Anbieter zum Thema

it-novum GmbH

Mein Videotermin Suite | Voigtmann GmbH

The Quality Group GmbH

Pseudonymisierung als erster Schritt

Pseudonymisierung bedeutet, dass man zwar personenbezogene Daten verarbeitet, diese jedoch nicht mehr ohne Weiteres einer spezifischen Person zuordnen kann. Hierfür ersetzt die Pseudonymisierung Identifikationsmerkmale wie Namen durch andere Kennzeichen wie Schlüssel oder Pseudonyme (meist Token genannt). Die grundlegende Zuordnungsvorschrift bleibt nach der Pseudonymisierung in den pseudonymen Daten erhalten, sie ist aber ausgelagert. Die jeweiligen Schlüssel oder Pseudonyme und die zugehörigen Informationen, wie beispielsweise der Name, werden in einer externen Datei gespeichert. Auf diese Datei kann nur unter bestimmten Sicherheitsbedingungen und nur von einem kleinen autorisierten Personenkreis zugegriffen werden.

Allerdings ist in Zeiten von KI, Big Data und Machine Learning auch die Pseudonymisierung nicht mehr ausreichend. Wie kann das sein, wenn der Datensatz keine persönlichen Informationen mehr enthält und Merkmale wie der Name „Michael Maier“ durch so etwas Anonymes wie ABCDE ersetzt werden und die echten Daten in einer sicheren externen Datei ausgelagert sind?

Das kann verschiedene Gründe haben. Liegen ausreichend viele Datensätze aus unterschiedlichen Quellen vor, dann lassen sich mit Software und Rechenpower relativ leicht Querverbindungen herstellen. So ist es nach wie vor möglich, Datensätze einzelner Personen herauszugreifen, da die Person weiterhin anhand eines einzigartigen Merkmals identifiziert wird, das im Zuge der Pseudonymisierungsfunktion erzeugt wurde. Das statische Token ABCDE taucht ja in allen anonymisierten Datensätzen auf, und selbst wenn es viele Menschen mit dem Namen „Michael Maier” innerhalb der Datenmenge geben sollte, so lässt sich doch relativ leicht auf eine einzige Person zurückschließen.

Solche Inferenzangriffe auf die reale Identität einer betroffenen Person sind innerhalb des Datensatzes oder über verschiedene Datenbanken hinweg möglich, die dasselbe pseudonymisierte Attribut für eine Person verwenden. Sie können auch passieren, wenn Pseudonyme selbsterklärend sind und die ursprüngliche Identität der betroffenen Person nicht richtig maskieren. Darüber hinaus werden oft sehr viele Daten erfasst, die nicht alle pseudonymisiert werden. Verbleiben genügend Quasi-Identifikatoren im Datensatz, kann es gelingen, am Ende auf die reale Person zurückzuschließen.

Dynamische ­Pseudonymisierung

Eine echte DSGVO-konforme Pseudonymisierung muss daher auf zwei Arten umgesetzt werden: Auf der einen Seite müssen statische Token durch dynamische Token ersetzt werden. „Michael Maier“ muss also an unterschiedlichen Stellen auch unterschiedlich kodiert werden, also bei jedem Auftreten des Namens ein anderer dynamischer Token anstelle des statischen Tokens ABCDE erhalten. Darüber hinaus müssen neben direkten Identifikatoren wie Name oder Adresse auch indirekte Identifikatoren explizit angesprochen und maskiert werden. Diese beiden Schritte sind notwendig, um das Risiko einer unbefugten Re­identifizierung durch Verknüpfungs- und Inferenzangriffe (allgemein bekannt als „Mosaik-Effekt“) zu verringern.

Der Vorgang der dynamischen Pseudonymisierung ist allerdings nicht trivial, vor allem nicht, wenn große Datenmengen nahezu in Echtzeit zusammengeführt, analysiert und pseudonymisiert werden sollen.

Durch die Kombination der Geointelligenzlösung ArcGIS Tracker mit der Datenintegrations- und Analyseplattform Pentaho lassen sich auch größte Datenmengen aus beliebigen Quellen aufrufen, aufbereiten und analysieren. Pentaho ist streamingfähig und liest die Daten von den unterschiedlichsten Datenbanken ein. Mithilfe von Anonos BigPrivacy wird im Anschluss eine dynamische Pseudonymisierung durchgeführt. Die Metadaten werden jetzt angepasst und die pseudonymisierten Daten wieder auf ArcGIS zurückgeschrieben, wo sie mit den entsprechenden Karteninformation verknüpft werden. Innerhalb der jeweiligen Anwendung auf ArcGIS sind dann alle personenbezogenen Daten verschwunden und man kann nicht mehr auf eine Person oder ein Objekt, wie ein bestimmtes Fahrzeug, zurückschließen.

Auf der nächsten Seite geht es weiter.

(ID:47020900)