Unter Persönlich identifizierbare Informationen kurz PII versteht man alle Daten, die eine bestimmte Person direkt oder indirekt identifizierbar machen. So etwa Name, E-Mail-Adresse oder Sozialversicherungsnummer. Der Begriff stammt ursprünglich aus dem US-amerikanischen Datenschutzrecht und wird häufig mit dem europäischen Konzept der „personenbezogenen Daten“ nach DSGVO verwechselt. In diesem Artikel erklären wir den Unterschied, nennen konkrete Beispiele und zeigen, welche rechtlichen Rahmenbedingungen für Unternehmen relevant sind.
Beispiele für Informationen, die in der Regel als PII gelten, sind:
- Vollständiger Name
- Postanschrift
- Telefonnummer
- E-Mail Adresse
- Sozialversicherungsnummer
- Reisepass-Nummer
- Nummer des Führerscheins
- Geburtsdatum
- Bankkontonummer
Was sind keine PII?
Nicht-PII sind Informationen, die nicht zur Identifizierung einer bestimmten Person verwendet werden können. Es kann sich dabei um Daten wie aggregierte Statistiken, anonymisierte Daten oder andere Informationen handeln, die von identifizierenden Merkmalen befreit wurden.
Was sind dann personenbezogene Daten?
Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu können sowohl PII als auch Nicht-PII gehören, solange die Daten mit einer bestimmten Person in Verbindung gebracht werden können.
Was sind keine personenbezogene Daten?
Nicht-personenbezogene Daten sind Daten, die nicht mit einer bestimmten Person in Verbindung gebracht werden können. Dazu können aggregierte Daten, anonyme Daten oder andere Informationen gehören, denen alle identifizierenden Merkmale entzogen wurden.
Warum ist der Schutz von PII wichtig?
Der Missbrauch von PII kann schwerwiegende Folgen haben: Identitätsdiebstahl, Finanzbetrug oder Rufschädigung. Laut dem IBM Cost of a Data Breach Report verursacht ein Datenleck im Durchschnitt Kosten von über 4 Millionen US-Dollar. Für Betroffene bedeutet der Verlust von PII oft monatelange Aufräumarbeit und von der Sperrung von Konten bis zur Wiederherstellung der Kreditwürdigkeit. Unternehmen riskieren neben finanziellen Schäden auch erhebliche Reputationsverluste und Bußgelder nach DSGVO von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes
PII in der Webanalyse
Im Bereich der Webanalyse ist der Umgang mit PII besonders relevant. Tools wie Google Analytics, Piwik PRO oder Matomo erheben standardmäßig Daten wie IP-Adressen, Geräte-IDs oder Standortdaten. Viele dieser Datenpunkte gelten nach DSGVO als personenbezogene Daten. Unternehmen müssen daher sicherstellen, dass sie eine gültige Rechtsgrundlage für die Verarbeitung haben und sei es durch Einwilligung (Consent), berechtigtes Interesse oder Anonymisierung. IP-Anonymisierung, cookieloses Tracking und serverseitiges Tagging sind gängige Maßnahmen, um PII in der Webanalyse zu minimieren.
Persönlich identifizierbare Informationen (PII) vs personenbezogene Daten
Der wesentliche Unterschied: PII ist ein Konzept aus dem US-Recht und bezieht sich auf Daten, die eine Person direkt identifizieren (z. B. Name, SSN). Personenbezogene Daten nach DSGVO sind deutlich weiter gefasst: Sie umfassen auch Daten, die eine Person nur indirekt identifizierbar machen, etwa durch Kombination mehrerer Datenpunkte. So gilt eine IP-Adresse in der EU als personenbezogen, in den USA aber nicht zwingend als PII. Für Unternehmen, die international tätig sind, bedeutet das: Der strengere Standard, in der Regel die DSGVO, sollte als Maßstab gelten.
Rechtliche Grundlagen
In Deutschland und Österreich ist die Datenschutz-Grundverordnung (DSGVO) die zentrale Rechtsgrundlage. Sie verwendet den Begriff ‚personenbezogene Daten‘ nach Art. 4 Nr. 1 DSGVO, der weiter gefasst ist als das US-amerikanische Konzept der PII. Während PII nur direkt identifizierende Merkmale umfasst, schließt die DSGVO auch indirekt identifizierbare Daten ein, etwa IP-Adressen oder Cookie-IDs.
Diese Vorschriften gelten für Organisationen, die personenbezogene Daten erheben, verwenden oder weitergeben, und verpflichten sie im Allgemeinen dazu, die Zustimmung von Einzelpersonen zur Erhebung und Verwendung ihrer Daten einzuholen, sicherzustellen, dass die Daten für rechtmäßige Zwecke erhoben und verwendet werden, und die Daten vor unbefugtem Zugriff oder Offenlegung zu schützen.
Für Unternehmen ist es wichtig, sich über die Datenschutzbestimmungen auf dem Laufenden zu halten, um sicherzustellen, dass sie die Vorschriften einhalten und die Privatsphäre ihrer Kunden oder Nutzer schützen. Dies kann die regelmäßige Überprüfung und Aktualisierung von Datenschutzrichtlinien und -praktiken sowie die Schulung von Mitarbeitern in Sachen Datenschutz und Sicherheit beinhalten.
Daniel hat einen Bachelor-Abschluss in Informatik und einen Master-Abschluss in Datenanalyse. Er hat mehrere Jahre Erfahrung im Bereich Web Analytics und hat für verschiedene Unternehmen gearbeitet, bevor er zu readdata kam.