Zurück zum Blog

Was sind PII, Non-PII und personenbezogene Daten? [UPDATE]

Datenschutz DSGVO Sicherheit

Geschrieben von , ,

Veröffentlicht November 23, 2020 Aktualisiert December 18, 2020

Was sind PII, Non-PII und personenbezogene Daten? [UPDATE]

Die vage Abgrenzung zwischen den Begriffen persönlich identifizierbare Informationen (PII) und personenbezogene Daten führt in den meisten Fällen zu Missverständnissen. Sie mögen zwar das Gleiche umschreiben, jedoch scheiden sich die Wege im Detail. Vor allem verwirren sie Organisationen, die solche Datenklassen sammeln, speichern und analysieren. 

Sobald wir uns die USA näher betrachten, werden PII zwar verwendet, jedoch werden sie in keinem einzigen Dokument genau beschrieben. Das Rechtssystem der Vereinigten Staaten besteht aus zahlreichen Bundes- und Landesgesetzen, sowie auch branchenspezifischen Vorschriften. Sie alle definieren und klassifizieren verschiedene Informationen unter dem Deckmantel PII.

Andererseits sind personenbezogene Daten in der allgemeinen Datenschutzverordnung (DSGVO) rechtlich abgegrenzt, das in der europäischen Union als Gesetz anerkannt ist. 

Als Website-Administrator, App- oder Produktanbieter sollten Sie sich im Klaren sein: Spuren, die Besucher und User hinterlassen, könnten sensibler Natur sein. Mit diesen Spuren wäre es möglich Personen zu identifizieren. Daher ist es unumgänglich, dass Sie diese Daten mit äußerster Vorsicht handhaben. Das Rechtssystem könnte dies als Kavaliersdelikte oder auch Verstöße mit schwerwiegenden Folgen ansehen. Dementsprechend sollte Ihr Unternehmen das Gesamtbild erfassen, um die Datensicherheit zu gewährleisten und gesetzliche Bestimmungen einzuhalten.

Inhaltsverzeichnis

  1. Was sind persönlich identifizierbare Informationen (PII)?
  2. Welche Daten sind PII?
  3. Was sind nicht PII?
  4. Was sind personenbezogene Daten?
  5. Was sind nicht personenbezogene Daten?
  6. Wie sich PII von personenbezogenen Daten unterscheiden
    1. Der rechtliche Rahmen
  7. Wo Regeln für PII und personenbezogene Daten gelten
  8. Über Datenschutzbestimmungen auf dem Laufenden bleiben

Was sind persönlich identifizierbare Informationen (PII)?

US-Regierungsbehörden und Nichtregierungsorganisationen (NRO) sprechen ständig über PII. Jedoch fehlt in den USA ein übergeordnetes Gesetz, das PII genau beschreibt. Das Verständnis über persönlich identifizierbare Informationen könnte somit subjektiv ausfallen. 

Die gebräuchlichste Definition wird vom Nationalen Institut für Standards und Technologie (NIST) bereitgestellt:

PII sind jene Informationen über eine Person, die eine Agentur verwaltet; einschließlich (1) aller Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden könnten, wie der Name, die Sozialversicherungsnummer, das Geburtsdatum und der Geburtsort, der Mädchenname der Mutter oder biometrische Aufzeichnungen; sowie (2) alle anderen Informationen, die mit einer Person verknüpft werden oder verknüpft werden könnten, wie z. B. medizinische, Bildungs-, Finanzinformationen und Informationen über den Beruf.

Die Grenze zwischen PII und anderen Arten der Information verschwimmt geradezu. Die US General Services Administration betont: “Die Definition von PII ist nicht an eine einzelne Kategorie von Informationen oder Technologien gebunden. Es erfordert eine Einzelfallbewertung des spezifischen Risikos, dass eine Person identifiziert werden kann.“

Welche Daten sind PII?

Laut NIST werden PII in zwei Kategorien unterteilt: verknüpfte und verknüpfbare Informationen.

Verknüpfte Informationen enthalten persönliche Details, die eine Person sofort identifizieren:

  • Vollständiger Name
  • Adresse
  • E-Mail Adresse
  • Sozialversicherungsnummer
  • Passnummer
  • Führerscheinnummer
  • Kreditkartennummern
  • Geburtsdatum
  • Telefonnummer
  • Eigener Besitz, z.B.: Fahrzeugidentifikationsnummer (FIN)
  • Login-Daten
  • Seriennummer des Prozessors oder Geräts *
  • MAC-Adresse (Media-Access-Control) *
  • IP-Adresse (Internet Protokoll) *
  • Geräte-IDs *
  • Cookies*

* Bemerkung

NIST gibt an, dass “eine IP-Adresse oder eine MAC-Adresse oder eine andere host-spezifische, persistente, statische Kennung, konsistent mit einer bestimmten Person oder einer kleinen, genau definierten Gruppe von Personen verknüpft ist.” Das bedeutet, dass Cookies und Geräte-ID unter die Definition von PII fallen.

Verknüpfbare Informationen identifizieren als alleinstehende Daten keine Person. Sobald sie aber mit einer zusätzlichen Information verknüpft werden, ist es möglich eine Person zu identifizieren, zu verfolgen und aufzufinden.

Hier sind einige Beispiele verknüpfbarer Informationen:

  • Vorname oder Nachname (falls üblich: z.B.: Maier)
  • Land, Bundesland, Stadt, Postleitzahl
  • Geschlecht
  • Rasse
  • Ungenaue Altersangabe (z.B.: 30-40 anstatt 32)
  • Arbeitsstelle und Position
Vergleich
Vergleich

5 führende Web Analytics Plattformen für Unternehmen im Vergleich

Vergleichen Sie über 30 Features der Web-Analytics-Software folgender Anbieter: Piwik PRO, Google Analytics 360, Adobe Analytics, etracker Analytics (Enterprise) und Countly Enterprise

Was sind nicht PII?

Nicht persönlich identifizierbare Informationen (nicht PII) können alleinstehend nicht zur Verfolgung oder Identifizierung einer Person verwendet werden. Beispiele für nicht PII umfassen, beschränken sich aber nicht auf:

  • Aggregierte Statistiken zur Nutzung von Produkten / Dienstleistungen
  • Teilweise oder vollständig maskierte IP-Adressen

Die Klassifizierung von PII und nicht PII wird vage dargestellt. Darüber hinaus weist NIST nicht auf Cookie-IDs und Geräte-IDs hin. Demnach betrachten viele AdTech-Unternehmen, Werbetreibende und Verlage diese als nicht persönlich identifizierbare Informationen. Dies steht im direkten Widerspruch zur Definition von personenbezogener Daten, die solche digitalen Tracker als Information betrachten, die eine Person identifizieren könnten.

Was sind personenbezogene Daten?

“Personenbezogene Daten” ist ein rechtlicher Ausdruck, der in der DSGVO folgendermaßen bestimmt wird:

Art. 4

Im Sinne dieser Verordnung bezeichnet der Ausdruck: „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

Die Definition gilt nicht nur für den Vor- und Nachnamen einer Person, sondern auch für Details, die diese Person identifizieren könnten. Dies beinhaltet ebenfalls Cookies und Login Informationen, mit dessen Hilfe ein Besucher als wiederkehrend beschrieben wird.

Mit Art. 4 im Hinterkopf, beschreibt die DSGVO Cookies als personenbezogene Daten:

Erwägungsgrund 30

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

Die Definition von personenbezogenen Daten beinhaltet somit verschiedene Informationen:

  • Verlauf der Transaktionen
  • IP-Adressen
  • Browserverlauf
  • Beiträge in sozialen Medien

Im Grunde genommen sind das jegliche Informationen, die sich direkt oder indirekt auf eine einzelne oder identifizierbare Person beziehen.

Was sind nicht personenbezogene Daten?

Der DSGVO nach sind nicht personenbezogene Daten jene Daten, mit denen keine Person identifiziert werden könnte. Das beste Beispiel sind anonyme Daten:

Erwägungsgrund 26

[…] Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. […]

Beispiele für nicht personenbezogene Daten umfassen, beschränken sich aber nicht auf:

  • Verallgemeinerte Daten, z.B.: großzügig angesetzter Altersbereich, z.B. 20-40
  • Von staatlichen Stellen oder Gemeinden gesammelte Informationen wie Volkszählungsdaten oder Steuereinnahmen, die für öffentlich finanzierte Arbeiten gesammelt wurden
  • Aggregierte Statistiken zur Nutzung eines Produkts oder einer Dienstleistung
  • Teilweise oder vollständig maskierte IP-Adressen

Wie sich PII von personenbezogenen Daten unterscheiden

Wie bereits erwähnt, scheinen die Unterschiede zwischen diesen beiden Datentypen in bestimmten Kontexten recht vage zu sein. Wenn wir hier eine klare Linie ziehen müssten, schauen wir uns den rechtlichen Rahmen an und für wen diese Daten gelten.

Der rechtliche Rahmen

Alle Regeln und Verpflichtungen in Bezug auf personenbezogene Daten werden von der DSGVO festgelegt. Sie zielt darauf ab die Datenerfassung von EU-Bürgern zu vereinheitlichen und zu standardisieren. Dies bedeutet aber auch, dass ein einheitlicher Ansatz für Abmahnungen besteht, der seit dem Inkrafttreten der DSGVO im Mai 2018 stetig zugenommen hat.

In den USA ist es viel schwieriger eine einzige Legislative zu definieren, die personenbezogene Daten kontrolliert. Es besteht kein einziges Bundesgesetz, das deren Verwendung regelt. Unter den verschiedenen Gesetzen, die die Erfassung und Verwendung von personenbezogenen Daten regeln, sind die wichtigsten:

Darüber hinaus regeln sowohl Regierungs- als auch Nichtregierungsorganisationen die ordnungsgemäße Verwendung von personenbezogenen Daten, einschließlich:

  • Die Federal Trade Commission (FTC) und deren Department of Consumer Protection
  • Lokale Abteilungen für Verbraucherangelegenheiten
  • Die Federal Communications Commission (FCC)
  • Die National Institute of Standards and Technology (NIST)
  • Die Network Advertising Initiative (NAI), eine Selbstregulierungsorganisation

Wo Regeln für PII und personenbezogene Daten gelten

Da personenbezogene Daten eng mit der DSGVO verbunden sind, betreffen sie alle Einwohner und Bürger der Mitgliedstaaten des europäischen Wirtschaftsraums. Dies beinhaltet die 28 Mitgliedstaaten der EU sowie Island, Liechtenstein und Norwegen, die wir kurz als EU-Bürger bezeichnen werden.

Der Geltungsbereich der DSGVO beschränkt sich jedoch nicht nur auf die EU. Dies betrifft jedes Unternehmen, das sich mit den Daten von EU-Bürgern befasst, unabhängig des Firmensitzes.

Die Gerichtsbarkeit, bzw. die Zuständigkeit, ist viel schwieriger zu bestimmen, da der Begriff PII nicht überall gleiche Anwendung findet.

Selbst in den USA, wo der Begriff PII vorwiegend genutzt wird, variiert die Anwendung von Bundesstaat zu Bundesstaat als auch von Sektor zu Sektor. Mehrere Rechtsdokumente und Industriestandards haben ihre eigene Meinung darüber, wie PII zu definieren ist.

Infolgedessen ist es ziemlich schwierig zu bestimmen, wen und auch wie persönlich identifizierbare Informationen umfassen.

Vergleich
Vergleich

5 führende Web Analytics Plattformen für Unternehmen im Vergleich

Vergleichen Sie über 30 Features der Web-Analytics-Software folgender Anbieter: Piwik PRO, Google Analytics 360, Adobe Analytics, etracker Analytics (Enterprise) und Countly Enterprise

Über Datenschutzbestimmungen auf dem Laufenden bleiben

Die allgemeinen Definitionen von PII und personenbezogenen Daten werden weiterentwickelt, um immer mehr Datentypen abzudecken. Die Unterschiede zwischen den beiden werden ebenfalls kleiner und die gesetzlichen Anforderungen werden auf beiden Seiten des Atlantiks strenger.

Diese Änderungen bringen neue Herausforderungen mit sich. Für Unternehmen aller Art bedeutet dies, die von ihnen gesammelten Daten genauer zu betrachten und mit der sich ändernden Rechtslandschaft Schritt zu halten, um die Compliance zu gewährleisten.

Wir hoffen, dass unser Artikel zumindest einige Ihrer Fragen zu PII und personenbezogenen Daten beantwortet hat. Wenn Sie jedoch mehr erfahren möchten, kontaktieren Sie uns jederzeit. Unsere Experten beantworten gerne jede Frage!

Autor

Karolina Matuszewska

Content Marketer

Karolina ist Content Marketer bei Piwik PRO. Sie hat sich auf On-site und Off-site Personalisierung spezialisiert. Sie beherrscht die Kunst technische Zusammenhänge einfach zu erklären und den Leser unterhaltsam zu informieren. Digital Marketer und Web Analysten sind hier genau richtig.

Mehr von diesem Autor lesen

Autor

Michael Sweeney

Head of Marketing - Clearcode

Michael ist Head of Marketing bei Clearcode. Er ist passionierter Copywriter und Corporate Blogger.

Mehr von diesem Autor lesen

Autor

Sebastian Synowiec

Content Marketing Specialist

Content Marketer Sebastian, verbindet bei Piwik PRO User Experience, Webanalyse und Datenschutz mit der Kunst der leichten Feder. Als erfahrener Texter bringt er jeder Zielgruppe auch komplexe Zusammenhänge und neue Entwicklungen näher. LinkedIn Profil

Mehr von diesem Autor lesen