Anonymisierung und Pseudonymisierung

Datenschutz Verstehen – Anonymisierung & Pseudonymisierung von Daten im Einklang mit dem Datenschutz.

Einleitung

Stellen Sie sich vor, Sie könnten eine unsichtbare Superheldenmaske auf Ihre persönlichen Daten setzen – eine Maske, die Ihre Identität verbirgt und dennoch wichtige Einblicke ermöglicht, die unsere Welt verbessern können. Klingt das nach Science-Fiction?

Hier kommt die Anonymisierung von Daten ins Spiel. Mit der Anonymisierung von Daten können Unternehmen das Beste aus beiden Welten haben – den Datenschutz einhalten und die Möglichkeit, mit Daten auf eine sichere und verantwortungsvolle Weise Innovationen zu erzielen. In diesem Beitrag werden wir tiefer in das Thema der Anonymisierung eintauchen. Wir werden untersuchen, wie es funktioniert, warum es wichtig ist und wie es uns dabei hilft, das Gleichgewicht zwischen Datenschutz und dem Nutzen von Daten in einer immer stärker vernetzten Welt zu finden.

 

Was ist die Anonymisierung?

Die Anonymisierung von Daten ist ein Prozess, bei dem alle persönlich identifizierbaren Informationen aus Datensätzen entfernt werden, um die Privatsphäre der Personen zu schützen, auf die sich die Daten beziehen.

In bestimmten Kontexten, beispielsweise in der medizinischen Forschung oder bei dem Training von künstlichen Intelligenzen durch Unternehmen, ist es oft notwendig, Daten zu sammeln, die potenziell auf einzelne Personen zurückgeführt werden könnten. Um die Vertraulichkeit dieser Informationen zu gewährleisten und die Privatsphäre der betroffenen Personen zu schützen, werden diese Daten anonymisiert. Durch die Anonymisierung entfällt ebenfalls der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO). Wichtig ist dabei zu beachten, dass der Prozess zur Anonymisierung noch in den Anwendungsbereich der DSGVO fällt. 

Dies geschieht typischerweise durch die Entfernung oder Verschlüsselung von spezifischen Datenpunkten wie Namen, Adressen, Telefonnummern und anderen Informationen, die verwendet werden könnten, um eine Person zu identifizieren. Aus Sicht der DSGVO ist die Anonymisierung ein technisches Verfahren, das auf personenbezogene Daten angewendet wird, damit natürliche Personen nicht oder nicht mehr identifiziert werden können.

Anonymisierung
 
Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

Anforderungen an eine Anonymisierung

Die DSGVO legt nicht explizit fest, welche Methoden zur Anonymisierung zu verwenden sind. Sie ergibt sich aber im Umkehrschluss aus der Definition der personenbezogenen Daten in Art. 4 Nr. 1 DSGVO sowie aus ErwG 26. Eine wirksame Anonymisierung von personenbezogenen Daten lässt sich allerdings nach der DSGVO indirekt ableiten, so müssen mehrere Anforderungen erfüllt sein:

  • Irreversibilität: Nach der Anonymisierung darf es nicht möglich sein, die Daten wieder in eine Form zu bringen, die eine Identifizierung der betroffenen Personen ermöglicht. Dies bedeutet, dass der Prozess irreversibel sein muss und keine Verbindung zwischen den anonymisierten Daten und den ursprünglichen personenbezogenen Daten hergestellt werden kann.
  • Einzigartigkeit: Die Daten müssen so verändert werden, dass sie nicht auf eine eindeutige oder identifizierbare Person hinweisen können. Dies bedeutet, dass auch “singuläre” Merkmale, die nur eine sehr kleine Gruppe von Personen oder sogar eine einzelne Person beschreiben, entfernt oder modifiziert werden müssen.

Es ist wichtig zu betonen, dass, wenn personenbezogene Daten effektiv anonymisiert wurden, die DSGVO nicht mehr gilt, da sie keine personenbezogenen Daten mehr sind. Allerdings ist die Messlatte für “effektive” Anonymisierung ziemlich hoch und sollte unter Berücksichtigung sowohl des aktuellen als auch des zukünftigen technologischen Fortschritts betrachtet werden. Denn was heute als sicher gilt, könnte in der Zukunft möglicherweise entschlüsselt werden. Gerade für eine “faktische Anonymisierung” (s.u.) ist dieser Aspekt sehr wichtig.

 

Wie werden Daten anonymisiert?

Die Anonymisierung von Daten kann auf verschiedene Weisen erreicht werden, abhängig von den spezifischen Anforderungen und dem Kontext. Im Folgenden werden einige der gängigsten Methoden zur Anonymisierung beschrieben.

Absolute Anonymisierung

Ist der Personenbezug praktisch für jedermann unmöglich, spricht man von absoluter Anonymisierung. Bei der absoluten Anonymisierung sind weder der Verantwortliche selbst noch Dritte in der Lage, die betroffene Person zu reidentifizieren. Sie ist für jedermann technisch, praktisch und faktisch, d.h. weder mit größtmöglichem Aufwand noch unter Einsatz jeglicher technischer Mittel möglich. Die absolute Anonymisierung ist die stärkste Form der Anonymisierung. Einen solchen Zustand zu erreichen, stellt eine große Herausforderung dar. Immerhin sind alle vorhandenen Mittel zu berücksichtigen. Dies schließt verfügbare Datenquellen im Zuge der fortschreitenden Digitalisierung ebenso mit ein, wie steigende Rechenleistungen. 

Faktische Anonymisierung

Die faktische bzw. relative Anonymisierung zeichnet sich dadurch aus, dass die Re-Identifizierbarkeit der betroffenen Person nicht abschließend ausgeschlossen ist. Allerdings scheidet eine Re-Identifizierung der betroffenen Person aufgrund der sog. „Unverhältnismäßigkeit ihres Aufwandes“ unter Berücksichtigung der in der DSGVO genannten, sowie weiterer Kriterien aus. Wann dieser Zustand der Unverhältnismäßigkeit erreicht wird, sollte in jedem Fall mit dem Datenschutzbeauftragten besprochen werden. In diesem Fall sind die Daten für den Verantwortlichen oder Dritten faktisch anonym.

 

Anonymisierung für Einsatz künstlicher Intelligenz

Für einige Datenanalysten wäre es ohne Frage sehr hilfreich, das Training der KI mittels personenbezogener Daten vornehmen zu können. Das ist oftmals wegen fehlender Rechtsgrundlage i.S.d. Art. 6 DSGVO und Nichterfüllung vorheriger Informationspflichten i.S.d. Art. 12 ff. DSGVO ausgeschlossen. Für das Training bieten sich allerdings beispielsweise folgende Möglichkeiten an:

  • Federated Learning: Federated Learning ist ein Ansatz für maschinelles Lernen, der darauf abzielt, die Vorteile zentralisierter Modelle für maschinelles Lernen zu nutzen und gleichzeitig die Privatsphäre und Sicherheit der Daten zu schützen. Federated Learning löst das Datenschutzproblem, indem es die Modelle für maschinelles Lernen direkt auf den Geräten der Nutzer trainiert. Anstatt die Rohdaten auf einen zentralen Server zu übertragen, werden die Modelle auf den einzelnen Geräten mit den dort verfügbaren Daten trainiert. Danach werden die aktualisierten Modelle oder Modellparameter an den zentralen Server gesendet, wo sie aggregiert und zu einem globalen Modell kombiniert werden. Das bedeutet, dass die Rohdaten niemals das Gerät des Benutzers verlassen, was sowohl die Datensicherheit als auch den Datenschutz verbessert.
  • Differential Privacy: Im Kontext des maschinellen Lernens kann Differential Privacy verwendet werden, um Modelle zu trainieren, die nützliche Erkenntnisse aus Daten ziehen können, ohne spezifische Details über einzelne Datenpunkte preiszugeben. Dabei wird das zufällige “Rauschen” in den Daten während des Trainingsprozesses eingeführt. Der Schlüssel dabei ist, dass das trainierte Modell keine Informationen über einzelne Datenpunkte lernt und daher die Privatsphäre der Personen, auf die sich die Daten beziehen, schützt.
  • Erzeugung von synthetischen Daten: Synthetische Daten sind künstlich erstellte Daten, die die gleichen statistischen Eigenschaften wie echte Daten haben. Sie werden oft in Situationen verwendet, in denen echte Daten schwer zu beschaffen sind oder in denen Datenschutzbedenken den Zugang zu echten Daten einschränken. Synthetische Daten können zur Simulation verschiedener Situationen und Szenarien verwendet werden und sind besonders nützlich zum Training von KI- und maschinell lernenden Modellen. Es gibt zur Erzeugung beispielsweise die statische Methode. Diese Methode erzeugt Daten, die bestimmte statistische Eigenschaften (wie Durchschnitt, Standardabweichung, Korrelationen usw.) replizieren, welche in echten Datensätzen beobachtet wurden. Zum Beispiel könnte ein einfacher Ansatz darin bestehen, zufällige Werte aus einer Verteilung zu ziehen, die der in den echten Daten beobachteten entspricht.
 

Pseudonymisierung vs. Anonymisierung

Während die Anonymisierung dafür sorgt, dass ganz eindeutig der Anwendungsbereich der DSGVO nicht eröffnet wird, ist es bei der Pseudonymisierung nicht eindeutig. Die nachfolgende Tabelle stellt die wichtigsten Merkmale gegenüber und vergleicht die Pseudonymisierung mit der Anonymisierung.

Pseudonymisierung Anonymisierung
Was ist das? Ersetzen identifizierbarer Daten durch künstliche Identifikatoren oder Pseudonyme. Entfernen oder Ändern identifizierbarer Daten, so dass sie nicht mehr einer bestimmten Person zugeordnet werden können.
Ist es reversibel? Ja, mit Zugang zu zusätzlichen Informationen (z.B. einem Schlüssel). Nein, es sollte irreversibel sein.
Schutzstufe Bietet einen gewissen Schutz, ist aber anfällig, wenn der Schlüssel kompromittiert wird. Bietet höheren Schutz, da die Daten nicht mehr mit einer Person in Verbindung gebracht werden können.
Datenschutzgesetze Pseudonymisierte Daten gelten nach der DSGVO immer noch als personenbezogene Daten. Anonymisierte Daten gelten nicht als personenbezogene Daten im Sinne der DSGVO.
Anwendung Hilfreich, wenn Daten später noch einer Person zugeordnet werden müssen, z. B. in medizinischen Forschungsstudien. Nützlich, wenn keine Zuordnung zu Personen mehr erforderlich oder gewünscht ist, z. B. bei öffentlichen Datensätzen für Forschungszwecke oder dem Training einer KI.
Einfluss auf die Datenqualität Ändert die Daten weniger, kann daher die Qualität und Nützlichkeit der Daten besser erhalten. Kann die Datenqualität stärker beeinflussen, da mehr Informationen entfernt oder verändert werden.
 

Fazit zur Anonymisierung 

Die Anonymisierung bietet eine effektive Methode, um Daten zu nutzen, ohne die Identität der betroffenen Personen preiszugeben. Mit einer Fülle von Techniken zur Verfügung, von Datenmaskierung und Generalisierung bis hin zur Randomisierung und Datenlöschung, bietet die Anonymisierung einen vielseitigen Ansatz, der sich an die spezifischen Bedürfnisse jedes Unternehmens anpassen lässt.

Während die Pseudonymisierung eine hilfreiche Methode zur Trennung von Identifikationsdaten darstellt, ist es wichtig zu beachten, dass diese unter der DSGVO noch immer als personenbezogene Daten betrachtet werden. Für eine absolute Anonymisierung, die den höchsten Datenschutzgrad bietet, sollte ein Mix von Methoden angewendet werden, die sicherstellen, dass die Daten irreversibel anonymisiert werden.

Praxistipps für Unternehmen:

  • Verstehen Sie die gesetzlichen Anforderungen: Informieren Sie sich gründlich über die geltenden Datenschutzgesetze und -verordnungen in Ihrer Region und Branche.
  • Identifizieren Sie sensible Daten: Nicht alle Daten müssen anonymisiert werden. Identifizieren Sie diejenigen, die wirklich sensibel sind, und konzentrieren Sie Ihre Bemühungen auf diese.
  • Wenden Sie passende Methoden an: Wählen Sie die geeignete Anonymisierungstechnik, abhängig von den spezifischen Anforderungen und dem Kontext.
  • Bildung und Training: Stellen Sie sicher, dass alle Mitarbeiter, die mit Daten arbeiten, die Bedeutung des Datenschutzes verstehen und geschult sind, um geeignete Maßnahmen zu ergreifen.
  • Nutzen Sie Technologie: Nutzen Sie verfügbare Tools und Plattformen, die den Anonymisierungsprozess unterstützen und erleichtern können.
  • Externe Expertise einholen: Bei komplexen Daten und hohen Anforderungen an den Datenschutz kann es sinnvoll sein, externe Experten hinzuzuziehen.

Letztendlich ist die Anonymisierung von Daten nicht nur eine gesetzliche Anforderung, sondern auch ein wichtiger Aspekt des Vertrauens zwischen Unternehmen und Kunden. Indem Unternehmen eine proaktive Rolle beim Datenschutz übernehmen, können sie nicht nur rechtliche Konsequenzen vermeiden, sondern auch eine stärkere Beziehung zu ihren Kunden aufbauen.

Menü