Zurück zum Blog

Was sind personenbezogene Daten, PII und Non-PII? [UPDATE]

Datenschutz DSGVO Sicherheit

Geschrieben von , ,

Veröffentlicht November 23, 2020 Aktualisiert November 16, 2021

Was sind personenbezogene Daten, PII und Non-PII? [UPDATE]

Persönlich identifizierbare Informationen (PII) und personenbezogene Daten verwirren die Meisten. Vor allem beirren diese Begriffe Organisationen, die solche Datenklassen sammeln, speichern und analysieren. Dabei fallen diese Begriffe regionalen und rechtlichen Grenzen zugrunde, nämlich den USA und der Europäischen Union.

Das Rechtssystem der Vereinigten Staaten besteht aus zahlreichen Bundes- und Landesgesetzen sowie auch branchenspezifischen Vorschriften. Sie alle definieren und klassifizieren verschiedene Informationen unter dem Deckmantel PII. Jedoch beschreibt kein einziges amerikanisches Rechtsdokument, was genau unter diesen Begriff fällt

Im Gegensatz dazu grenzt die Europäische Datenschutz-Grundverordnung (DSGVO) den Begriff personenbezogene Daten rechtlich ab. Daher, wir wissen genau welche Daten als personenbezogen gelten.

Beide Begriffe beschreiben Daten, die eine Person direkt oder indirekt erkennen lassen. Wieso das wichtig ist?

Als Website-Administrator, App- oder Produktanbieter sollten Sie wissen: 

Besucher und User hinterlassen Datenspuren. Diese könnten eine Person erkennen lassen. Verwalten Sie personenbezogene Daten mit äußerster Vorsicht. Das Rechtssystem sieht Verstöße als Kavaliersdelikte und, in manchen Fällen, als schwerwiegend an. Dementsprechend sollte Ihr Unternehmen genau wissen, was beide Begriffe bedeuten und wie Sie die Datensicherheit gewährleisten und Gesetze einhalten.

Inhaltsverzeichnis

  1. Was sind persönlich identifizierbare Informationen (PII)?
  2. Welche Daten sind PII?
  3. Was sind nicht PII?
  4. Was sind personenbezogene Daten?
  5. Was sind nicht personenbezogene Daten?
  6. Wie sich PII von personenbezogenen Daten unterscheiden
    1. Der rechtliche Rahmen
  7. Wo Regeln für PII und personenbezogene Daten gelten
  8. Über Datenschutzbestimmungen auf dem Laufenden bleiben

Was sind persönlich identifizierbare Informationen (PII)?

Personal identifiable information, auf Deutsch persönlich identifizierbare Informationen, ist vorwiegend ein amerikanischer Begriff. US-Regierungsbehörden und Nichtregierungsorganisationen (NRO) nutzen ständig den Begriff PII. Das Verständnis über persönlich identifizierbare Informationen könnte durch das Fehlen einer rechtlichen Grundlage aber subjektiv ausfallen. 

Die gebräuchlichste Definition wird vom Nationalen Institut für Standards und Technologie (NIST) bereitgestellt:

PII sind jene Informationen über eine Person, die eine Agentur verwaltet; einschließlich (1) aller Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden könnten, wie der Name, die Sozialversicherungsnummer, das Geburtsdatum und der Geburtsort, der Mädchenname der Mutter oder biometrische Aufzeichnungen; sowie (2) alle anderen Informationen, die mit einer Person verknüpft werden oder verknüpft werden könnten, wie z. B. medizinische, Bildungs-, Finanzinformationen und Informationen über den Beruf.

Die Grenze zwischen PII und anderen Informationsarten verschwimmt geradezu. Die US General Services Administration betont: “Die Definition von PII ist nicht an eine einzelne Kategorie von Informationen oder Technologien gebunden. Es erfordert eine Einzelfallbewertung des spezifischen Risikos, dass eine Person erkannt werden kann.

Welche Daten sind PII?

Laut NIST werden PII in zwei Kategorien unterteilt: verknüpfte und verknüpfbare Informationen.

Verknüpfte Informationen enthalten persönliche Details, die eine Person sofort identifizieren:

  • Vollständiger Name
  • Adresse
  • E-Mail Adresse
  • Sozialversicherungsnummer
  • Passnummer
  • Führerscheinnummer
  • Kreditkartennummern
  • Geburtsdatum
  • Telefonnummer
  • Eigener Besitz, z.B.: Fahrzeugidentifikationsnummer (FIN)
  • Login-Daten
  • Seriennummer des Prozessors oder Geräts *
  • MAC-Adresse (Media-Access-Control) *
  • IP-Adresse (Internet Protokoll) *
  • Geräte-IDs *
  • Cookies*
* Bemerkung

NIST gibt an, dass “eine IP-Adresse oder eine MAC-Adresse oder eine andere host-spezifische, persistente, statische Kennung, konsistent mit einer bestimmten Person oder einer kleinen, genau definierten Gruppe von Personen verknüpft ist.” Das bedeutet, dass Cookies und Geräte-ID unter die Definition von PII fallen.

Verknüpfbare Informationen lassen als alleinstehende Daten keine Person erkennen. Sobald sie aber mit einer zusätzlichen Information verknüpft werden, ist es möglich eine Person zu erkennen, zu tracken und aufzufinden.

Hier sind einige Beispiele verknüpfbarer Informationen:

  • Vorname oder Nachname (falls üblich: z.B.: Maier)
  • Land, Bundesland, Stadt, Postleitzahl
  • Geschlecht
  • Rasse
  • Ungenaue Altersangabe (z.B.: 30-40 anstatt 32)
  • Arbeitsstelle und Position
Whitepaper
Whitepaper

Was sind personenbezogene Daten, PII und Non-PII und wie man sie schützt

Erfahren Sie alles über die Unterschiede der Datentypen, wie man sie schützt und was man beachten sollte beim Sammeln und Verwalten sensibler Daten.

Was sind nicht PII?

Nicht persönlich identifizierbare Informationen (nicht PII) lassen alleinstehend ebenfalls keine Person tracken oder erkennen. Beispiele für nicht PII umfassen, beschränken sich aber nicht auf:

  • Aggregierte Statistiken zur Nutzung von Produkten / Dienstleistungen
  • Teilweise oder vollständig maskierte IP-Adressen

PII und nicht PII werden vage dargestellt. Darüber hinaus weist NIST nicht auf Cookie-IDs und Geräte-IDs hin. Demnach betrachten viele AdTech-Unternehmen, Werbetreibende und Verlage diese als nicht persönlich identifizierbare Informationen. Dies steht im direkten Widerspruch zur Definition personenbezogener Daten. Sie betrachten solche digitalen Tracker als Information, die eine Person erkennen lassen.

Was sind personenbezogene Daten?

Personenbezogene Daten” ist ein rechtlicher Ausdruck, den die DSGVO folgendermaßen bestimmt:

Art. 4 (1)

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Die Definition gilt nicht nur für den Vor- und Nachnamen einer Person, sondern auch für Details, die eine Person erkennen lassen. Dies beinhaltet ebenfalls Cookies und Login Informationen, mit dessen Hilfe ein Besucher als wiederkehrend beschrieben werden kann.

Daher, die DSGVO beschreibt Cookies als personenbezogene Daten, wie wir hier sehen:

Erwägungsgrund 30

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Die Definition von personenbezogenen Daten beinhaltet somit verschiedene Informationen:

  • Verlauf der Transaktionen
  • IP-Adressen
  • Browserverlauf
  • Beiträge in sozialen Medien

Im Grunde genommen sind das jegliche Informationen, die sich direkt oder indirekt auf eine einzelne oder identifizierbare Person beziehen.

Was sind nicht personenbezogene Daten?

Der DSGVO nach sind nicht personenbezogene Daten jene Daten, die keine Person erkennen lassen. Das beste Beispiel sind anonyme Daten:

Erwägungsgrund 26 (5)

Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

Beispiele für nicht personenbezogene Daten umfassen, beschränken sich aber nicht auf:

  • Verallgemeinerte Daten, z.B.: großzügig angesetzter Altersbereich, z.B. 20-40
  • Von staatlichen Stellen oder Gemeinden gesammelte Informationen wie Volkszählungsdaten oder Steuereinnahmen, die für öffentlich finanzierte Arbeiten gesammelt wurden
  • Aggregierte Statistiken zur Nutzung eines Produkts oder einer Dienstleistung
  • Teilweise oder vollständig maskierte IP-Adressen

Wie sich PII von personenbezogenen Daten unterscheiden

Wie bereits erwähnt, scheinen die Unterschiede zwischen diesen beiden Datentypen in bestimmten Kontexten recht vage zu sein. Wenn wir hier eine klare Linie ziehen müssten, schauen wir uns den rechtlichen Rahmen an und für wen diese Daten gelten.

Der rechtliche Rahmen

Alle Richtlinien und Verpflichtungen in Bezug auf personenbezogene Daten werden von der DSGVO festgelegt. Sie vereinheitlicht und standardisiert die Datenerfassung von EU-Bürgern. Dies bedeutet aber auch, dass ein einheitlicher Ansatz für Abmahnungen besteht, der seit dem Inkrafttreten der DSGVO im Mai 2018 stetig zunimmt.

Quelle: enforcementtracker.com, provided by CMS Law.Tax

In den USA ist es viel schwieriger eine einzige Legislative zu definieren, die personenbezogene Daten regelt. Es besteht kein einziges Bundesgesetz, das deren Verwendung absteckt. Unter den verschiedenen Gesetzen, die die Erfassung und Verwendung von personenbezogenen Daten regeln, sind die wichtigsten:

Darüber hinaus regeln sowohl Regierungs- als auch Nichtregierungsorganisationen die ordnungsgemäße Verwendung von personenbezogenen Daten, einschließlich:

  • Die Federal Trade Commission (FTC) und deren Department of Consumer Protection
  • Lokale Abteilungen für Verbraucherangelegenheiten
  • Die Federal Communications Commission (FCC)
  • Die National Institute of Standards and Technology (NIST)
  • Die Network Advertising Initiative (NAI), eine Selbstregulierungsorganisation

Wo Regeln für PII und personenbezogene Daten gelten

Da personenbezogene Daten eng mit der DSGVO verbunden sind, betreffen sie alle Einwohner und Bürger der Mitgliedstaaten des europäischen Wirtschaftsraums. Dies beinhaltet die 28 Mitgliedstaaten der EU sowie Island, Liechtenstein und Norwegen, die wir kurz als EU-Bürger bezeichnen.

Der Geltungsbereich der DSGVO beschränkt sich jedoch nicht nur auf die EU. Dies betrifft jedes Unternehmen, das sich mit den Daten von EU-Bürgern befasst, unabhängig des Firmensitzes.

Die Gerichtsbarkeit, bzw. die Zuständigkeit, ist viel schwieriger zu bestimmen, da der Begriff PII nicht überall gleiche Anwendung findet.

Selbst in den USA, wo der Begriff PII vorwiegend genutzt wird, variiert die Anwendung von Bundesstaat zu Bundesstaat als auch von Sektor zu Sektor. Mehrere Rechtsdokumente und Industriestandards haben ihre eigene Meinung darüber, wie PII zu definieren ist.

Infolgedessen ist es ziemlich schwierig zu bestimmen, wen persönlich identifizierbare Informationen umfassen und wie zu verstehen sind.

Über Datenschutzbestimmungen auf dem Laufenden bleiben

Die allgemeinen Definitionen von PII und personenbezogenen Daten werden weiterentwickelt, um immer mehr Datentypen abzudecken. Die Unterschiede zwischen den beiden werden ebenfalls kleiner und die gesetzlichen Anforderungen werden auf beiden Seiten des Atlantiks strenger.

Diese Änderungen bringen neue Herausforderungen mit sich. Für Unternehmen aller Art bedeutet dies, die von ihnen gesammelten Daten genauer zu betrachten und mit der sich ändernden Rechtslandschaft Schritt zu halten, um die Compliance zu gewährleisten.

Wir hoffen, dass unser Artikel zumindest einige Ihrer Fragen zu PII und personenbezogenen Daten beantwortet hat. Wenn Sie jedoch mehr erfahren möchten, kontaktieren Sie uns jederzeit. Unsere Experten beantworten gerne jede Frage!

Halten Sie sich auf dem Laufenden und lesen Sie folgende Artikel:
6 Wege wie Sie Daten online sammeln und der Vergleich 5 beliebter Analytics Plattformen →
Piwik PRO vs. Matomo (Piwik): Die wichtigsten Unterschiede veranschaulicht →
Piwik PRO vs Google Analytics: der umfassendste Vergleich →
4 Nachteile von Google Analytics, die Sie kennen sollten, bevor es zu spät ist →

Autor

Karolina Matuszewska

Senior Content Marketer

Writer and content marketer. Transforms technical jargon into engaging and informative articles.

Mehr von diesem Autor lesen

Autor

Michael Sweeney

Head of Marketing at Clearcode

Michael ist Head of Marketing bei Clearcode. Er ist passionierter Copywriter und Corporate Blogger.

Mehr von diesem Autor lesen

Autor

Sebastian Synowiec

Content Marketing Specialist

Sebastian throws user experience, web analysis and data protection into a pot and shakes it up with creative writing. At Piwik PRO, he delivers easy to read content about new developments and complex topics for various target groups.

Mehr von diesem Autor lesen