IT-Systeme, die die operativen Geschäftsprozesse von Unternehmen unterstützen gehören heute zum Alltag und enthalten normalerweise sehr große Mengen an personenbezogenen Daten. Diese Daten werden immer häufiger gesammelt, analysiert und weiterverarbeitet.
Sehr oft werden diese kostenbaren Daten mit anderen Unternehmen oder Forschungsorganisationen geteilt. So verfügt beispielsweise ein Krankenhaus über eine sehr große Menge an sehr persönlichen Patientendaten, welche für Forschungszwecke von enormer Bedeutung sind.
In den allermeisten Fällen bedeutet die Analyse von Daten und ihre gemeinsame Nutzung mit externen Organisationen, daß ein Teil dieser Daten aus dem ursprünglichen Quellpool extrahiert, transformiert und in ein anderes System, ein Data Warehouse oder auch eine Cloud übertragen wird. Dies wird als Datenmigration bezeichnet. Datenmigration ist übrigens auch, wenn ein Unternehmen ein neues IT-System einführen und die Daten zu Testzwecken aus dem alten System in das neue System migrieren möchten.
Sorge um den Schutz personenbezogener Daten
Die Firmen haben die Verantwortung dafür zu tragen, daß die Daten nur in rechtmäßiger Weise verarbeitet und ausreichend geschützt werden. Dies bedeutet in Bezug auf die oben beschriebene Situation, daß Daten „entpersonalisiert“ werden müssen, bevor sie die virtuellen Grenzen der Organisation verlassen dürfen. Insbesondere muß dringend verhindert werden, daß die freigegebenen Daten später zu den betroffenen Personen zurückverfolgt werden können.
Es gibt verschiedenste Ansätze, wie man die sensiblen Daten modifizieren kann, um sie DSGVO-Konform für die Analyse- und Testzwecke in breiter Maße „öffentlich“ zugänglich machen zu dürfen.
Anonymisierung
Der erste Ansatz ist als Anonymisierung bekannt. Die Anonymisierung von Personendaten bedeutet, diese so einzudampfen, daß sie nicht mehr zu einer Person zugeordnet werden können. Die anonymisierten Daten unterliegen dann nicht mehr dem DSGVO, da sie nicht mehr „personenbezogen“ sind.
Es ist jedoch unbedingt zu beachten, daß die Daten ausreichend anonymisiert werden sollen. Testen Sie lieber 3 mal mehr anhand eines Datensatzes, ob Sie nicht doch irgendwie auf die Ausgangsperson stoßen.
Pseudonymisierung
Der zweite Ansatz heißt Pseudonymisierung. Bei der Pseudonymisierung wird zum Beispiel der Name durch ein Pseudonym, ein generierter Code, oder Nick Name ersetzt. Dadurch wird verhindert, daß Personen, die diesen Schlüssel nicht kennen, die Identität der betreffenden Personen feststellen können. Hier gilt, der Schlüssel muß unbedingt sicher gehalten werden.
Differential Privacy
Der dritte der am häufigsten bekannten Ansätze zur Datenmodifikation wird „Differential Privacy“ genannt und ist aus unserer Sicht unbedingt zu vermeiden. Auch hier das Ziel, sensible persönliche Daten veröffentlichen zu dürfen, ohne die Privatsphäre des Einzelnen zu verletzen. Der Unterschied zur Anonymisierung oder Pseudonymisierung besteht jedoch darin, daß Datensätze nur selektiv verfälscht werden. Schaut man hier genau hin, wird man in der Regel ganz schnell erkennen, daß es nicht wirklich großem Aufwandes bedarf, um die manipulierten Daten herauszusuchen.
Unsere Empfehlung
Es gibt keine absolute Sicherheit. Es wäre eine Illusion zu glauben, daß die modifizierten Daten unter keinen Umständen auf die tatsächliche Person zurückgeführt werden können. Es handelt sich immer um einen Wettbewerb zwischen den Angreifern und den Datenschützern. Vermeiden Sie soweit immer möglich Datenmigrationen. Fehler oder Unachtsamkeiten können hier sehr leicht und schnell existenzbedrohend sein.