Wenn du dich mit Datenschutzgesetzen auseinandersetzt, wirst du früher oder später auf die Begriffe „personenbezogene Identifikationsinformationen“ und „personenbezogene Daten“ stoßen. Wir erklären, was diese Begriffe bedeuten, wie sie sich unterscheiden und was du tun kannst, um deine PII online zu schützen.
Obwohl es sich um ähnliche Konzepte mit vielen Überschneidungen handelt, umfassen personenbezogene Identifikationsinformationen (PII) eine engere Datenpalette und sind der Hauptfokus der Datenschutzgesetze in den USA, während personenbezogene Daten eine breitere Datenpalette umfassen und der Hauptfokus der DSGVO sind.
Eine einfache Eselsbrücke ist, sich zu merken, dass alle PII als personenbezogene Daten angesehen werden, aber nicht alle personenbezogenen Daten als PII betrachtet werden.
Diese Begriffe zu kennen ist wichtig, da die Daten, die sie beschreiben, besonderen Schutz genießen. Unter der DSGVO kannst du verlangen, dass eine Organisation deine personenbezogenen Daten aus ihren Systemen löscht oder dir eine Kopie zusendet, damit du sie zu einer anderen Organisation mitnehmen kannst. Und nach den Datenschutzgesetzen in den USA ist es Organisationen verboten, bestimmte Arten von PII zu sammeln oder zu teilen.
Du kannst deine Privatsphäre auch einfach verbessern, indem du einschränkst, wie viel PII du teilst und weißt, wie du bereits vorhandene Daten entfernen oder schützen kannst.
- Was sind personenbezogene Identifikationsinformationen?
- Was sind personenbezogene Daten?
- Wie wirkt sich Anonymisierung auf personenbezogene Daten aus?
- Wo könnte ein Identitätsdieb auf meine personenbezogenen Daten zugreifen?
- Wie kann ich meine personenbezogenen Daten aus dem Internet entfernen?
Was sind personenbezogene Identifikationsinformationen?
Das ist etwas knifflig, da sich das, was als „personenbezogene Daten“ oder „personenbezogene Identifikationsinformationen“ gilt, je nach dem Land, in dem du lebst, unterscheiden kann. Wir betrachten, wie die USA PII definieren und wie die EU personenbezogene Daten definiert, da diese beiden Definitionen den größten Einfluss auf das Internet haben.
Laut dem National Institute of Standards and Technology (NIST) der USA bezieht sich PII auf jegliche Informationen, die zur Unterscheidung oder Nachverfolgung der Identität einer Person verwendet werden können oder auf andere Informationen, die mit einer Person verknüpft sind oder verknüpft werden können.
Eine nicht abschließende Liste von Informationen, die zur Unterscheidung oder Nachverfolgung deiner Identität verwendet werden können, umfasst:
- Persönliche Identifikationsinformationen: Name, Sozialversicherungsnummer (in den USA), Passnummer, Führerscheinnummer oder Steueridentifikationsnummer
- Persönliche Anschrift: Wohnadresse oder E-Mail-Adresse
- Persönliche Telefonnummer
- Geschützte Gesundheitsinformationen: Krankenaktennummern, Krankengeschichten, Testergebnisse oder Krankenversicherungsnummern
- Finanzunterlagen: Kredit- oder Debitkartennummern, Bankkontonummern oder andere Bank- oder Finanzinformationen
- Fotografien: besonders mit sichtbarem Gesicht oder anderen identifizierenden Merkmalen
- Biometrische Daten: Fingerabdrücke, Netzhautscans, Stimmunterschriften oder Gesichtsgeometrie
- Identifikationsnummern für Gegenstände, die du besitzt: Fahrzeug-Identifikationsnummer (VIN), Grundstücks- oder Fahrzeugtitelnummer
Verknüpfbare Informationen sind im Grunde genommen Informationen, die allein deine Identität nicht offenlegen können, aber deine Identität in Verbindung mit anderen Daten verraten können. Zu den verlinkbaren Daten gehören deine:
- Geburtsdatum
- Geburtsort
- Mädchenname der Mutter
- Geschäftliche Telefonnummer
- IP-Adressen
- Geschäftliche Post- oder E-Mail-Adresse
- Rasse
- Religion
- Geografische Indikatoren
- Beschäftigungsinformationen
- Medizinische Informationen
- Bildungsinformationen
- Finanzinformationen
In den USA wird PII auf Bundesebene durch den Privacy Act von 1974 geregelt. Wie man von einem Gesetz aus den 1970ern erwarten kann, wurde es nicht mit dem Internet im Sinn geschrieben und ist in vielen Situationen mehrdeutig. Neuere Gesetze decken spezifische Teile von PII ab (HIPAA deckt „geschützte Gesundheitsinformationen“ ab, COPPA deckt die PII von Kindern ab, der California Consumer Privacy Act deckt die PII von Kaliforniern usw.), aber derzeit gibt es kein US-Äquivalent zur EU-Datenschutzgrundverordnung (DSGVO).
Dieser stückweise Ansatz ist nur ein weiterer Grund, warum die USA neue Datenschutzgesetze(new window)brau(new window)chen(new window).
Was sind personenbezogene Daten?
Eine allgemein verständliche Definition von personenbezogenen Daten ist jegliche Information, die sich auf eine identifizierte oder identifizierbare lebende Person bezieht.
Wenn du in der Europäischen Union lebst, regelt die DSGVO, wie deine personenbezogenen Daten gesammelt und verwendet werden dürfen. Die DSGVO erklärt, was sie rechtlich unter personenbezogenen Daten versteht, in Artikel 4.(1)(new window). Ihre Definition ist sehr umfassend und bezieht sich auf jegliche Informationen, die sich auf eine bestimmte Person beziehen.
Diese DSGVO weist Regulierungsbehörden an, „jegliche Informationen“ so weit wie möglich auszulegen, was mehr Informationen umfasst, als die meisten Länder anerkennen. Das bedeutet, dass laut DSGVO zu den personenbezogenen Daten auch die oben aufgeführte Liste von PII sowie Folgendes gehören:
- Gewerkschaftszugehörigkeit
- Genetische Informationen
- Politische Meinungen
- Religiöse und ideologische Überzeugungen
Personenbezogene Daten können auch harmlose Daten umfassen, wenn diese als Quasi-Identifikator dienen. Zum Beispiel ist „Pepperoni-Pizza“ alleine keine personenbezogenen Daten. Wenn sie jedoch als dein Lieblingsessen gespeichert wird, sind es personenbezogene Daten. Sie wird zu personenbezogenen Daten aufgrund der Verbindung zu dir.
Der Kontext, in dem Daten verwendet werden, kann ebenfalls beeinflussen, ob sie als personenbezogene Daten gelten. In diesem Beispiel nehmen wir an, du bist im Hintergrund eines Landschaftsfotos. Wenn dieses Foto in einem privaten Fotobuch gedruckt wird, sind es keine personenbezogenen Daten. Das gleiche Foto in den Händen eines Ermittlers könnte jedoch als personenbezogene Daten angesehen werden.
Erfahre mehr darüber, was die DSGVO als personenbezogene Daten ansieht(new window)
Wie wirkt sich Anonymisierung auf personenbezogene Daten aus?
Anonymisierung ist die Verarbeitung von Daten, sodass sie nicht direkt oder indirekt eine Person identifizieren können. („Indirekt identifizieren“ bedeutet, dass man sie nicht mit anderen Daten kombinieren sollte, um eine Person zu identifizieren.) Damit Daten wirklich anonymisiert sind, muss dieser Prozess auch irreversibel sein. Dieser Prozess ist wichtig, denn personenbezogene Daten, die anonymisiert wurden, gelten nicht mehr als personenbezogene Daten und benötigen keine besonderen Schutzmaßnahmen nach der DSGVO oder den US-Datenschutzgesetzen.
Wo könnte ein Identitätsdieb auf meine personenbezogenen Daten zugreifen?
Leider gibt es viele Orte, an denen deine personenbezogenen Daten online zugänglich sind, oft ohne dein Wissen. Hier sind einige der häufigsten Orte, an denen deine Daten online offengelegt werden können.
Soziale Medien
Das ist der offensichtliche Ausgangspunkt. Selbst wenn du in deinem Facebook- oder Twitter-Profil nicht direkt angibst, wie dein Name, Geburtstag oder Adresse lautet, kann ein Angreifer diese Informationen oft erschließen, indem er deine Beiträge und die deiner Freunde durchgeht. Wenn du zum Beispiel auf einem Foto eines Freundes zu sehen bist, wie du vor Ballons, die „Du bist 30!“ sagen, Kerzen auf einem Kuchen ausbläst, kann jemand dein Alter, deinen Geburtstag, deine engen Freunde und Familie sowie deine Vorliebe für Schokoladen- oder Vanilleglasur herausfinden.
Datenmakler
Es gibt Dutzende von Datenmaklern wie Whitepages, Intelius und Spokeo, die online Daten über dich sammeln und sie mit öffentlichen Einträgen und anderen öffentlich verfügbaren Datensätzen kombinieren. Sie verkaufen diese Daten dann in der Regel an Werbetreibende, aber sie sind oft auch online für jeden mit einem Abonnement verfügbar.
Datenpannen
Auch wenn das Ausmaß variiert, bitten dich alle Unternehmen um einige persönliche Informationen, wenn du dich anmeldest oder ein Online-Profil erstellst. Welche Daten du mit ihnen teilst, könnten offenbart werden, wenn dieses Unternehmen oder dieser Dienst eine Datenpanne erleidet.
Phishing-Angriffe
Angreifer könnten auch versuchen, dich mit Phishing-Angriffen(new window) dazu zu bringen, persönliche Daten preiszugeben. Sie versuchen in der Regel, ein Gefühl der Dringlichkeit zu erzeugen, um dich zu einer unüberlegten Reaktion zu bewegen, aber du kannst dich davor schützen, solange du wachsam bist. Wenn du jemals Zweifel hast, teile deine persönlichen Daten nicht, bevor du überprüft hast, wer am anderen Ende der E-Mail oder Nachricht steht, die du erhalten hast.
Erfahre, wie du Phishing-Angriffe verhindern kannst(new window)
Wie kann ich meine persönlichen Daten aus dem Internet entfernen?
Der einfachste Weg, deine persönlichen Daten zu schützen, ist, sie gar nicht erst zu teilen, aber das ist nicht die einzige Möglichkeit. Wenn du deine Privatsphäre schützen möchtest, kannst du Schritte unternehmen, um zu begrenzen, wie viel deiner persönlichen Daten online sind.
Lösche oder sperre deine Social-Media-Konten
Die sicherste Option ist, deine Daten von Facebook, Instagram, Twitter, Snapchat, TikTok, LinkedIn und jedem anderen von dir genutzten Social-Media-Dienst herunterzuladen und deine Konten zu löschen. Das ist jedoch nicht deine einzige Möglichkeit. Alle großen Social-Media-Plattformen ermöglichen es dir, einzuschränken, wer deine Beiträge und dein Profil sieht. Das ist eine effektive Alternative, wenn du dich nicht komplett von Social Media zurückziehen möchtest.
Lösche dein Profil von den Webseiten der Datenhändler
Datenhändler sind gesetzlich dazu verpflichtet, deine Daten zu löschen, wenn du es anforderst, und das sollte dein nächster Schritt sein. Ein zusätzlicher Vorteil ist, dass dadurch auch die meisten deiner persönlichen Daten aus den Google-Suchergebnissen entfernt werden.
Leider musst du, wenn du das selbst machst, jeden Datenhändler einzeln kontaktieren. Dieser DIY-Leitfaden(new window) führt dich jedoch durch die Abmelde-Schritte für alle gängigen Datenhändler.
Begrenze, wie viele Daten du mit Online-Diensten teilst
Du solltest jeden Online-Dienst, für den du dich anmeldest, so behandeln, als könnte er gehackt werden. Das bedeutet, die Informationen, die du teilst, auf das absolute Minimum zu beschränken, das benötigt wird, um dir den gewünschten Service zu bieten. Einfache Schritte, wie das Löschen einer gespeicherten Kreditkartennummer oder Heimadresse aus deinem Profil, können verhindern, dass deine persönlichen Daten bei einem Datenleck offengelegt werden.
Nutze Dienste, die eine starke Verschlüsselung verwenden und eine gute Erfolgsbilanz haben
Es ist zwar äußerst schwierig, alle Datenpannen definitiv zu verhindern, aber Unternehmen können proaktive Schritte unternehmen, um den Schaden eines Datenlecks zu minimieren. Proton Mail speichert beispielsweise alle E-Mails auf unseren Servern mit Zero-Access-Verschlüsselung(new window). Wir verschlüsseln deine Nachrichten mit deinem öffentlichen Schlüssel, und sie können nur mit deinem privaten Schlüssel entschlüsselt werden, zu dem wir keinen Zugang haben. Das bedeutet, dass deine Nachrichten auch im Falle eines Datenlecks sicher bleiben würden.
Dies ist keine erschöpfende Liste, aber diese vier Schritte werden deutlich reduzieren, wie viel deiner persönlichen Daten leicht online zugänglich sind und letztlich deine Privatsphäre verbessern.
Um deine persönlichen Daten zu schützen und dein E-Mail-Postfach zu sichern, probiere Proton Mail kostenlos(new window) aus. Wir sind der Meinung, dass du entscheiden können solltest, was mit deinen Daten geschieht. Unterstütze uns in unserem Kampf für ein Internet, in dem Privatsphäre der Standard ist.