Datenschutz-Akademie » Datenschutz-Wiki » Datenschutz und Anonymisierungsverfahren
Datenschutz und Anonymisierungsverfahren
Mehr Datenschutz durch Anonymisierung
Die Anonymisierung ist eine der wichtigsten Maßnahmen, um personenbezogene Daten zu schützen. Denn sie nimmt ihnen den direkten oder indirekten Bezug zu Personen. Im Erwägungsgrund 26 der DSGVO heißt es: „Die Grundsätze des Datenschutzes sollten […] nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“ Gleichzeitig sollen die Daten trotz der Anonymisierung für Analysen nützlich bleiben.
Bei der Anonymisierung werden identifizierbare Informationen wie Namen, Telefonnummern und Mailadressen entfernt oder die Datensätze werden so verändert, dass sie weniger präzise sind, zum Beispiel indem man die Daten mit „Rauschen“ versieht. Man unterscheidet zwischen absolut und faktisch anonymen Daten.
Absolut anonyme Daten werden durch Vergröberungen und die Entfernung von Merkmalen so weit verändert, dass die Identifizierung verhindert wird. Als faktisch anonym werden Daten bezeichnet, wenn die Entanonymisierung zwar nicht ganz ausgeschlossen werden kann, die Angaben jedoch „nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft zugeordnet werden können“, wie es §16 Absatz 6 Bundesstatistikgesetz definiert. Nach dieser Regelung muss es allerdings um wissenschaftliche Vorhaben und Einrichtungen gehen.
Viele Verfahren sind nicht nutzerfreundlich
Es gibt mehrere Anonymisierungsverfahren. Gängig sind Verfahren zur Informationsverringerung (zum Beispiel die Aggregation und Klassenbildung) und zur Informationsveränderung (zum Beispiel das Swapping-Verfahren). Problematisch ist allerdings die mangelhafte Benutzbarkeit vieler Internet-Anonymisierungs-Lösungen. Datenschutzfreundliche Techniken werden erst dann den Massenmarkt erobern, wenn sie per Voreinstellung gesetzt sind und zu keinen deutlichen Einschränkungen in der Dienstqualität wie Latenz und Bandbreite führen.
Eine Sonderform der Anonymisierung ist die Datenmaskierung. Sie erhält das Format der Daten, verändert aber deren Werte, um eine Identifizierung von Personen zu verhindern. Die Daten werden verfremdet oder durch fiktive ersetzt. Alternativ können Daten so verkürzt werden, dass sie keine Aussagekraft über bestimmte Personen mehr haben. Es gibt die statische Maskierung, die den Personenbezug von gespeicherten Daten entfernt, und die dynamische Maskierung, die Daten nahezu in Echtzeit so ändert, dass keine personenbezogenen Daten gespeichert werden.
Speziell zur nachträglichen Anonymisierung von Datenbanken gibt es verschiedene Werkzeuge. Besser ist es allerdings, personenbezogene Daten soweit möglich von vornherein zu vermeiden. In der Marktforschung ist das meistens möglich, weil nicht der einzelne Konsument, sondern Verbrauchergruppen untersucht werden. „Gerade die Entwicklung von Anonymisierungs- und Pseudonymisierungsverfahren als Privacy-by-default-Lösungen stellen einen wichtigen Beitrag zur Wahrung des Datenschutzes dar“, sagte dazu die Bundesdatenschutzbeauftragte Andrea Voßhoff.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Anonymisierung kann geknackt werden
Doch auch die Anonymisierung bietet keine hundertprozentige Garantie für den Schutz der Privatsphäre. Forscher vom Imperial College London und der Université catholique de Louvain haben ein Modell für maschinelles Lernen entwickelt, das berechnet, wie einfach es ist, Menschen anhand eines anonymisierten Datensatzes aus Postleitzahl, Geschlecht und Geburtsdatum zu identifizieren. Die Studie zeigt, wie weit die Anonymisierungstechniken hinter unserer Fähigkeit zurückbleiben, sie zu brechen.
Eine Empfehlung an Unternehmen lautet daher, den differenziellen Datenschutz (differential privacy) einzusetzen. Das ist ein komplexes mathematisches Modell, mit dem Organisationen aggregierte Daten über Benutzergewohnheiten austauschen und gleichzeitig die Identität einer Person schützen können. Differential Privacy hat das Ziel, die Antworten zu Anfragen an Datenbanken genauer zu machen, ohne dass die zur Beantwortung verwendeten Datensätze identifizieren werden können. Angreifer können dann nicht feststellen, ob eine bestimmte Person in einer Datenbank enthalten ist. Diese Technik wird 2020 einem ersten großen Test unterzogen, denn sie wird dann zur Sicherung der US-Volkszählungsdatenbank verwendet.
Unternehmen sollten nach Möglichkeit Anonymisierungsverfahren einsetzen. Am besten und nutzerfreundlichsten sind Lösungen per Voreinstellung. Zu beachten ist, dass es auch Wege gibt, die Anonymisierung nachträglich zu brechen. Das sollten Firmen in ihre Konzeption von vornherein einbeziehen, um sich dagegen zu wappnen.
- Datenschutzbeauftragte berichten aus der Praxis - 26. März 2020
- Datenschutz und Datensicherheit im Homeoffice - 26. März 2020
- Nutzung sozialer Netzwerke durch Behörden - 9. März 2020