Personenbezogene Daten (Personally Identifiable Information, PII) sind Informationen, die – allein oder zusammen mit anderen Informationen verwendet – dazu dienen können, eine Einzelperson zu identifizieren. Diese Daten können die Identifizierung einer Person entweder direkt oder indirekt durch Quasi-Identifikatoren ermöglichen und sowohl in digitaler Form als auch auf Papier vorliegen.
Merkmale von personenbezogenen Daten sind, dass sie:
- In Verbindung mit anderen Datenelementen verwendet werden können, um eine Einzelperson zu identifizieren.
- Dazu verwendet werden können, eine Person persönlich oder online zu kontaktieren.
- Eine Einzelperson direkt identifizieren.
Beispiele für PII sind unter anderem:
- Vollständiger Name
- Adresse
- Telefonnummer
- Geburtsdatum und Geburtsort
- Sozialversicherungsnummer
- Bankkonto-Nummer
- Biometrische Aufzeichnungen (z. B. Fingerabdrücke)
- Kredit- oder Debitkarten-Nummern
- Führerschein-Nummer
- E-Mail-Adressen
- Geburtsname der Mutter
- Pass-Informationen
Es ist zudem wichtig zu beachten, was nicht als personenbezogene Daten gilt. Nicht-personenbezogene-Daten (Non-PII) können nicht allein dazu verwendet werden, eine Person zu finden oder zu identifizieren.
Beispiele für Non-PII sind: Geteilte Daten (z. B. Business-Telefonnummern, Arbeitsplatz und Berufsbezeichnungen). Anonymisierte Daten (z. B. Informationen, die im Rahmen einer Umfrage oder für demografische Berichte gesammelt und präsentiert werden).
Was sind direkte und indirekte Identifikatoren?
| Direkte Identifikatoren | Indirekte Identifikatoren |
|---|---|
| Direkte Identifikatoren sind für eine Einzelperson einzigartig und werden als ausreichend eindeutig angesehen, um die Identität einer Person festzustellen. Beispiele für direkte Identifikatoren sind: -Namen -Adresse (z. B. Straßenadresse, Stadt, Region, Gemeinde sowie Postleitzahl oder Zustellcode) -Telefonnummern -E-Mail-Adressen -Sozialversicherungs-Nummer -Vollständige Gesichtsaufnahmen -Biometrische Daten -Bankkonto-Nummern -Führerschein-Nummern -Internet-Protocol-Adressnummern (IP-Adressen) -Kfz-Kennzeichen -Medizinische Unterlagen -Fahrzeug-Identifikationsnummer | Indirekte Identifikatoren, auch Quasi-Identifikatoren genannt, sind nicht für Einzelpersonen einzigartig. Ein einzelner indirekter Identifikator kann nicht dazu verwendet werden, die Identität einer Person zu bestimmen. In Kombination können jedoch mehrere indirekte Identifikatoren dazu verwendet werden, die Identität einer Person festzustellen. Beispiele für indirekte Identifikatoren sind: -Alter -Geschlecht -Geburtsdatum -Beruf -Ungefähre Ortsangabe -Postleitzahl |
Sensible und nicht-sensible personenbezogene Daten
Es gibt Überschneidungen zwischen direkten Identifikatoren und sensiblen personenbezogenen Daten sowie zwischen indirekten Identifikatoren und sensiblen Informationen. Es ist wichtig festzuhalten, dass direkte Identifikatoren grundsätzlich als sensibel eingestuft werden, während die Sensitivität indirekter Identifikatoren kontextabhängig sein kann.
Sensible PII
Sensible personenbezogene Daten sind Informationen, die eine Einzelperson direkt identifizieren und bei einem Leck oder Diebstahl erheblichen Schaden verursachen könnten. Dabei handelt es sich um Informationen, die nicht öffentlich zugänglich sind und gemäß verschiedener Gesetze vor unbefugtem Zugriff geschützt werden sollten.
Zusätzlich zu gesetzlichen Beschränkungen werden sensible personenbezogene Daten häufig durch vertragliche und ethische Anforderungen geschützt. Der Ursprung des Begriffs wird dem California-Privacy-Rights-Act (CPRA) von 2020 zugeschrieben.
Nicht-sensible PII
Nicht-sensible personenbezogene Daten können leicht aus öffentlichen Registern, Websites und anderen offenen Quellen zusammengetragen werden und würden einer Person im Falle eines Lecks oder Diebstahls keinen erheblichen Schaden zufügen.
Während einige Datenschutzgesetze nicht-sensible personenbezogene Daten von den Datenschutzanforderungen ausnehmen, entscheiden sich viele Organisationen dennoch für deren Sicherung, da sie durch die Aggregation mit anderen Daten zu sensiblen personenbezogenen Daten werden können.
| Sensible personenbezogene Daten | Nicht-sensible personenbezogene Daten |
|---|---|
| Beispiele für sensible personenbezogene Daten sind: -Vollständiger Name -Sozialversicherungs-Nummer -Konto-Anmeldedaten -Biometrische Daten -Kreditkarten-Informationen -Führerschein-Nummer -Arbeitgeber-Identifikationsnummern (EINs) -Finanzunterlagen -Behörden-ausgestellte-ID-Nummern -Medizinische Unterlagen -Reisepass-Nummer -Passwort-Anmeldedaten -Schul-Identifikationsnummern und -unterlagen -Steuerinformationen | Beispiele für nicht-sensible personenbezogene Daten sind: -Geburtsdatum -Geschlecht -Postanschrift -E-Mail-Adresse -Telefonnummer -Beschäftigungsinformationen -IP-Adresse -Geburtsname der Mutter -Geburtsort -Rasse oder ethnische Zugehörigkeit -Religion -Social-Media-Beiträge -Postleitzahl |
Personenbezogene Daten und Datenschutzgesetze
Bundesgesetze zum Schutz personenbezogener Daten in den USA
Es gibt kein einzelnes Bundesgesetz, das personenbezogene Daten in den Vereinigten Staaten regelt. Im Folgenden sind einige Gesetze aufgeführt, die das Flickwerk der föderalen PII-Gesetzgebung bilden:
- Children’s-Online-Privacy-Protection-Act (COPPA):
Regelt, wie persönliche Informationen von Kindern unter 13 Jahren gesammelt, gehandhabt und verwendet werden. - Fair-Credit-Reporting-Act:
Legt fest, wie Kreditagenturen Daten speichern, schützen und die Kreditdaten von Verbrauchern teilen. - Family-Educational-Rights-and-Privacy-Act (FERPA):
Schützt Bildungsinformationen und damit verbundene Aufzeichnungen. - Federal-Trade-Commission (FTC) Act:
Schreibt vor, dass Organisationen vollkommene Klarheit darüber schaffen müssen, welche Informationen sie sammeln, insbesondere wenn diese an Dritte weitergegeben werden könnten. - Gramm-Leach-Bliley-Act (GLBA):
Regelt, wie Finanzinstitute Kundendaten speichern und den Zugriff darauf regulieren. - Health-Insurance-Portability-and-Accountability-Act (HIPAA):
Schützt die medizinischen Unterlagen einer Einzelperson durch Standards für Datenschutz, Vertraulichkeit und die Zustimmung zur Weitergabe. - US-Privacy-Act:
Legt Regeln für das Sammeln, Verwalten, Verwenden und Verbreiten personenbezogener Daten durch alle Bundesbehörden fest.
Gesetze der US-Bundesstaaten zum Schutz personenbezogener Daten
Einzelne Bundesstaaten in den USA haben Gesetze, die Anforderungen an den Umgang mit PII stellen. Dazu gehören unter anderem der California-Consumer-Privacy-Act, der Colorado-Privacy-Act sowie spezifische Datenschutzgesetze aus New York, Texas und Virginia.
Internationale Datenschutzgesetze für personenbezogene Daten
Zu den internationalen Gesetzen zum Schutz der Privatsphäre personenbezogener Daten gehören:
- Australiens 1988-Privacy-Act
- Brasiliens Allgemeines Datenschutzgesetz (LGPD)
- Kanadas Personal-Information-Protection-and-Electronic-Documents-Act (PIPEDA)
- Chinas Personal-Information-Protection-Law (PIPL)
- Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union
- Indiens Digital-Personal-Data-Protection-Bill
Schutz personenbezogener Daten
Personenbezogene Daten müssen vor bösartigem und versehentlichem unbefugtem Zugriff gesichert werden. Böswillige Akteure suchen PII für eine Reihe von Zwecken, darunter die Begehung von Identitätsdiebstahl zur Durchführung weiterer Verbrechen wie Erpressung sowie der Verkauf im Dark-Web, wo Käufer die Daten nutzen, um Scams wie Spear-Phishing für Business-Email-Compromise-Angriffe zu ermöglichen.
Im Folgenden finden Sie Details zu den am häufigsten genannten Best-Practices für den Schutz personenbezogener Daten:
Richtlinien zur Minimierung von Sammlung und Aufbewahrung
Je mehr personenbezogene Daten eine Organisation besitzt, desto größer ist das Risiko. Organisationen neigen dazu, Informationen aufzubewahren, die für die Unterstützung ihres Betriebs nicht notwendig sind. Es sollten Richtlinien eingeführt werden, die Kriterien für das Sammeln und Speichern von PII definieren.
Dies sollte Richtlinien darüber enthalten, welche Daten gesammelt und aufbewahrt werden sollten, einschließlich der erforderlichen Schutzmaßnahmen zu deren Sicherung. Darüber hinaus sollten Richtlinien festlegen, wann und wie Daten sicher vernichtet werden müssen, um PII-Fußabdrücke zu minimieren, die Organisationen einem Risiko aussetzen.
Entdeckung und Klassifizierung
Organisationen müssen den Überblick über alle personenbezogenen Daten behalten (d. h. auf allen Geräten, einschließlich Servern, Workstations, Laptops und Wechselmedien) sowie diese nach ihrer Sensitivität klassifizieren. Anschließend müssen Schutzmaßnahmen implementiert werden, die für die Art der Daten angemessen sind, die von internen Quellen (z. B. Mitarbeitern) und Dritten (z. B. Partnern oder Anbietern) gesammelt, gespeichert und übertragen werden.
Notfallplan für PII-Lecks und Datenschutzverletzungen
Organisationen sollten einen Notfallplan (Incident-Response-Plan) bereithalten, der im Falle eines Datenlecks oder einer Datenschutzverletzung sofort ausgeführt werden kann. Dies minimiert die Auswirkungen des Vorfalls und kann eine reibungslosere und schnellere Wiederherstellung ermöglichen. Die Kernbestandteile eines Notfallplans umfassen:
- Teil eins: Planung
Die Wirksamkeit einer Reaktion auf einen Datenschutzvorfall liegt in der Vorbereitung. Dies beginnt mit der Erstellung eines Blueprints für die Reaktion, der Rollen und Verantwortlichkeiten sowie die Priorisierung von Maßnahmen enthält.
Einzelpersonen oder Teams sollten jeder der Rollen und Maßnahmen zugewiesen werden. Diese Teams sollten aus Stakeholdern und Vertretern aus allen Bereichen der Organisation bestehen, die von einer Kompromittierung des Datenschutzes betroffen sein könnten (z. B. Personalabteilung (HR), Rechtsabteilung, Kommunikation und IT). Zudem sollte ein Leiter für die gesamten Bemühungen identifiziert werden.
Der Plan sollte regelmäßig überprüft werden, um sicherzustellen, dass er weiterhin bewährten Praktiken folgt und die Anforderungen der Organisation erfüllt. - Teil zwei: Testen
Notfallpläne sollten gründlich getestet werden. Simulationstests sind ein effektiver Weg, um sicherzustellen, dass die Elemente des Plans wie erwartet funktionieren. Auf diese Weise können etwaige Mängel identifiziert und behoben werden, bevor ein tatsächlicher Vorfall eintritt. - Teil drei: Erkennung und Analyse
Früherkennung ist ebenfalls ein wichtiger Teil der Reaktion auf Datenschutzvorfälle. Es sollten Systeme vorhanden sein, um einen versuchten Angriff oder eine Sicherheitsverletzung schnell zu identifizieren und den Schaden zu begrenzen. Dies kann Attack-Surface-Management, kontinuierliche Netzwerküberwachung, Intrusion-Detection sowie Security-Incident-Event-Management-Tools (SIEM) umfassen, um Netzwerkschwachstellen und Sicherheitsverletzungen proaktiv zu identifizieren. - Teil vier: Eindämmung, Reaktion, Beseitigung und Wiederherstellung
Sobald ein Vorfall erkannt wird, sollte das Team Eindämmungspläne zur sofortigen Ausführung bereit haben. Viele Gesetze sehen starre Fristen für Benachrichtigungen vor. Organisationen müssen verstehen, welche Benachrichtigungspflichten sie haben, und Nachrichten bereithalten, die an alle Personen gesendet werden können, deren personenbezogene Daten kompromittiert wurden.
Sobald die Situation stabilisiert ist, sollten sich die Bemühungen auf die Beseitigung und Wiederherstellung konzentrieren. Für die Wiederherstellung sind Backups kritischer Daten von entscheidender Bedeutung. - Teil fünf: Bewertungen nach dem Vorfall
Nach einem Vorfall muss eine vollständige Bewertung abgeschlossen werden, die berücksichtigt, was funktioniert hat, was besser hätte funktionieren können und was fehlgeschlagen ist. Anschließend sollten die Erkenntnisse in einen aktualisierten Notfallplan eingearbeitet werden.
Physische Sicherheit
Während sich viele Strategien zum Schutz der Privatsphäre auf die digitale Sicherheit konzentrieren, ist es wichtig, die physische Sicherheit nicht zu übersehen. Alle physischen Zugangspunkte zu Räumen, in denen sich personenbezogene Daten befinden, sollten gesichert werden (z. B. Schlösser an Aktenschränken und Fenstern sowie strenge Zugangskontrollen für alle Türen).
Böswillige Akteure nutzen regelmäßig physische Sicherheitslücken als Mittel, um sowohl auf physische personenbezogene Informationen (z. B. Akten) als auch auf digitale Informationen (z. B. Laptops und externe Festplatten) zuzugreifen.
Datenschutz-Frameworks
Datenschutz-Frameworks (Privacy-Frameworks) detaillieren Prozesse und Systeme, die zum Schutz von PII verwendet werden können. Diese können intern erstellt werden, aber viele Organisationen nutzen Datenschutz- und Sicherheitsframeworks, die von Regierungsbehörden entwickelt wurden, wie das NIST-Privacy-Framework des United-States-National-Institute-of-Standards-and-Technology, die Fair-Information-Practice-Principles (FIPPs), die OECD-Privacy-Guidelines der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung sowie die ISO 27701 der Internationalen Organisation für Normung. Auch US-amerikanische und internationale Gesetze und Vorschriften bieten Rahmenwerke für den Daten- und Datenschutz.
Tools und Programme zum Schutz der Privatsphäre
Es gibt viele Optionen für Lösungen zum Schutz der Privatsphäre. Im Folgenden sind die am häufigsten verwendeten Systeme und Programme zum Schutz personenbezogener Daten aufgeführt:
- Zugriffskontrollen, einschließlich:
- Datenschutzrichtlinien und -verfahren, welche die Regeln für die Sammlung, Nutzung, Aufbewahrung, Offenlegung und Vernichtung von PII dokumentieren.
- Schulungen, die Anweisungen zu folgenden Themen enthalten:Wie man PII schützt und handhabt sowie die Identifizierung von Social-Engineering-Angriffen wie Phishing.
- Technische Schutzmaßnahmen:
Verschlüsselung zur Sicherung personenbezogener Daten während der Übertragung (z. B. E-Mail) und im Ruhezustand (z. B. in Datenbanken, Anwendungen oder anderen Speichermedien). - Datenanonymisierung zur Entfernung identifizierender Merkmale von PII durch Techniken wie das Entfernen von Identifikatoren aus den Daten, das Aggregieren von Daten oder das strategische Hinzufügen von „Rauschen“ (Noise) zu den Daten.
- Cybersecurity-Tools:
- Least-Privilege-Prinzip: Minimiert den Zugriff, sodass Benutzer auf die Informationen beschränkt sind, die zur Durchführung genehmigter Aufgaben erforderlich sind, und zwar nur für so lange wie nötig.
- Multi-Faktor-Authentifizierung (MFA).
- Rollenbasierte Zugriffskontrollen (RBAC), die Privilegien basierend auf Positionen und Funktionen gewähren.
- Anti-Virus-Software.
- Data-Loss-Prevention-Tools (DLP).
- Extended-Detection-and-Response-Tools (XDR).
- Firewalls.
- Systeme für das Identitäts- und Zugriffsmanagement (IAM)
- Intrusion-Detection-Systeme (IDS).
- Intrusion-Prevention-Systeme (IPS).
- Netzwerk-Sicherheits-Monitoring-Tools.
- Passwort-Manager.
- Penetrationstests.
- Security-Incident-Event-Management-Tools (SIEM).
- Virtual-Private-Networks (VPNs).
- Web-Vulnerability-Scanning-Tools.
Risikobewertung
In regelmäßigen Abständen sollten Risikobewertungen durchgeführt werden, um sicherzustellen, dass Datenschutzsysteme weiterhin die Compliance-Anforderungen erfüllen und bewährte Praktiken widerspiegeln. Dies ist eine Gelegenheit, Lücken oder leistungsschwache Prozesse oder Programme zu identifizieren, welche personenbezogene Daten dem Risiko einer Kompromittierung aussetzen könnten.
Verständnis der geltenden Compliance-Anforderungen
Zusätzlich zum Schutz von PII zur Erfüllung interner Standards ist es wichtig, alle anwendbaren Gesetze und Vorschriften zu identifizieren. Die Anzahl der Datenschutzgesetze nimmt stetig zu, und ihre Reichweite bedeutet, dass die meisten Organisationen Anforderungen zum Schutz der Privatsphäre für PII unterliegen werden.
Fehler im Umgang mit personenbezogenen Daten vermeiden
Die Offenlegung von PII kann für Einzelpersonen erheblichen Schaden verursachen, der von Diebstahl bis hin zu Reputationsschäden reicht. Das Volumen sensibler Daten, die gesammelt und gespeichert werden, wächst stetig und ein Ende ist nicht in Sicht, da Smartphones, Anwendungen, Websites und soziale Medien ständig neue Gründe und Wege zur Daten-Erhebung finden. Unabhängig davon, wie oder warum Einzelpersonen ihre PII teilen: Es liegt in der Verantwortung der Organisation, welche die Daten sammelt, diese auch zu schützen.
Jede Organisation, die personenbezogene Daten sammelt und speichert, unterliegt einer Vielzahl von Gesetzen in den Vereinigten Staaten und auf der ganzen Welt, welche die Handhabung dieser Daten regeln. Jede dieser Organisationen muss sicherstellen, dass ihre Datenschutz-Praktiken der Aufgabe gewachsen sind, PII vor unbefugtem Zugriff zu schützen.
