Personenbezogene Daten
PII (Personally Identifiable Information) bezeichnet alle Daten, die dazu verwendet werden können, eine bestimmte Person direkt oder indirekt zu identifizieren. Dazu gehören Name, Adresse, Sozialversicherungsnummer, biometrische Daten und jede Kombination von Merkmalen, die zur Identifizierung führen kann.
Das Konzept der PII bildet einen Grundpfeiler des Datenschutzes weltweit. Es umfasst zwei Kategorien: direkte Identifikatoren (vollständiger Name, Reisepassnummer, Sozialversicherungsnummer), die eine Person allein identifizieren können, und indirekte Identifikatoren (Geburtsdatum, Postleitzahl, Beruf), die in Kombination eine Identifizierung ermöglichen. Die europäische DSGVO verwendet den weiter gefassten Begriff der 'personenbezogenen Daten', der PII und darüber hinaus auch Online-Kennungen und Standortdaten umfasst.
In KYC- und Compliance-Prozessen stehen PII im Mittelpunkt jeder Identitätsprüfung. Unternehmen erheben zwangsläufig PII — Kopien von Ausweisdokumenten, Adressnachweise, Bankdaten — um ihren regulatorischen Verpflichtungen nachzukommen. Dies erzeugt eine permanente Spannung zwischen der Pflicht zur Verifizierung und der Pflicht zum Schutz: Jedes gespeicherte PII-Element stellt im Falle einer Datenpanne ein potenzielles Haftungsrisiko dar.
Internationale Regelungen (DSGVO in Europa, CCPA in Kalifornien, LGPD in Brasilien) schreiben strenge Pflichten für die Verarbeitung von PII vor: dokumentierte Rechtsgrundlage, begrenzte Aufbewahrungsfristen, technische und organisatorische Sicherheitsmaßnahmen sowie Auskunfts- und Löschungsrechte für die betroffenen Personen. Moderne Verifizierungslösungen wie CheckFile.ai minimieren die PII-Exposition, indem nur die notwendigen Datenfelder extrahiert und Dokumentenkopien nicht über den Verifizierungsprozess hinaus aufbewahrt werden.
Vorschriften
Praxisbeispiele
- 1Ein Identitätsverifizierungsanbieter klassifiziert die aus einem Reisepass extrahierten Felder — Name, Geburtsdatum, Dokumentennummer — als PII und wendet AES-256-Verschlüsselung für die Speicherung an, mit automatischer Löschung nach 90 Tagen.
- 2Ein kalifornisches Fintech-Unternehmen erhält einen CCPA-Antrag eines Nutzers, der alle über ihn gespeicherten PII erfahren möchte: Es muss ein vollständiges Verzeichnis bereitstellen, einschließlich KYC-Daten, Anmeldehistorie und Verifizierungsmetadaten.
- 3Eine Personalabteilung automatisiert die Anonymisierung der PII nicht berücksichtigter Bewerber sechs Monate nach Abschluss des Bewerbungsverfahrens, gemäß den Empfehlungen der BfDI zur Aufbewahrung von Bewerberdaten.