen Daten beinhaltet somit verschiedene Informationen:

  • Verlauf der Transaktionen
  • IP-Adressen
  • Browserverlauf
  • Beiträge in sozialen Medien

Im Grunde sind das jegliche Informationen, die sich direkt oder indirekt auf eine einzelne oder identifizierbare Person beziehen.

Was sind nicht personenbezogene Daten?

Der DSGVO nach sind nicht personenbezogene Daten jene Daten, die keine Person erkennen lassen. Das beste Beispiel sind anonyme Daten:

Erwägungsgrund 26 (5)

Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

Beispiele für nicht personenbezogene Daten umfassen, beschränken sich aber nicht auf:

  • Verallgemeinerte Daten, wie ein Altersbereich.
  • Von staatlichen Stellen oder Gemeinden gesammelte Informationen wie Volkszählungsdaten oder Steuereinnahmen, die für öffentlich finanzierte Arbeiten erhoben werden.
  • Aggregierte Statistiken zur Nutzung eines Produkts oder einer Dienstleistung.
  • Teilweise oder vollständig maskierte IP-Adressen.

Das Sammeln von anonymen Daten ermöglicht es Unternehmen, Einsichten ins Nutzerverhalten zu gewinnen. Sie greifen aber dabei auf keine persönlichen Daten zu. Dies ist mit der Piwik PRO Analytics Suite möglich.Erfahren Sie mehr über anonyme Datenerfassung mit Piwik PRO im Blogbeitrag: Tracking ohne Einwilligung – Analytics ohne personenbezogene Daten

Wie sich PII von personenbezogenen Daten unterscheiden

Wie bereits erwähnt, scheinen die Unterschiede zwischen diesen beiden Datentypen in bestimmten Kontexten recht vage zu sein. Wenn wir hier eine klare Linie ziehen müssten, schauen wir uns den rechtlichen Rahmen an und für wen diese Daten gelten.

Der rechtliche Rahmen

Alle Richtlinien und Pflichten in Bezug auf personenbezogene Daten werden von der DSGVO festgelegt. Sie vereinheitlicht und standardisiert die Datenerfassung von EU-Bürgern. Dies beinhaltet die 28 Mitgliedstaaten der EU sowie Island, Liechtenstein und Norwegen. 

Der Geltungsbereich der DSGVO beschränkt sich jedoch nicht nur auf die EU. Dies betrifft jedes Unternehmen, das sich mit den Daten von EU-Bürgern befasst, unabhängig vom Firmensitz.

Es ist hinzuzufügen, dass in der EU ein einheitlicher Ansatz für Abmahnungen besteht, der sich ständig weiterentwickelt.

In Deutschland regelt das Bundesdatenschutzgesetz (BDSG) den Umgang mit personenbezogenen Daten auf nationaler Ebene. Ergänzend dazu gelten die Landesdatenschutzgesetze. Das BDSG findet Anwendung in jenen Bereichen, die von der DSGVO nicht abgedeckt oder explizit den Mitgliedsstaaten überlassen werden. Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, früher TTDSG) sorgt zusätzlich für den Schutz personenbezogener Daten bei der Nutzung von Telemedien (z. B. Internet).

Das Datenschutzgesetz (DSG) ergänzt und spezifiziert die DSGVO für Österreich und verwendet dieselben Definitionen.

Die Schweiz ist kein EU-Mitglied, hat aber ihr Datenschutzgesetz reformiert, um es der DSGVO anzugleichen. Das revidierte Bundesgesetz über den Datenschutz (revDSG) definiert in Artikel 5 Buchstabe a personenbezogene Daten (hier Personendaten genannt) folgendermaßen:

Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Trotz der knapperen Definition im Schweizer Gesetz ist die Auslegung und Anwendung in der Praxis oft ähnlich breit wie in der EU, um die Compliance mit internationalen Standards zu gewährleisten.

In den USA ist es viel schwieriger, eine einzige Legislative zu definieren, die personenbezogene Daten regelt. Es besteht kein einziges Bundesgesetz, das deren Verwendung absteckt. Unter den verschiedenen Gesetzen, die die Erfassung und Verwendung von personenbezogenen Daten regeln, sind die wichtigsten:

Ferner regeln sowohl Regierungs- als auch Nichtregierungsorganisationen die ordnungsgemäße Verwendung von personenbezogenen Daten, einschließlich:

  • Die Federal Trade Commission (FTC) und deren Department of Consumer Protection
  • Lokale Abteilungen für Verbraucherschutz
  • Die Federal Communications Commission (FCC)
  • Die National Institute of Standards and Technology (NIST)
  • Die Network Advertising Initiative (NAI), eine Selbstregulierungsorganisation
CCPA_CPRA

Das Thema personenbezogene Daten taucht auch im California Consumer Privacy Act (CCPA) auf. Der CCPA legt eine sehr weit gefasste Definition dieses Begriffs fest, die auch im California Privacy Rights Act (CPRA) weitergeführt wird. Mehr dazu in unserem Blogbeitrag: CCPA & CPRA: So halten Sie als Marketer die kalifornischen Gesetze ein

Hier eine kurze Zusammenfassung der wichtigsten Unterschiede zwischen PII und personenbezogenen Daten:

Persönlich identifizierbare Informationen (PII)Personenbezogene Daten
 Identifizierung von PersonenWird oft verwendet, um eine Person von einer anderen zu unterscheiden.Umfasst alle Informationen, die sich auf eine lebende Person beziehen, unabhängig davon, ob sie diese von einer anderen unterscheidet.
Art des BegriffsKein juristischer Begriff, wird aber häufig in der Wirtschaft verwendet.Rechtsbegriff im Sinne der DSGVO.
RechtsschutzSie werden in verschiedenen Gesetzen auf verschiedenen Regierungs- und Organisationsebenen erwähnt.Gedeckt durch eine einzige Reihe von Gesetzen, die von einem Leitungsgremium erstellt und verwaltet werden.
 Regulierte InformationenJe nach Branche, Regierungsbehörde usw. können nur bestimmte Arten des Datenschutzes und des Datenzugriffs geregelt werden.Reguliert alle Aspekte des Datenschutzes und der Nutzung von Informationen, von medizinischen über kommerzielle bis zu persönlichen Aspekten.
Territoriale Anwendung
Am häufigsten in den USA angewendet.		Am häufigsten in der EU angewendet.
 Rechtliche MerkmaleJede Organisation oder Regierung stellt spezifische Gesetze und deren Durchsetzung bereit.Der Begriff bietet einen einheitlichen Ansatz für die Durchsetzung von Datensicherheit und Datenschutz.
Ansatz für die Rechte des EinzelnenIndividuelle Rechte variieren je nach Regelung. Kann, muss aber nicht alle möglichen Rechte des Einzelnen in Bezug auf Daten abdecken.Nach der DSGVO haben Einzelpersonen eine Reihe von Rechten in Bezug auf ihre personenbezogenen Daten, wie:
– Auskunftsrecht 
– Recht auf Berichtigung
– Recht auf Löschung/Vergessenwerden
– Recht auf Einschränkung der Verarbeitung
– Recht auf Datenübertragbarkeit

Warum sollten Sie PII und personenbezogene Daten schützen?

Der Zugang zu personenbezogenen Daten ermöglicht es Unternehmen, Produkt- oder Inhaltsempfehlungen auf die Vorlieben ihrer Kunden abzustimmen. Die wachsende Menge an personenbezogenen Daten, die von Unternehmen gesammelt wird, erregt jedoch die Aufmerksamkeit von Cyberkriminellen. Schützen Sie die Daten Ihrer Nutzer nicht, ist Ihr Unternehmen dem Risiko von Angriffen ausgesetzt.

Gestohlene Daten, die personenbezogene Daten enthalten, können dem Einzelnen großen Schaden zufügen. Mit nur wenigen Teilen solcher Daten richten Diebe falsche Konten im Namen der Person ein, nehmen Kredite auf, erstellen einen gefälschten Reisepass oder verkaufen die Identität einer Person an einen Kriminellen. 

Da Unternehmen personenbezogene Daten sammeln, verarbeiten und speichern, verantworten sie auch den Schutz dieser sensiblen Daten. Schließlich passieren Datenpannen Unternehmen aller Größen und Branchen –  von großen Kreditauskunfteien bis zu kleinen Banken.  

Eine Datenschutzverletzung kann das Vertrauen der Nutzer in ein Unternehmen ernsthaft beschädigen. Es ruiniert letztlich den Ruf des Unternehmens und beeinträchtigt das Geschäftsergebnis. Ganz zu schweigen von der Gefahr der Missachtung von Datenschutzvorschriften, die zusätzlich zu hohen Geldstrafen führen kann. 

Laut dem IBM-Bericht „Cost of a Data Breach 2023“ betrugen die durchschnittlichen Kosten einer durch einen Ransomware-Angriff verursachten Datenschutzverletzung 5,13 Millionen US-Dollar. Laut dem ESG-Bericht verdoppelte sich die Menge an sensiblen Daten im Zeitraum zwischen 2021 und 2024. Ferner glaubt etwa die Hälfte der Unternehmen, dass diese Daten nicht ausreichend geschützt sind. 

In Anbetracht der zahlreichen Risiken, die mit Datenschutzverletzungen verbunden sind, ist der Schutz von personenbezogenen Daten von entscheidender Bedeutung. Unternehmen müssen sich in einer komplexen IT- und Rechtslandschaft zurechtfinden, um zukünftige Angriffe zu verhindern und einen skalierbaren Datenschutzrahmen zu schaffen. 

Die Betonung der Datensicherheit und des Datenschutzes trägt auch dazu bei, die Kundentreue und ihr Vertrauen zu stärken. Der Privacy-First-Ansatz macht die Investitionen in die Technologie zukunftssicher in Zeiten sich ändernder Anforderungen.

Wie man PII schützt

Die wichtigste Quelle für Hinweise zum Schutz von PII ist der Guide to Protecting the Confidentiality of Personally Identifiable Information von NIST. 

Erstens ähneln die Methoden zum Schutz von PII denen, die die DSGVO für personenbezogene Daten vorsieht, wie:

  • Datenminimierung
  • Datenschutz-Folgenabschätzung
  • Verschlüsselung der Daten
  • Anonymisierung der Daten

Nicht alle PII erfordern das gleiche Maß an Schutz. Es hängt von den folgenden Faktoren ab:

  • Wie einfach können die PII bestimmten Personen zugeordnet werden.
  • Die Anzahl der Personen, deren PII im System gespeichert sind.
  • Die Sensibilität der Daten.
  • Der Kontext, in dem die Daten verwendet, gespeichert, gesammelt oder weitergegeben werden.
  • Gesetzliche Pflichten zum Schutz der Daten.
  • Speicherort der Daten und die Ebene des autorisierten Zugriffs darauf.

NIST erklärt weiter, dass der Schutz von PII eine Kombination von Maßnahmen erfordert wie betriebliche Schutzmaßnahmen, Sicherheitskontrollen und Schutzmaßnahmen in Bezug auf die Privatsphäre.

Nachfolgend finden Sie eine Übersicht der empfohlenen Maßnahmen:

Operative Schutzmaßnahmen

Der Schutz von personenbezogenen Daten beginnt auf der operativen Ebene einer Organisation. Dazu zahlt: detaillierte Richtlinien zu erstellen und einzuführen und das Verfahren für den Umgang von PII umzusetzen. Einige Schutzmaßnahmen umfassen die Schulung von Mitarbeitern über die Risiken von Datenschutzverletzungen und Best Practices für den Umgang mit PII.

Datenschutzrechtliche Garantien

Datenschutzspezifische Schutzmaßnahmen helfen Unternehmen dabei, den Grundsatz der Datenminimierung zu befolgen. Sie ermöglichen ihnen auch, Daten zuverwenden und zu verwalten, ohne deren Vertraulichkeit zu gefährden. Der Schutz der Vertraulichkeit von personenbezogenen Daten erfordert bestimmte Mechanismen, wie die Anonymisierung und die De-Identifizierung von Informationen (Verschlüsselung).

Sicherheitskontrollen

NIST gibt Empfehlungen für Sicherheitskontrollen zum Schutz von PII. Sie umfassen:

  • Zugfriffszwingung – z. B. Gewährung des Zugriffs auf die Daten basierend auf der Rolle des Benutzers.
  • Fernzugriff – den Zugriff auf PII verbieten oder einschränken, sobald ein Nutzer einen Fernzugriff hat und eine verschlüsselte Kommunikation aufbauen.
  • Aufgabentrennung – z. B. Nutzer, die mit anonymisierten PII umgehen, sollten keinen Zugriff auf Informationen erhalten, die Datensätze wiedererkennen lassen.
  • Überwachung des Informationssystems – Überwachung von PII auf ungewöhnliche oder verdächtige Übertragungen oder Ereignisse.
  • Prinzip der geringsten Rechte – stellt sicher, dass Nutzer nur Zugriff auf die Daten haben, die sie benötigen.
  • Auditprüfung, Analyse und Berichterstattung – regelmäßig Aufzeichnungen nach dem Audit des Informationssystems überprüfen und analysieren, um ungewöhnliche Aktivitäten zu erkennen, die sich auf PII auswirken.

Wie man personenbezogene Daten schützt

Die Datenschutz-Grundverordnung enthält Leitlinien für den Schutz personenbezogener Daten. Zu den wichtigsten gehören:

Der Grundsatz der Rechtmäßigkeit

Am wichtigsten ist, dass die DSGVO einen klaren und gültigen Grund, sobald Sie personenbezogene Daten sammeln und verwenden wollen. Dieser Grund muss auf Notwendigkeit beruhen. Dies kann zum Beispiel die Erfüllung einer vertraglichen Verpflichtung oder die Erbringung einer Dienstleistung sein.

Der Grundsatz der Integrität und Vertraulichkeit

Eine der wichtigsten Möglichkeiten, Daten zu schützen, besteht darin, ihre Sicherheit zu gewährleisten, auch wenn die DSGVO nicht genau festlegt, wie diese Sicherheit in der Praxis aussehen soll. Die Wahl der Schutzmaßnahmen wird sich von Organisation zu Organisation unterscheiden. Schließlich ergreift ein Krankenhaus mit sensiblen Informationen über seine Patienten andere Maßnahmen als ein Blogger mit einem Newsletter.

Privacy by Design (Datenschutz durch Technikgestaltung)

Privacy by Design bedeutet die technischen und organisatorischen Maßnahmen in den ersten Planungsphasen der Datenverwaltung einzubringen.

Beispiele für diese Maßnahmen sind:

  • Pseudonymisierung – Ersetzen oder Entfernen von Informationen innerhalb eines Datensatzes, die eine Identifikation einer betroffenen Person möglich machen. Verschlüsselung, Scrambling oder Masking gelten als gängige Methoden
  • Anonymisierung – Entfernen personenbezogener Informationen aus einem Datensatz, die eine betroffene Person erkennen lassen. 
  • Überwachen der Datenverarbeitung.
  • Hinzufügen von Datenschutz-Features und bereits verwendete verbessern.

Beachten Sie, dass unter der DSGVO Pseudonymisierung keine genügende Anonymität bietet.

Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellungen)

Privacy by Default basiert auf den Grundsätzen der Datenminimierung und Zweckbindung. 

Gemäß dem Grundsatz der Datenminimierung sollten die Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Zweckbindung bedeutet, dass Organisationen den Zweck der Datenverwaltung präzisieren, dokumentieren und betroffene Personen über die einzelnen Zwecke informieren, bevor sie Daten verwalten.  

Organisationen, die nach diesen Grundsätzen handeln, erheben nur ein Minimum an Daten. Sie bewahren diese für so lange wie nur unbedingt nötig, um den gewünschten Zweck zu erfüllen.

Mehr zu obigen Themen finden Sie in dem Blogbeitrag: Was sind Privacy by Design & Privacy by Default unter der DSGVO

Datenschutz-Folgenabschätzung

Die DSGVO empfiehlt, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, sobald ein mögliches Risiko vorliegt, dass betroffene Personen schädigen könnte. DSFAs helfen Organisationen, das Risiko eines Verstoßes zu verringern, indem sie mögliche Bedrohungen erkennen und mildern.

Erwägen Sie die Durchführung einer DSFA, wenn Sie:

  • Neue Technologie einsetzen
  • Sensible Daten in großem Umfang verarbeiten
  • Systematisch öffentliche Plätze überwachen

Whitepaper

Was sind personenbezogene Daten, PII und Non-PII und wie man sie schützt

Erfahren Sie alles über die Unterschiede der Datentypen, wie man sie schützt und was man beachten sollte beim Sammeln und Verwalten sensibler Daten.

Downloaden

Über Datenschutzbestimmungen auf dem Laufenden bleiben

Die allgemeinen Definitionen von PII und personenbezogenen Daten entwickeln sich weiter und decken immer mehr Datentypen ab. Auch die Unterschiede zwischen den beiden werden immer weniger ausgeprägt. Die gesetzlichen Anforderungen werden auf beiden Seiten des Atlantiks strenger.

Diese Änderungen bringen neue Herausforderungen mit sich. Für Unternehmen aller Art bedeutet dies, die von ihnen gesammelten Daten genauer zu betrachten und mit der sich ändernden Rechtslandschaft Schritt zu halten, um die Compliance zu gewährleisten.

Wenn Sie auf dem Laufenden bleiben und  aktuelle Infos zu Analytics & Co., Updates zu unseren Blogbeiträgen, Webinaren und E-books erhalten möchten, melden Sie sich für den Piwik PRO Newsletter an.

Keine Analytics Insights mehr verpassen?

Abonnieren Sie den Piwik PRO Newsletter

Beata Moryl

Translator and Content Marketer

Beata Moryl ist ein Profi mit 20 Jahren freiberuflicher Erfahrung im Übersetzen und Verfassen von Inhalten. Sie verfügt außerdem über einen soliden betriebswirtschaftlichen Hintergrund und Erfahrung als Managerin in den Bereichen Kundenservice, Produktmanagement und Geschäftsentwicklung. Beata übersetzte fast 20 wirtschaftsbezogene Bücher (zu den Themen Marketing, Soft Skills, Coaching, HR und Kundenservice) für etablierte Verlage wie den Verlag C.H. Beck. Bei Piwik PRO spezialisiert sie sich auf die rechtlichen Aspekte der Webanalyse, den Datenschutz und die Optimierung von Geschäftsergebnissen mithilfe moderner IT-Tools. LinkedIn Profil

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

Karolina ist Content Marketer und Social Media Managerin bei Piwik PRO. Sie bringt viel Erfahrung als Copywriter mit sich und versteht es dem Leser komplexe Themen des Datenschutzes & der DSGVO verständlich näherzubringen.

Karolina Matuszewska

Senior Content Marketer

Writer and content marketer. Transforms technical jargon into engaging and informative articles.

Małgorzata Poddębniak

Senior Content Marketer

Content-Marketerin und Redakteurin mit Erfahrung in technischen Themen und im Erstellen von recherchebasierten, umfassenden Artikeln über die Web-Analytics und den Datenschutz.