Für viele in der Medien- und Werbewelt, insbesondere in den Vereinigten Staaten, sind personenbezogene Daten (PII) seit langem für die Sammlung und Verfolgung von Daten tabu. Es werden erhebliche Anstrengungen unternommen, um eine Grenze zwischen PII und Nicht-PII zu ziehen und sogar PII so zu maskieren oder zu pseudonymisieren, dass sie nicht mehr identifizierbar (und damit für das Marketing nutzbar) sind. In den USA verschiebt sich diese Grenze jedoch, und in Europa wird sie mit der am 25. Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung (GDPR) möglicherweise gar nicht mehr existieren.

Was sind PII?

Das Verteidigungsministerium (DoDD 5400.11, 29. Oktober 2014) definiert PII als:

„Informationen, die zur Unterscheidung oder Rückverfolgung der Identität einer Person verwendet werden, wie Name, Sozialversicherungsnummer, Geburtsdatum und -ort, Mädchenname der Mutter, biometrische Aufzeichnungen, private Telefonnummern, andere demografische, personelle, medizinische und finanzielle Informationen. Zu den PII gehören alle Informationen, die allein oder in Kombination mit anderen persönlichen oder identifizierenden Informationen mit einer bestimmten Person verknüpft sind oder verknüpft werden können. Auf der Grundlage dieser Definition unterscheiden die meisten US-Regierungsbehörden zwischen nicht sensiblen und sensiblen Daten (die, wenn sie offengelegt werden, dem Einzelnen Schaden zufügen könnten). Dies soll helfen, öffentlich zugängliche Informationen von potenziell schädlichen Informationen wie Staatsbürgerschaft, Religionszugehörigkeit oder sexuelle Orientierung zu unterscheiden (DHS Guidebook). Ob personenbezogene Daten sensibel sind oder nicht, hängt oft vom Kontext und der Interpretation ab. Vermarkter und Herausgeber sind sehr darauf bedacht, die Verwendung von PII zu vermeiden und sich stattdessen auf Nicht-PII zu konzentrieren, um Anzeigen für Verbraucher relevanter zu machen.

Nicht-PII

Nach Angaben der Mobile Marketing Association sind Nicht-PII „Informationen, die einer bestimmten Person, einem Konto oder einem Profil entsprechen können, aber nicht ausreichen, um die Person, auf die sich diese Informationen beziehen, zu identifizieren, zu kontaktieren oder zu lokalisieren. Nicht-qualifizierter Lead.“ Beispiele hierfür sind:

• Geräte-IDs
• IP-Adressen
• Cookies
• Browser-Typ
• Plug-in-Details
• Sprachpräferenz
• Zeitzonen

Durch die Analyse dieser Informationen sind Datenunternehmen in der Lage, detaillierte Profile von Verbrauchern zu erstellen, um Interesse und Kaufabsicht vorherzusagen. Auf diese Weise können Vermarkter die richtigen Zielgruppen mit relevanter Werbung zur richtigen Zeit am richtigen Ort ansprechen.

Ausdehnung der PII

In letzter Zeit haben Befürworter des Datenschutzes begonnen, die Grenze zwischen PII und Nicht-PII zu verschieben, um den Schutz von mehr Informationen zu fördern. Die Direktorin der FTC, Jessica Rich, wies beispielsweise darauf hin, dass dauerhafte Identifikatoren wahrscheinlich als PII betrachtet werden sollten. „Wir betrachten Daten als „persönlich identifizierbar“ und damit als schützenswert, wenn sie mit einer bestimmten Person, einem Computer oder einem Gerät in Verbindung gebracht werden können. In vielen Fällen erfüllen dauerhafte Identifikatoren wie Gerätekennungen, MAC-Adressen, statische IP-Adressen oder Cookies diesen Test“. Beispiele der FTC sind:

• Kundennummer in einem Cookie
• IP-Adresse
• Prozessor- oder Geräte-Seriennummer
• Einzige Geräte-ID

Diese zusätzlichen dauerhaften Kennungen erweitern den bisherigen PII-Begriff erheblich und zeigen, dass die FTC weniger bereit ist, moderne Verfolgungsmethoden zu ignorieren.

Unter der GDPR ist alles personenbezogene Daten!

Im Kontext der EU-Datenschutzverordnung GDPR spielt die Unterscheidung zwischen PII und Nicht-PII keine Rolle. In der Tat kann man argumentieren, dass fast alles als personenbezogene Daten im Rahmen der GDPR geschützt werden sollte. Anstelle des „reasonable linking“-Tests der FTC wird in der GDPR zwischen pseudonymen und anonymen Daten unterschieden. Grob gesagt sind pseudonyme Daten als personenbezogene Daten geschützt, während anonyme Daten dies nicht sind. Die Schwelle zur Anonymität ist jedoch schwer zu überwinden, ohne dass der Wert für die Vermarkter darunter leidet. Tatsächlich werden die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter aufgefordert, „die zum Zeitpunkt der Verarbeitung verfügbare Technologie und die technologischen Entwicklungen“ zu berücksichtigen, um festzustellen, ob eine betroffene Person (sprich: eine Person) durch die Kombination pseudonymer oder disparater Daten herausgefiltert werden könnte. Nach dieser Definition sind personenbezogene Daten so breit gefächert, dass die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter davon ausgehen sollten, dass die meisten ihrer Daten personenbezogen sind, und von dort aus rückwärts arbeiten sollten.

Was nun?

Mit dem Inkrafttreten der GDPR im Mai 2018 sollten wir erkennen, dass die in den USA übliche Nomenklatur von PII und Non-PII für einen großen Teil der internationalen Gemeinschaft nicht mehr gilt. Die GDPR zwingt Unternehmen auf der ganzen Welt, die mit europäischen Daten umgehen, ihre Datenrichtlinien zu überdenken und neu zu gestalten. Auch wenn die USA die GDPR vielleicht nie in ihrer jetzigen Form übernehmen werden, können wir es uns nicht leisten, das veränderte Bewusstsein für den Datenschutz und die hohen Anforderungen an den Schutz personenbezogener Daten in Europa zu ignorieren.

Möchten Sie mehr über die GDPR erfahren? Sehen Sie sich den Rest unserer Serie an:

• SpotX’s GDPR Task Force
• Was ist GDPR? Was Sie über Ad Tech und die Allgemeine Datenschutzverordnung wissen müssen
• GDPR: Die 7 wichtigsten Dinge, die Verlage tun sollten, um sich zu schützen
• Wie sollten US-amerikanische Unternehmen über GDPR nachdenken
• Warum sollten sich US-amerikanische Unternehmen um PII, Nicht-PII und personenbezogene Daten kümmern
• Was ist „Privacy by Design and Default“ und wie kann es mir helfen, in einer Post-GDPR-Welt schwierige Entscheidungen zu treffen?
• Wie GDPR den Griff von Google und Facebook auf die weltweiten Werbedollar verschärfen wird – ist das nicht ironisch?
• Vlog: Senior Product Manager, Jessica Berman spricht über GDPR