Die Sprache des Datenschutzes: Die Unterschiede zwischen PII, PHI, NPI und PCI

Die meisten von uns waren in den letzten Jahren irgendwann einmal von einer Date-Kompromittierung betroffen. Wenn ein Unternehmen angegriffen wird und Daten gestohlen werden, ist dieses Unternehmen dafür verantwortlich, die einzelnen Opfer über die Datenverletzung zu informieren. Das Unternehmen kann auch Maßnahmen zur Reaktion auf Vorfälle auf einer Website veröffentlichen, einschließlich Einzelheiten zu den offengelegten Daten. Leider sind diese Benachrichtigungen nicht immer eindeutig, und die Opfer fragen sich, was genau aufgedeckt wurde. Der Begriff „Karteninhaberdaten“ mag einfach erscheinen, aber er ist möglicherweise nicht das, was Sie denken.

Alle Daten werden auf unterschiedliche Art und Weise genutzt und reguliert, wobei die Verantwortung der Unternehmen unterschiedlich ausfällt. Die meisten von uns sind sich einig, dass „sensible“ und „private“ Daten vor der Öffentlichkeit geschützt werden sollten. Das reicht jedoch nicht aus, da wir uns nicht alle darüber einig sind, welche Daten als sensibel und privat eingestuft werden sollten. Es herrscht immer noch Uneinigkeit darüber, ob öffentliche Aufzeichnungen unter bestimmten Umständen geschützt werden sollten. Das regulatorische Umfeld erfordert Spezifität, um die Öffentlichkeit vor Datenoffenlegung und Betrug zu schützen. Diese Spezifität hilft Unternehmen auch, ihre Verpflichtungen zum Schutz von Daten und Opfern von Datenverletzungen zu verstehen.

In diesem Beitrag erläutern wir die am häufigsten in Benachrichtigungen über Datenverstöße verwendeten Begriffe. Da die Datenschutzbestimmungen auf der ganzen Welt anders aussehen, werde ich mich auf die Vereinigten Staaten beschränken und mit persönlich identifizierbaren Informationen (PII) anfangen.

Persönlich identifizierbare Informationen (Personally Identifiable Information – PII)

PII (Personenbezogene Daten) ist in der Veröffentlichung 800-122 des National Institute of Standards and Technology (NIST)definiert.  Kurz gesagt: Bei PII handelt es sich um Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person (Name, Sozialversicherungsnummer) oder anderer Angaben verwendet werden können, die mit einer Person verknüpft sind (Finanzinformationen, Beschäftigungsverlauf).  Weitere Informationen darüber, was als personenbezogene Daten gilt, finden Sie in Abschnitt 2.1 der NIST-Publikation. 

Geschützte Gesundheitsdaten (Protected Health Information – PHI)

Der Health Insurance Portability and Accountability Act of 1996 (HIPAA) ist eines der bekanntesten Datenschutzgesetze in den USA. Der HIPAA definiert nationale Standards für den Datenschutz, die Sicherheit und die Benachrichtigung bei Datenschutzverletzungen im Zusammenhang mit Gesundheitsdaten. HIPAA-Regeln beziehen sich auf personenbezogene Daten und geschützte Gesundheitsdaten (Protected Health Information, PHI).

PHI (Geschützte Gesundheits- und Krankendaten) ist eine Untergruppe von PII (Persönlich identifizierbare Informationen) und beschränkt sich auf Gesundheitsinformationen, die mit juristischen Personen ausgetauscht werden, die unter HIPAA fallen.  Um als PHI klassifiziert zu werden, müssen die Informationen eine der 18 Kennungen enthalten, z. B. einen Namen oder eine Telefonnummer. Wenn alle Identifikatoren aus einem PHI-Datensatz entfernt werden, gilt der Datensatz nicht mehr als geschützte Gesundheitsinformation. Dadurch können PHI anonymisiert und zu Forschungszwecken mit anderen Parteien geteilt werden. Die PHI-Regeln gelten jedoch nur für juristische Personen unter HIPAA. Daher unterliegen Schulen nicht den HIPAA-Regeln, selbst wenn sie PHI-ähnliche Daten verwalten.

Nicht öffentliche personenbezogene Daten (Nonpublic Personal Information – NPI)

Der Financial Services Modernization Act von 1999, auch bekannt als Gramm-Leach-Bliley Act (GLBA) veränderte den Umgang der Finanzinstitute untereinander und mit den Verbrauchern. GLBA war eines der ersten Gesetze in den USA, das die Datenschutzpraktiken aller Finanzinstitute standardisierte. Es verpflichtet diese Institutionen, Datenschutzpraktiken offenzulegen und strenge Regeln einzuhalten, wenn sie Informationen an Dritte weitergeben.

Die Datenschutzbestimmungen des GLBA schützen nichtöffentliche personenbezogene Daten (NPI) und werden von der Federal Trade Commission (FTC) überwacht. NPI sind alle personenbezogenen Finanzdaten, die von einem Finanzinstitut „im Zusammenhang mit der Bereitstellung eines Finanzprodukts oder einer Finanzdienstleistung“ erhoben werden. Name, Adresse, Übersicht der Käufe und Bonitätsauskünfte gelten unter bestimmten Umständen als NPI. Öffentlich zugängliche Daten können nicht als NPI bezeichnet werden, selbst wenn sie normalerweise als NPI eingestuft würden. Als Beispiel wird der Unterschied zwischen einer privaten und einer öffentlich bekannten Telefonnummer genannt. Eine private Telefonnummer kann einen NPI-Datensatz erzeugen, und ein einziger NPI-Datensatz in einer Aufzählung von Nicht-NPI-Informationen weist die gesamte Auflistung als NPI aus. NPI gehört zu den PII.

Daten von Karteninhabern und der Zahlungskartenbranche (Payment Card Industry – PCI) 

Das Payment Card Industry Security Standards Council (PCI SSC) wurde 2006 gegründet, um die Sicherheitsstandards für Zahlungskarten zu verwalten. Der Rat verwaltet und reguliert den Payment Card Industry Data Security Standard (PCI DSS).  Es gibt zwölf Anforderungen, die Unternehmen erfüllen müssen, um als PCI-konform zu gelten, und die meisten davon sind Standard-IT-Sicherheitsmaßnahmen. Passwortsicherheit, geeignete Firewalls, aktualisierter Virenschutz usw. Die Anforderung zum Schutz von Karteninhaberdaten erfordert, dass Kartendaten verschlüsselt werden und dass Händler regelmäßig primäre Kontonummern (PAN) scannen, um sicherzustellen, dass keine Daten unverschlüsselt bleiben.

Das PCI SSC definiert Karteninhaberdaten als die vollständige primäre Kontonummer zusammen mit dem Namen des Karteninhabers, dem Ablaufdatum oder dem Servicecode. Wenn einer dieser drei Punkte in der PAN vorhanden ist, handelt es sich um Karteninhaberdaten. Sensible Authentifizierungsdaten sind sicherheitsbezogene Informationen, die zur Authentifizierung eines Karteninhabers oder einer Transaktion verwendet werden. Hierbei kann es sich um die Informationen eines Magnetstreifens oder eines Chips handeln, die normalerweise nicht von einem Händler gespeichert, sondern bei Offenlegung während der Übertragung erfasst werden. Die Begriffe PCI-Datenverletzung und PCI-Konformitätsverstoß beziehen sich in der Regel auf einen Verstoß gegen die Daten des Karteninhabers.

Weitere Begriffe

In Berichten über Datenschutzverletzungen ist oft von sensiblen oder privaten Daten die Rede, anstatt eine richtige Klassifizierung vorzunehmen. Unternehmen geben die Details einer Datenschutzverletzung oft erst dann bekannt, wenn die einzelnen Meldungen über den Verstoß laufen. Das bedeutet, dass die Öffentlichkeit eine Datenschutzverletzung nur durch die Verwendung allgemeiner Begriffe beschreiben kann, die von vielen verstanden werden. Ausdrücke wie „geschützte Aufzeichnungen“ und „persönliche Informationen“ vermitteln die Bedeutung, dass etwas Privates und potenziell Schädliches preisgegeben wurde. Die Öffentlichkeit kann nicht wissen, was gestohlen wurde, es sei denn, es wird detailliert aufgeführt oder es wurde eine Klassifizierung bereitgestellt.

Abhängig von Ihrem Standort können diese allgemeinen Begriffe eine rechtliche Definition haben, die für Sie oder Ihr Unternehmen gilt. Beispielsweise gibt der California Consumer Privacy Act (CCPA) Verbrauchern das Recht, sensible Informationen einzuschränken, zu denen „Angaben über Hautfarbe oder ethnische Herkunft, religiöse oder philosophische Überzeugungen oder Gewerkschaftsmitgliedschaft“ gehören. Diese Informationen werden als sensible personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) geregelt. Der DSGVO zufolge gehören sensible personenbezogene Daten als Unterkategorie zu den personenbezogenen Daten, die in der Verordnung ebenfalls spezifisch definiert sind.

Es gibt viele weitere Klassifizierungen von Daten und für alle gelten Vorschriften. Wir können unmöglich auf alle eingehen, aber wir werden uns weiterhin mit Themen rund um Datenvorschriften und -risiken befassen. Bitte bedenken Sie, dass Sie bei Fragen zu Ihren eigenen Rechten und Pflichten einen Anwalt oder Compliance-Experten konsultieren sollten, da es sich hierbei nicht um eine Rechtsberatung handelt. Sie könnten auch von einem IT-Security-Audit profitieren, bei dem sichergestellt wird, dass Sie alle technischen Anforderungen erfüllen, die in Ihrem regulatorischen Umfeld erforderlich sind.