Was sind PII, Non-PII und personenbezogene Daten?

Veröffentlicht: November 9, 2017 Update: August 14, 2019 Autor , Kategorie Datenschutz

In jüngster Vergangenheit haben viele Menschen ein höheres Bewusstsein für den Schutz Ihrer Online-Daten entwickelt. Sie fragen sich, welche Informationen und personenbezogene Daten Unternehmen über sie sammeln.

Daten werden erfasst, sobald ein Nutzer eine Website besucht, mit einem Post auf Social Media interagiert oder online einen Kauf tätigt. Die getrackten Nutzerinformationen unterscheiden sich jedoch: Einige können genutzt werden, um eine Einzelperson zu identifizieren (bekannt als PII), andere dagegen können dies nicht.

Gibt es einen Unterschied zwischen PII und personenbezogenen Daten?

Personally Identifiable Information (PII) ist ein Terminus, der ursprünglich in den Bereichen AdTech und MarTech genutzt wurde, mittlerweile aber auch über diese Branchen hinaus geläufig ist. Im Deutschen wird häufig von “personenbezogenen Daten” gesprochen, wenn PII gemeint sind.

Während PII ein hauptsächlich in den USA genutzter Terminus ist, sind die meisten Bürger in deutschsprachigen Ländern vor allem mit dem Begriff der personenbezogene Daten vertraut.
“Personenbezogene Daten” ist zwar das europäische Pendant zu PII, allerdings entspricht der Ausdruck nicht ganz der PII-Definition, die in den USA gängig ist.

Die EU-Datenschutz-Grundverordnung, die im Mai 2018 in Kraft tritt, definiert personenbezogene Daten folgendermaßen:
“alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann”

PII werden von US-Regierungsbehörden wie dem National Institute of Standards and Technology (NIST) folgendermaßen definiert:

PII sind Informationen über eine natürliche Person, verwaltet über eine Instanz, einschließlich (1) jeglicher Informationen, die genutzt werden können, um die Identität einer Einzelperson zu erkennen oder zu verfolgen wie Name, Sozialversicherungsnummer, Geburtsdatum und Geburtsort, Geburtsname der Mutter oder biometrische Daten; und (2) aller anderen Informationen, die mit einer Person verknüpft sind oder verknüpft werden können, wie Informationen medizinischer Natur, über den Bildungsgrad, der finanziellen Situation und des Beschäftigungsverhältnisses.

Jedes Land hat seine eigene Terminologie und Definition dessen, was personenbezogene Daten darstellen. Im weiteren Verlauf werden PII und personenbezogene Daten aufgrund der großen Schnittmenge synonym verwendet.

DSGVO-konforme Webanalyse

Identifizieren Sie die Customer Journey über alle Kanäle hinweg

Kostenlose Demo vereinbaren

Welche Informationen fallen unter personenbezogene Daten?

Personenbezogene Daten können in zwei Kategorien unterteilt werden: Bestimmte personenbezogene Daten und bestimmbare personenbezogene Daten.

Bestimmt sind jene Teile persönlicher Informationen, mit denen man eine Einzelperson eindeutig identifizieren kann. Dies trifft, unter Anderem, auf folgende Informationen zu:

  • Vollständiger Name
  • Hausanschrift
  • E-Mail-Adresse
  • Sozialversicherungsnummer
  • Passnummer
  • Führerscheinnummer
  • Kreditkartennummern
  • Geburtsdatum
  • Telefonnummer
  • Login-Daten

Bestimmbar sind hingegen Informationen, mit denen in Kombination mit anderen Daten ein Bezug zu der Person hergestellt werden kann.

Hier sind einige Beispiele für bestimmbare Informationen:

  • Vor- oder Nachname (falls üblich)
  • Land, Staat, Stadt, PLZ
  • Geschlecht
  • Ethnische Herkunft
  • Unspezifisches Alter (z.B. 30-40 statt 30)
  • Berufliche Position und Arbeitsplatz

Was sind Non-PII?


Non-Personally Identifiable Informations (Non-PII)
sind Daten, mit denen man eine Person nicht identifizieren oder verfolgen kann – also das genaue Gegenteil der PII.
Beispiele für non-PII sind unter Anderem:

  • Geräte-IDs
  • IP-Adressen
  • Cookies

Web Analytics & DSGVO - Das sollten Sie wissen!

In unserem Whitepaper zeigen wir Ihnen, wie Sie in 12 einfachen Schritten Ihre Analytics-Software DSGVO-konform einsetzen

Zum kostenlosen Whitepaper DSGVO & Web Analytics

Die Zukunft von PII

Die Linie, die PII und Non-PII unterscheidet, wird mit jedem Jahr dünner. Die Online-Werbe- und Marketingbranche hat bereits erlebt, dass Regierungsorganisationen ihre Haltung darüber ändern, was PII darstellen und was nicht. Die FTC (Federal Trade Commission) und die Artikel-29-Datenschutzgruppe sind Musterbeispiele dafür.

Die Federal Trade Commission (FTC)

Jessica Rich, die Direktorin der Verbraucherschutzbehörde (Bureau of Consumer Protection) der Federal Trade Commission (FTC), hat in einem Follow-up-Post zu ihrer Rede auf dem NAI-Gipfel 2016 in San Francisco das Thema der Persistent Identifier aufgegriffen:

“…We [the FTC] regard data as ‘personally identifiable,’ and thus warranting privacy protections, when it can be reasonably linked to a particular person, computer, or device. In many cases, persistent identifiers such as device identifiers, MAC addresses, static IP addresses, or cookies meet this test.”

Der Post führte weiter aus, dass die Kommission die Definition von personenbezogenen Daten geändert habe, um Persistent Identifier einzubeziehen; einschließlich unter Anderem:

  • Die Kundennummer, gespeichert in einem Cookie
  • Eine Internet Protocol (IP)-Adresse
  • Die Seriennummer eines Prozessors oder eines Geräts
  • Ein Unique Device Identifier

Die Artikel-29-Datenschutzgruppe (G29)

Diese jüngste Offenbarung der FTC folgt einer ähnlichen Entwicklung in der Europäischen Union (EU). Sie begann vor einigen Jahren, als die Artikel-29-Datenschutzgruppe (G29) empfohlen hatte, dass IP-Adressen als “personenbezogene Daten” betrachtet werden sollten.

Die Auswirkungen dieser beiden Entwicklungen sind insbesondere für AdTech- und MarTech-Unternehmen von wesentlicher Bedeutung.

Es gibt nun eine Differenz zwischen dem Verhaltenskodex der NAI und der Definition von “personenbezogenen Informationen” der Regierungsorganisationen wie der FTC und der EU. Für Unternehmen macht das die Einhaltung von Datenschutzstandards und Best Practices schwer.

Wenn Organisationen wie die FTC oder die EU darüber hinaus weiterhin die Definition von PII und personenbezogener Daten breiter fassen, könnte die AdTech-Branche hart getroffen werden. Neue Entwicklungen, wie z.B. das Device Fingerprinting, das sich auf die Erfassung von Persistent Identifier verlässt, könnten so nicht entwickelt und umgesetzt werden.

Dieser Artikel erschien zuerst in unserem englischen Blog von Michael Sweeney.

Analytics & DSGVO = Piwik PRO

Wir sorgen dafür, dass Sie sich wegen der DSGVO nicht mehr den Kopf zerbrechen müssen. Wir bieten Ihnen professionelle Analytics - DSGVO ready.

Kostenlosen Demo-Termin vereinbaren

Autor:

Saskia Wollenberg, Content Marketing Manager DACH

Sie jongliert tagtäglich mit Texten, Bildern und anderen Medienformaten. Sie ist verantwortlich für das gesamte Content-Management von Piwik PRO in Deutschland.

Mehr Artikel von diesem Autor

Autor:

Michael Sweeney, Head of Marketing - Clearcode

Michael ist Head of Marketing bei Clearcode. Er ist passionierter Copywriter und Corporate Blogger.

Mehr Artikel von diesem Autor
New Call-to-action

Share