Was ist PII, non-PII und personenbezogene Daten? [AKTUALISIERT]

Personenbezogene Daten (PII) und personenbezogene Daten sind zwei Klassifikationen von Daten, die für Organisationen, die solche Daten sammeln, speichern und analysieren, häufig Verwirrung stiften.

PII wird in den USA verwendet, aber kein einziges gesetzliches Dokument definiert es. Das Rechtssystem in den Vereinigten Staaten ist eine Mischung aus zahlreichen Bundes – und Landesgesetzen und branchenspezifischen Vorschriften. Sie alle definieren und klassifizieren verschiedene Informationen unter dem Dach der PII.,

Andererseits haben personenbezogene Daten eine rechtliche Bedeutung, die durch die Datenschutz-Grundverordnung (DSGVO) definiert ist, die in der gesamten Europäischen Union (EU) als Recht anerkannt ist.

Beide Begriffe decken Gemeinsamkeiten ab und klassifizieren Informationen, die die Identität einer Person direkt oder indirekt offenbaren könnten.

Aber warum ist das alles so wichtig? Als Website-Administrator, App-Ersteller oder Product Owner müssen Sie sich bewusst sein, dass die Spuren, die Besucher und Benutzer hinterlassen, sensibler Natur sein können., Diese Spuren können es Ihnen ermöglichen, Personen zu identifizieren, daher müssen Sie mit solchen Daten mit äußerster Vorsicht umgehen. Aus rechtlicher Sicht könnte es sich um Verstöße und Verstöße mit schwerwiegenden Folgen handeln. Das Gesamtbild zu erfassen ist entscheidend für die Sicherheit Ihres Unternehmens und die Einhaltung gesetzlicher Vorschriften.

  1. Was sind personenbezogene Daten (PII)?
  2. Welche Informationen werden als PII betrachtet?
  3. Was ist Nicht-PII?
  4. Was sind personenbezogene Daten?
  5. Was sind nicht personenbezogene Daten?,
  6. Wie unterscheidet sich PII von personenbezogenen Daten
    1. Rechtsrahmen
    2. Wo gelten die Regeln für PII und personenbezogene Daten
  7. Bleiben Sie auf dem Laufenden über Datenschutzvorschriften

Was sind personenbezogene Daten (PII)?

PII wird häufig von US-Regierungsbehörden und Nichtregierungsorganisationen referenziert. In den USA fehlt jedoch ein übergeordnetes Gesetz über PII, sodass Ihr Verständnis von PII je nach Situation unterschiedlich sein kann.

Die gängigste Definition liefert das National Institute of Standards and Technology (NIST).,

Es heißt:

PII sind alle Informationen über eine Person, die von einer Agentur verwaltet wird, einschließlich (1) aller Informationen, die zur Unterscheidung oder Verfolgung der Identität einer Person verwendet werden können, wie Name, Sozialversicherungsnummer, Geburtsdatum und-ort, Mädchenname der Mutter oder biometrische Aufzeichnungen; und (2) aller anderen Informationen, die mit einer Person verknüpft oder verknüpft werden können, wie medizinische, pädagogische, finanzielle und Beschäftigungsinformationen.

Die Linie zwischen PII und anderen Arten von Informationen ist jedoch verschwommen., Wie von der US General Services Administration betont, ist die “ Definition von PII in keiner einzigen Kategorie von Informationen oder Technologien verankert. Es erfordert vielmehr eine Einzelfallbewertung des spezifischen Risikos, das eine Person identifizieren kann.“

Welche Informationen werden als PII betrachtet?

Laut NIST kann PII in zwei Kategorien unterteilt werden: verknüpfte und verknüpfbare Informationen.
Verknüpfte Informationen sind direkter., Es könnte jedes persönliche Detail enthalten, das verwendet werden kann, um eine Person zu identifizieren, zum Beispiel:

  • Vollständiger Name
  • Heimatadresse
  • E-Mail-Adresse
  • Sozialversicherungsnummer
  • Passnummer
  • Führerscheinnummer
  • Kreditkartennummern
  • Geburtsdatum
  • Telefonnummer
  • Besitz von Immobilien, z., fahrzeugidentifikationsnummer (VIN)
  • Login-Daten
  • Prozessor-oder Geräteseriennummer*
  • Media access control (MAC)*
  • IP-Adresse (Internet Protocol)*
  • Geräte-IDs*
  • Cookies*

*Zur Kenntnis!

NIST besagt, dass verknüpfte Informationen „Asset-Informationen wie Internet Protocol (IP)-oder Media Access Control (MAC) – Adressen oder andere hostspezifische persistente statische Bezeichner sein können, die konsistent mit einer bestimmten Person oder einer kleinen, genau definierten Gruppe von Personen verknüpft sind“., Das bedeutet, dass Cookies und Geräte-ID unter die Definition von PII fallen.

Verknüpfbare Informationen sind indirekt und für sich genommen möglicherweise nicht in der Lage, eine Person zu identifizieren, aber in Kombination mit einer anderen Information kann eine Person identifiziert, verfolgt oder lokalisiert werden.

Hier sind einige Beispiele für verknüpfbare Informationen:

  • Vor-oder Nachname (falls üblich)
  • Land, Bundesland, Stadt, Postleitzahl
  • Geschlecht
  • Rasse
  • Unspezifisches Alter (z., 30-40 statt 30)
  • Jobposition und Arbeitsplatz

Erfahren Sie, wie Sie PII, Nicht-PII und persönliche Daten schützen können

Alles von der detaillierten Definition jedes Einzelnen bis hin zu praktischen Ansätzen zum Sammeln und Arbeiten mit verschiedenen Datentypen

Was ist Nicht-PII?

Nicht personenbezogene Daten (Nicht-PII) sind Daten, die nicht allein zur Verfolgung oder Identifizierung einer Person verwendet werden können.,Beispiele für Nicht-PII umfassen, sind aber nicht beschränkt auf:

  • Aggregierte Statistiken über die Verwendung von Produkt / Dienstleistung
  • Teilweise oder vollständig maskierte IP-Adressen

Die Klassifizierung von PII und Nicht-PII ist jedoch vage. Darüber hinaus verweist NIST nicht auf Cookie-IDs und Geräte-IDs, sodass viele AdTech-Unternehmen, Werbetreibende und Publisher sie als Nicht-PII betrachten. Wie wir sehen werden, steht dies im Gegensatz zur Definition personenbezogener Daten, die solche digitalen Tacker als Informationen behandelt, die eine Person identifizieren könnten.

Was sind personenbezogene Daten?,p> „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen („betroffene Person“); eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind;

Diese Definition gilt nicht nur für den Vor-und Nachnamen einer Person, sondern auch für Details, die diese Person identifizieren könnten., Dies ist beispielsweise der Fall, wenn Sie mithilfe eines Cookies oder Anmeldeinformationen einen Besucher identifizieren können, der zu Ihrer Website zurückkehrt.

Unter der DSGVO können Sie Cookies als personenbezogene Daten betrachten, da gemäß

Erwägungsgrund 30:

Natürliche Personen mit Online-Kennungen verknüpft werden können, die von ihren Geräten, Anwendungen, Tools und Protokollen bereitgestellt werden, wie Internetprotokolladressen, Cookie-Kennungen oder andere Kennungen wie Funkfrequenzkennungen., Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von den Servern empfangenen Informationen verwendet werden können, um Profile der natürlichen Personen zu erstellen und diese zu identifizieren.

Und die Definition personenbezogener Daten umfasst verschiedene Informationen wie:

  • Transaktionsverlauf
  • IP-Adressen
  • Browserverlauf
  • Beiträge in sozialen Medien

Grundsätzlich handelt es sich um Informationen, die sich direkt oder indirekt auf eine einzelne oder identifizierbare Person beziehen.

Was sind nicht personenbezogene Daten?,

Nach den DSGVO-Bestimmungen sind nicht personenbezogene Daten Daten Daten, mit denen Sie keine Person identifizieren können. Das beste Beispiel sind anonyme Daten. Nach

Erwägungsgrund 26:

sollten die Grundsätze des Datenschutzes daher nicht für anonyme Informationen gelten, nämlich Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder für anonyme personenbezogene Daten, die so anonymisiert sind, dass die betroffene Person nicht oder nicht mehr identifizierbar ist.,

Weitere Beispiele für nicht personenbezogene Daten umfassen, sind aber nicht beschränkt auf:

  • Verallgemeinerte Daten, z.,uch als Volkszählungsdaten oder Steuereinnahmen für öffentlich finanzierte Arbeiten gesammelt
  • Aggregierte Statistiken zur Nutzung eines Produkts oder einer Dienstleistung
  • Teilweise oder vollständig maskierte IP-Adressen

Um mehr über die Datenanonymisierung zu erfahren, lesen Sie unsere anderen Blog-Posts:

  • Der ultimative Leitfaden zur Datenanonymisierung in der Analytik
  • Anonymes Tracking: Wie man nützliche Analysen ohne personenbezogene Daten durchführt

Wie PII unterscheidet sich von persönlichen Daten

Wie bereits erwähnt, scheinen die Unterschiede zwischen diesen beiden Datentypen in bestimmten Zusammenhängen ziemlich vage zu sein., Wenn wir hier eine klare Linie ziehen müssen, dann würden wir den rechtlichen Rahmen anwenden und für wen diese Daten gelten.

Rechtsrahmen

Alle Regeln und Verantwortlichkeiten in Bezug auf personenbezogene Daten werden von der DSGVO festgelegt, die darauf abzielt, die Datenerhebung von EU-Bürgern zu stärken und zu vereinheitlichen. Dies bedeutet auch, dass es einen einheitlicheren Ansatz für die Durchsetzung gibt, der seit Mai 2018, als die DSGVO in Kraft trat, stetig zugenommen hat.

Source: enforcementtracker.com, zur Verfügung gestellt von CMS Law.,Tax

Es ist viel schwieriger, ein einzelnes Gesetz zu definieren, das PII kontrolliert, da es kein einziges Bundesgesetz gibt, das seine Verwendung regelt. Unter den verschiedenen Gesetzen, die die Sammlung und Verwendung von PII regeln, sind die prominentesten jedoch:

  • Die USA.,l Handelskommission (FTC) und ihre Abteilung für Verbraucherschutz
  • Lokale Abteilungen für Verbraucherangelegenheiten
  • Die Federal Communications Commission (FCC)
  • Das National Institute of Standards and Technology (NIST)
  • Die Network Advertising Initiative (NAI), eine Selbstregulierungsorganisation

Wo Regeln für PII und personenbezogene Daten gelten

Da personenbezogene Daten streng mit der DSGVO verbunden sind, betrifft dies alle Einwohner und Bürger der Mitgliedstaaten.des Europäischen Wirtschaftsraums-die 28 Mitgliedstaaten der EU sowie Island, Liechtenstein und Norwegen., Wir werden diese Gruppe als EU-Einwohner bezeichnen, kurz gesagt.

Dennoch ist der Geltungsbereich der DSGVO nicht wirklich auf die EU beschränkt. Dies betrifft nicht nur EU-ansässige Unternehmen, sondern praktisch jedes Unternehmen, das sich mit Daten von EU-Bürgern befasst.

Im Gegensatz dazu ist es viel schwieriger, die Gerichtsbarkeiten zu bestimmen, in denen PII anwendbar ist.

Selbst in den USA, wo PII sicherlich anwendbar ist, variiert die Anwendung sowohl von Staat zu Staat als auch von Sektor zu Sektor. Mehrere rechtliche Dokumente und Industriestandards haben ihre eigene Meinung darüber, was PII ist.,

Daher ist es ziemlich schwierig zu bestimmen, für wen PII gilt und wie.

Lesen Sie auch
Lesen Sie auch

Erfahren Sie, wie Sie PII -, Nicht-PII-und personenbezogene Daten schützen

Von der detaillierten Definition jedes Einzelnen bis hin zu praktischen Ansätzen zum Sammeln und Arbeiten mit verschiedenen Datentypen

Bleiben Sie über die Datenschutzbestimmungen auf dem Laufenden

von PII und persönlichen Daten entwickeln sich mehr und mehr Arten von Daten zu decken., Die Unterschiede zwischen den beiden werden auch weniger deutlich. Die gesetzlichen Anforderungen werden auf beiden Seiten des Atlantiks immer strenger.

Diese Veränderungen werden neue Herausforderungen mit sich bringen. Für Organisationen aller Art bedeutet dies, sich die von ihnen erfassten Daten genauer anzusehen und mit der sich verändernden Rechtslandschaft Schritt zu halten, um konform zu bleiben.

Wir hoffen, dass unser Blogbeitrag zumindest einige Ihrer Fragen zu PII und persönlichen Daten beantwortet hat. Aber wenn Sie mehr erfahren möchten, können Sie uns jederzeit kontaktieren. Unsere Experten füllen Sie gerne aus!

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.