ProtonBlog(new window)
Per RSS abonnieren

Datenschutz entschlüsselt #7: Was ist PII?

diese Seite teilen

Wenn du dich mit Datenschutzgesetzen auseinandersetzt, wirst du früher oder später auf die Begriffe „personenbezogene Identifikationsinformationen“ und „personenbezogene Daten“ stoßen. Wir erklären, was diese Begriffe bedeuten, wie sie sich unterscheiden und was du tun kannst, um deine PII online zu schützen.

Obwohl es sich um ähnliche Konzepte mit vielen Überschneidungen handelt, umfassen personenbezogene Identifikationsinformationen (PII) eine engere Datenpalette und sind der Hauptfokus der Datenschutzgesetze in den USA, während personenbezogene Daten eine breitere Datenpalette umfassen und der Hauptfokus der DSGVO sind.

Eine einfache Eselsbrücke ist, sich zu merken, dass alle PII als personenbezogene Daten angesehen werden, aber nicht alle personenbezogenen Daten als PII betrachtet werden.

Diese Begriffe zu kennen ist wichtig, da die Daten, die sie beschreiben, besonderen Schutz genießen. Unter der DSGVO kannst du verlangen, dass eine Organisation deine personenbezogenen Daten aus ihren Systemen löscht oder dir eine Kopie zusendet, damit du sie zu einer anderen Organisation mitnehmen kannst. Und nach den Datenschutzgesetzen in den USA ist es Organisationen verboten, bestimmte Arten von PII zu sammeln oder zu teilen.

Du kannst deine Privatsphäre auch einfach verbessern, indem du einschränkst, wie viel PII du teilst und weißt, wie du bereits vorhandene Daten entfernen oder schützen kannst.

Was sind personenbezogene Identifikationsinformationen?

Das ist etwas knifflig, da sich das, was als „personenbezogene Daten“ oder „personenbezogene Identifikationsinformationen“ gilt, je nach dem Land, in dem du lebst, unterscheiden kann. Wir betrachten, wie die USA PII definieren und wie die EU personenbezogene Daten definiert, da diese beiden Definitionen den größten Einfluss auf das Internet haben.

Laut dem National Institute of Standards and Technology (NIST) der USA bezieht sich PII auf jegliche Informationen, die zur Unterscheidung oder Nachverfolgung der Identität einer Person verwendet werden können oder auf andere Informationen, die mit einer Person verknüpft sind oder verknüpft werden können.

Eine nicht abschließende Liste von Informationen, die zur Unterscheidung oder Nachverfolgung deiner Identität verwendet werden können, umfasst:

  • Persönliche Identifikationsinformationen: Name, Sozialversicherungsnummer (in den USA), Passnummer, Führerscheinnummer oder Steueridentifikationsnummer
  • Persönliche Anschrift: Wohnadresse oder E-Mail-Adresse
  • Persönliche Telefonnummer
  • Geschützte Gesundheitsinformationen: Krankenaktennummern, Krankengeschichten, Testergebnisse oder Krankenversicherungsnummern
  • Finanzunterlagen: Kredit- oder Debitkartennummern, Bankkontonummern oder andere Bank- oder Finanzinformationen
  • Fotografien: besonders mit sichtbarem Gesicht oder anderen identifizierenden Merkmalen
  • Biometrische Daten: Fingerabdrücke, Netzhautscans, Stimmunterschriften oder Gesichtsgeometrie
  • Identifikationsnummern für Gegenstände, die du besitzt: Fahrzeug-Identifikationsnummer (VIN), Grundstücks- oder Fahrzeugtitelnummer

Verknüpfbare Informationen sind im Grunde genommen Informationen, die allein deine Identität nicht offenlegen können, aber deine Identität in Verbindung mit anderen Daten verraten können. Zu den verlinkbaren Daten gehören deine:

  • Geburtsdatum
  • Geburtsort
  • Mädchenname der Mutter
  • Geschäftliche Telefonnummer
  • IP-Adressen
  • Geschäftliche Post- oder E-Mail-Adresse
  • Rasse
  • Religion
  • Geografische Indikatoren
  • Beschäftigungsinformationen
  • Medizinische Informationen
  • Bildungsinformationen
  • Finanzinformationen

In den USA wird PII auf Bundesebene durch den Privacy Act von 1974 geregelt. Wie man von einem Gesetz aus den 1970ern erwarten kann, wurde es nicht mit dem Internet im Sinn geschrieben und ist in vielen Situationen mehrdeutig. Neuere Gesetze decken spezifische Teile von PII ab (HIPAA deckt „geschützte Gesundheitsinformationen“ ab, COPPA deckt die PII von Kindern ab, der California Consumer Privacy Act deckt die PII von Kaliforniern usw.), aber derzeit gibt es kein US-Äquivalent zur EU-Datenschutzgrundverordnung (DSGVO).

Dieser stückweise Ansatz ist nur ein weiterer Grund, warum die USA neue Datenschutzgesetze(new window)brau(new window)chen(new window).

Was sind personenbezogene Daten?

Eine allgemein verständliche Definition von personenbezogenen Daten ist jegliche Information, die sich auf eine identifizierte oder identifizierbare lebende Person bezieht.

Wenn du in der Europäischen Union lebst, regelt die DSGVO, wie deine personenbezogenen Daten gesammelt und verwendet werden dürfen. Die DSGVO erklärt, was sie rechtlich unter personenbezogenen Daten versteht, in Artikel 4.(1)(new window). Ihre Definition ist sehr umfassend und bezieht sich auf jegliche Informationen, die sich auf eine bestimmte Person beziehen.

Diese DSGVO weist Regulierungsbehörden an, „jegliche Informationen“ so weit wie möglich auszulegen, was mehr Informationen umfasst, als die meisten Länder anerkennen. Das bedeutet, dass laut DSGVO zu den personenbezogenen Daten auch die oben aufgeführte Liste von PII sowie Folgendes gehören:

  • Gewerkschaftszugehörigkeit
  • Genetische Informationen
  • Politische Meinungen
  • Religiöse und ideologische Überzeugungen

Personenbezogene Daten können auch harmlose Daten umfassen, wenn diese als Quasi-Identifikator dienen. Zum Beispiel ist „Pepperoni-Pizza“ alleine keine personenbezogenen Daten. Wenn sie jedoch als dein Lieblingsessen gespeichert wird, sind es personenbezogene Daten. Sie wird zu personenbezogenen Daten aufgrund der Verbindung zu dir.

Der Kontext, in dem Daten verwendet werden, kann ebenfalls beeinflussen, ob sie als personenbezogene Daten gelten. In diesem Beispiel nehmen wir an, du bist im Hintergrund eines Landschaftsfotos. Wenn dieses Foto in einem privaten Fotobuch gedruckt wird, sind es keine personenbezogenen Daten. Das gleiche Foto in den Händen eines Ermittlers könnte jedoch als personenbezogene Daten angesehen werden.

Erfahre mehr darüber, was die DSGVO als personenbezogene Daten ansieht(new window)

Wie wirkt sich Anonymisierung auf personenbezogene Daten aus?

Anonymisierung ist die Verarbeitung von Daten, sodass sie nicht direkt oder indirekt eine Person identifizieren können. („Indirekt identifizieren“ bedeutet, dass man sie nicht mit anderen Daten kombinieren sollte, um eine Person zu identifizieren.) Damit Daten wirklich anonymisiert sind, muss dieser Prozess auch irreversibel sein. Dieser Prozess ist wichtig, denn personenbezogene Daten, die anonymisiert wurden, gelten nicht mehr als personenbezogene Daten und benötigen keine besonderen Schutzmaßnahmen nach der DSGVO oder den US-Datenschutzgesetzen.

Wo könnte ein Identitätsdieb auf meine personenbezogenen Daten zugreifen?

Leider gibt es viele Orte, an denen deine personenbezogenen Daten online zugänglich sind, oft ohne dein Wissen. Hier sind einige der häufigsten Orte, an denen deine Daten online offengelegt werden können.

Soziale Medien

Das ist der offensichtliche Ausgangspunkt. Selbst wenn du in deinem Facebook- oder Twitter-Profil nicht direkt angibst, wie dein Name, Geburtstag oder Adresse lautet, kann ein Angreifer diese Informationen oft erschließen, indem er deine Beiträge und die deiner Freunde durchgeht. Wenn du zum Beispiel auf einem Foto eines Freundes zu sehen bist, wie du vor Ballons, die „Du bist 30!“ sagen, Kerzen auf einem Kuchen ausbläst, kann jemand dein Alter, deinen Geburtstag, deine engen Freunde und Familie sowie deine Vorliebe für Schokoladen- oder Vanilleglasur herausfinden.

Datenmakler

Es gibt Dutzende von Datenmaklern wie Whitepages, Intelius und Spokeo, die online Daten über dich sammeln und sie mit öffentlichen Einträgen und anderen öffentlich verfügbaren Datensätzen kombinieren. Sie verkaufen diese Daten dann in der Regel an Werbetreibende, aber sie sind oft auch online für jeden mit einem Abonnement verfügbar.

Datenpannen

Auch wenn das Ausmaß variiert, bitten dich alle Unternehmen um einige persönliche Informationen, wenn du dich anmeldest oder ein Online-Profil erstellst. Welche Daten du mit ihnen teilst, könnten offenbart werden, wenn dieses Unternehmen oder dieser Dienst eine Datenpanne erleidet.

Phishing-Angriffe

Angreifer könnten auch versuchen, dich mit Phishing-Angriffen(new window) dazu zu bringen, persönliche Daten preiszugeben. Sie versuchen in der Regel, ein Gefühl der Dringlichkeit zu erzeugen, um dich zu einer unüberlegten Reaktion zu bewegen, aber du kannst dich davor schützen, solange du wachsam bist. Wenn du jemals Zweifel hast, teile deine persönlichen Daten nicht, bevor du überprüft hast, wer am anderen Ende der E-Mail oder Nachricht steht, die du erhalten hast.

Erfahre, wie du Phishing-Angriffe verhindern kannst(new window)

Wie kann ich meine persönlichen Daten aus dem Internet entfernen?

Der einfachste Weg, deine persönlichen Daten zu schützen, ist, sie gar nicht erst zu teilen, aber das ist nicht die einzige Möglichkeit. Wenn du deine Privatsphäre schützen möchtest, kannst du Schritte unternehmen, um zu begrenzen, wie viel deiner persönlichen Daten online sind.

Lösche oder sperre deine Social-Media-Konten

Die sicherste Option ist, deine Daten von Facebook, Instagram, Twitter, Snapchat, TikTok, LinkedIn und jedem anderen von dir genutzten Social-Media-Dienst herunterzuladen und deine Konten zu löschen. Das ist jedoch nicht deine einzige Möglichkeit. Alle großen Social-Media-Plattformen ermöglichen es dir, einzuschränken, wer deine Beiträge und dein Profil sieht. Das ist eine effektive Alternative, wenn du dich nicht komplett von Social Media zurückziehen möchtest.

Lösche dein Profil von den Webseiten der Datenhändler

Datenhändler sind gesetzlich dazu verpflichtet, deine Daten zu löschen, wenn du es anforderst, und das sollte dein nächster Schritt sein. Ein zusätzlicher Vorteil ist, dass dadurch auch die meisten deiner persönlichen Daten aus den Google-Suchergebnissen entfernt werden.

Leider musst du, wenn du das selbst machst, jeden Datenhändler einzeln kontaktieren. Dieser DIY-Leitfaden(new window) führt dich jedoch durch die Abmelde-Schritte für alle gängigen Datenhändler.

Begrenze, wie viele Daten du mit Online-Diensten teilst

Du solltest jeden Online-Dienst, für den du dich anmeldest, so behandeln, als könnte er gehackt werden. Das bedeutet, die Informationen, die du teilst, auf das absolute Minimum zu beschränken, das benötigt wird, um dir den gewünschten Service zu bieten. Einfache Schritte, wie das Löschen einer gespeicherten Kreditkartennummer oder Heimadresse aus deinem Profil, können verhindern, dass deine persönlichen Daten bei einem Datenleck offengelegt werden.

Nutze Dienste, die eine starke Verschlüsselung verwenden und eine gute Erfolgsbilanz haben

Es ist zwar äußerst schwierig, alle Datenpannen definitiv zu verhindern, aber Unternehmen können proaktive Schritte unternehmen, um den Schaden eines Datenlecks zu minimieren. Proton Mail speichert beispielsweise alle E-Mails auf unseren Servern mit Zero-Access-Verschlüsselung(new window). Wir verschlüsseln deine Nachrichten mit deinem öffentlichen Schlüssel, und sie können nur mit deinem privaten Schlüssel entschlüsselt werden, zu dem wir keinen Zugang haben. Das bedeutet, dass deine Nachrichten auch im Falle eines Datenlecks sicher bleiben würden.

Dies ist keine erschöpfende Liste, aber diese vier Schritte werden deutlich reduzieren, wie viel deiner persönlichen Daten leicht online zugänglich sind und letztlich deine Privatsphäre verbessern.

Um deine persönlichen Daten zu schützen und dein E-Mail-Postfach zu sichern, probiere Proton Mail kostenlos(new window) aus. Wir sind der Meinung, dass du entscheiden können solltest, was mit deinen Daten geschieht. Unterstütze uns in unserem Kampf für ein Internet, in dem Privatsphäre der Standard ist.

Schütze deine Privatsphäre mit Proton
Kostenloses Konto erstellen

Verwandte Artikel

Sichere, nahtlose Kommunikation ist das Fundament jedes Unternehmens. Da immer mehr Organisationen ihre Daten mit Proton sichern, haben wir unser Ökosystem mit neuen Produkten und Dienstleistungen erheblich erweitert, vom Passwortmanager bis zum Dark
what is a brute force attack
Im Bereich der Cybersicherheit ist der Begriff Brute-Force-Attacke oft zu hören. Eine Brute-Force-Attacke ist jeder Angriff, der nicht auf Finesse setzt, sondern rohe Rechenkraft nutzt, um Sicherheitsmaßnahmen oder sogar die zugrundeliegende Verschlü
Abschnitt 702 des Foreign Intelligence Surveillance Act hat sich als berüchtigte rechtliche Rechtfertigung etabliert, die es Bundesbehörden wie der NSA, CIA und FBI erlaubt, Überwachungen ohne richterlichen Beschluss durchzuführen, wodurch die Daten
Als Reaktion auf die zunehmende Anzahl von Datenpannen bietet Proton Mail zahlenden Abonnenten eine Funktion namens Dark Web Monitoring an. Unser System überprüft, ob deine Anmeldeinformationen oder andere Daten auf illegalen Marktplätzen geleakt wur
Deine E-Mail-Adresse ist deine Online-Identität, und du teilst sie jedes Mal, wenn du einen neuen Account für einen Online-Dienst erstellst. Das bietet zwar Bequemlichkeit, aber es legt auch deine Identität offen, falls Hacker die Dienste, die du nut
proton pass f-droid
Unsere Mission bei Proton ist es, ein Internet zu fördern, das deine Privatsphäre standardmäßig schützt, deine Daten sichert und dir Wahlfreiheit bietet. Heute machen wir mit der Einführung unseres Open-Source-Passwortmanagers Proton Pass im App-Ver