Was sind “persönlich identifizierbare Informationen”, PII?
Persönlich identifizierbare Informationen (PII) ist eine Bezeichnung für Daten, die direkt oder indirekt eine bestimmte Person identifizieren.
Beispiele für PII sind Namen, Adressen, biometrische Daten und alphanumerische Kontonummern.
- Name – umfasst vollständige Namen, Mädchennamen, Mädchennamen der Mutter, Spitznamen und Aliasnamen.
- Adresse – umfasst Straßenadressen, E-Mail-Adressen, IP-Adressen und MAC-Adressen.
- Biometrische Daten – umfasst Fotos, Röntgenbilder und andere Arten biobasierter Daten wie Fingerabdrücke.
- Alphanumerische Kontonummern – dazu gehören Telefonnummern, Führerscheinnummern, Steuerzahler-IDs, Patienten-IDs, Kfz-Zulassungsnummern und Kreditkartennummern.
In vielen Teilen der Welt müssen personenbezogene Daten in Übereinstimmung mit Compliance-Vorschriften und -Regelungen erfasst, gespeichert und vernichtet werden. Da nicht personenbezogene Daten leicht zu personenbezogenen Daten werden können, wenn zusätzliche Informationen öffentlich zugänglich gemacht werden, sollte diese Art von Daten regelmäßig überprüft werden, um festzustellen, ob sich ihr IT-Risikomanagement-Level geändert hat.
Die Risikostufen (niedrig, mittel, hoch) für personenbezogene Daten sind subjektiv und basieren auf dem potenziellen Schaden, den ein unangemessener Zugriff, eine unangemessene Nutzung oder eine unangemessene Offenlegung der personenbezogenen Daten verursachen würde.
Die Wahrscheinlichkeit eines Risikos wird stark reduziert, wenn ein Unternehmen die Menge der gesammelten, gespeicherten und weitergegebenen personenbezogenen Daten minimiert.
Techopedia erklärt persönlich identifizierbare Informationen
Verstöße gegen personenbezogene Daten können sowohl für Einzelpersonen als auch für Unternehmen gefährlich sein. Für Einzelpersonen, deren PII gefährdet sind, steigt das Risiko eines Identitätsdiebstahls. Unternehmen, die zulassen, dass die PII ihrer Kunden preisgegeben werden, laufen Gefahr, das Vertrauen der Öffentlichkeit zu verlieren und rechtliche Konsequenzen zu tragen.
Da personenbezogene Daten durch Datenschutzbestimmungen geschützt sind, sollten Entscheidungen darüber, welche personenbezogenen Daten gesammelt oder weitergegeben werden sollen, in Absprache mit dem Chief Privacy Officer (CPO), dem Data Protection Officer (DPO) und dem Rechtsteam eines Unternehmens getroffen werden.
In vielen Teilen der Welt sind Unternehmen dafür verantwortlich, dass die PII ihrer Kunden durch angemessene Sicherheitsvorkehrungen geschützt werden. Die Risiken einer Aufdeckung können durch die proaktive Erstellung eines Reaktionsplans für Verletzungen von personenbezogenen Daten eingedämmt und minimiert werden. Der Plan sollte regeln, wie und an wen Verstöße gemeldet werden und wann und wie Personen, deren PII gefährdet sind, benachrichtigt werden.
Gesetzliche Vorschriften in Bezug auf personenbezogene Daten können sehr komplex sein und ändern sich im Laufe der Zeit oft schrittweise. Aus diesem Grund ist es wichtig, dass Unternehmen ihre Pläne zur Reaktion auf Vorfälle regelmäßig überprüfen und aktualisieren. Ein Plan zum Schutz von PII sollte mindestens Folgendes sicherstellen:
- PII werden nur von autorisierten Stellen verwendet oder an diese weitergegeben.
- PII werden zu gegebener Zeit in Übereinstimmung mit den regionalen Anforderungen an die Aufbewahrung von Unterlagen vernichtet.
- Die Kontrollen der Informationssicherheit zum Schutz von PII werden regelmäßig überprüft.
- PII in digitalen Formaten werden verschlüsselt oder auf andere Weise verschleiert, um sie vor Bedrohungen der Cybersicherheit zu schützen.