Die Anonymisierung funktioniert nicht für Big Data Warum Re-Identifikation und der Schutz für Identifikatoren so wichtig sind

0
13.11.2019ǀ ǀ Big Data

Auge mit Fingerabdruck

Bei Big Data greifen Anonymisierungsansätze nicht

Während Big Data bestehende IT-Systeme weiterhin vor Probleme stellt, stellen sich im Datenschutz ganz andere Herausforderungen: die bestehenden Ansätze für Datenschutz sind schlichtweg veraltet, weil sie noch aus einer Zeit mit begrenzten Datenmengen stammen, wie Gary LaFever, CEO des Datenschutztechnikspezialisten Anonos, in diesem Beitrag zeigt.

Kürzlich haben Untersuchungen von Datenwissenschaftlern am Imperial College in London und an der Université Catholique de Louvain in Belgien, sowie ein Urteil der Richterin Michal Agmon-Gonen vom Bezirksgericht Tel Aviv die Unzulänglichkeiten veralteter Datenschutztechniken wie z.B. „Anonymisierung“ in der Big Data-Welt von heute aufgezeigt. Die Anonymisierung spiegelt einen veralteten Ansatz zum Datenschutz wider, der entwickelt wurde, als die Verarbeitung von Daten auf isolierte Anwendungen beschränkt war, bevor die Verarbeitung von „Big Data“ populär wurde, bei welchem Daten auf breiter Basis geteilt und kombiniert wurden.

Aus diesem Grund hebt die israelische Richterin in der oben genannten Rechtssache die Relevanz der in der Allgemeinen Datenschutzverordnung (DSGVO) der EU verankerten Grundsätze des Datenschutzes hervor:

„Durch die Erhöhung der technologischen Fähigkeiten, die das Speichern großer Datenmengen, so genannter „Big Data“, und den Austausch dieser Informationen ermöglichen, können triviale Informationen wie z.B. der Standort mit anderen Daten in Bezug gesetzt werden. Somit könnten viele Details über eine Person preisgeben werden, die ihre Privatsphäre verletzen könnten.

In Anbetracht des Umfangs der Datenerhebung und der Verwendung von Informationen sind die Fragen der Anonymisierung und Neuidentifizierung in letzter Zeit für nahezu jede private und öffentliche Einrichtung in Israel wichtig und relevant geworden, die über eine beträchtliche Menge an Informationen verfügt.

Informationstechnologien bringen neue Herausforderungen und anhaltende Datenschutzlücken mit sich. Eine der Lösungen, die in den letzten Jahren diskutiert wurden, ist die des Privacy Engineering (sog. „Privacy by Design“), d.h. des Designs von technologischen Systemen im Voraus, um den Schutz der Privatsphäre einzuschließen.

In der Europäischen Union wurde eine verbindliche Regelung für Privacy Engineering festgelegt. Die Verordnung zum Schutz personenbezogener Daten Artikel 25 der Allgemeinen Datenschutzverordnung der DSGVO (in Kraft getreten im Jahr 2018) verpflichtet den für die Verarbeitung Verantwortlichen, sowohl in der Phase der Systemplanung als auch in der Phase der Informationsverarbeitung geeignete und wirksame technologische und organisatorische Maßnahmen zu ergreifen, d.h. ein Prozess im Sinne des Privacy Engineering ist erforderlich.“

Anonymisierung umfasst unkontrollierte Haftung / Pseudonymisierung umfasst kontrollierte Haftung

Damit Daten „anonym“ sind, dürfen sie NICHT mit anderen Daten in Bezug gesetzt werden, um die Identität einer Person preiszugeben. Dieser überaus hohe Standard ist erforderlich, da Daten, die den Anforderungen der „Anonymität“ entsprechen, als außerhalb des Geltungsbereichs des Rechtsschutzes der DSGVO liegend behandelt werden. Aber warum? Darum: Aufgrund des sehr „sicheren“ und geschützten Charakters der Daten, der tatsächlich die Anforderung erfüllt, dass keine Querverweise vorhanden oder nicht wiederzuerkennen sind.

Das israelische Gericht in Disabled Veterans Association vs. Ministry of Defense hat darauf hingewiesen, dass dies in der heutigen Welt der Big Data-Verarbeitung im Allgemeinen NICHT der Fall ist. Heutzutage sind Daten, die von einem Auftragsverarbeiter gespeichert werden, häufig leicht mit Daten zu verknüpfen, die sich der Kontrolle des Auftragsverarbeiters entziehen, wodurch eine erneute Identifizierung ermöglicht wird und der Auftragsverarbeiter der Haftung für die Verletzung des Datenschutzes ausgesetzt wird. Wenn Daten von Dritten, die sich der Kontrolle eines Auftragsverarbeiters entziehen, zum Querverweis und zur erneuten Identifizierung von Personen verwendet werden können, ist der Auftragsverarbeiter einer potenziellen Haftung ausgesetzt, die nicht seiner Kontrolle unterliegt – d. H. einer unkontrollierten Haftung.

Pseudonymisierte Daten (im Sinne von Artikel 4 Absatz 5 der DSGVO) bestehen im Gegensatz zu unumkehrbar anonymisierten Daten, die per Definition nicht mit einer betroffenen Person verknüpft werden können, im Geltungsbereich der DSGVO als personenbezogene Daten. Gemäß den Definitionsanforderungen der DSGVO werden Daten NICHT pseudonymisiert, wenn sie einer bestimmten betroffenen Person zugeordnet werden können, ohne dass gesondert gespeicherte „Zusatzinformationen“ verwendet werden müssen, um eine unbefugte Re-Identifizierung zu verhindern.

Pseudonymisierte Daten verkörpern den neuesten Stand der Technik von Privacy by Design Engineering, um den dynamischen (gegenüber statischen) Schutz sowohl direkter als auch indirekter (nicht nur direkter) Identifikatoren zu erzwingen. Die Mängel statischer Ansätze zum Datenschutz (z. B. fehlgeschlagene Anonymisierungsversuche) werden in zwei bekannten historischen Beispielen für die nicht autorisierte Re-Identifizierung von Personen unter Verwendung von AOL und Netflix-Daten hervorgehoben. Diese Beispiele für eine nicht autorisierte Re-Identifizierung waren möglich, da die Daten statisch geschützt waren, ohne dass separat gespeicherte „zusätzliche Informationen“ verwendet wurden, wie sie derzeit für eine konforme Pseudonymisierung gemäß der DSGVO erforderlich sind.
Die in der Pseudonymisierung enthaltenen Prinzipien von DSGVO Privacy by Design erfordern einen dynamischen Schutz sowohl direkter als auch indirekter Identifikatoren, damit personenbezogene Daten ohne Zugriff auf „zusätzliche Informationen“, die vom Verantwortlichen sicher aufbewahrt werden, nicht in Bezug genommen (oder erneuert identifizierbar) werden können. Da der Zugriff auf diese „zusätzlichen Informationen“ unter der Kontrolle des Auftragsverarbeiters für die Re-Identifizierung erforderlich ist, unterliegt die Haftung der Kontrolle des Auftragsverarbeiters – d.h. kontrollierte Haftung.

Hintergrund und Vorteile der DSGVO-konformen Pseudonymisierung

Gemäß Artikel 25 Absatz 1 der DSGVO ist die Pseudonymisierung eine „angemessene technische und organisatorische Maßnahme“. Laut DSGVO Artikel 25 Absatz 2 müssen die für die Verarbeitung Verantwortlichen „angemessene technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass standardmäßig nur die personenbezogenen Daten erfasst und verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, den Zeitraum ihrer Aufbewahrung und ihre Zugänglichkeit. Diese Maßnahmen stellen insbesondere sicher, dass personenbezogene Daten standardmäßig nicht ohne Eingreifen des Einzelnen einer unbegrenzten Anzahl natürlicher Personen zugänglich gemacht werden.“

Die Wichtigkeit, sowohl direkte als auch indirekte Identifikatoren dynamisch zu schützen, wird in Artikel 29 der Stellungnahme der Datenschutzgruppe 05/2014, hervorgehoben, in der im Vorgriff auf die DSGVO Folgendes festgelegt wird:

„Es ist immer noch möglich, die Datensätze von Personen herauszugreifen, wenn die Person immer noch durch ein eindeutiges Attribut identifiziert wird, welches das Ergebnis der Pseudonymisierungs-funktion ist [z. B. ein statisches Attribut, das sich nicht ändert, im Gegensatz zu einem dynamischen Attribut, das sich ändert]…

Die Verknüpfbarkeit zwischen Datensätzen, die dasselbe pseudonymisierte Attribut verwenden, um auf dieselbe Person zu verweisen, ist weiterhin trivial…

Inferenzangriffe auf die reale Identität einer betroffenen Person sind innerhalb des Datensatzes oder über verschiedene Datenbanken hinweg möglich, die dasselbe pseudonymisierte Attribut für eine Person verwenden, oder wenn Pseudonyme selbsterklärend sind und die ursprüngliche Identität der betroffenen Person nicht richtig maskier…

Die einfache Änderung der ID hindert niemanden daran, eine betroffene Person zu identifizieren, wenn Quasi-Identifikatoren im Datensatz verbleiben oder wenn die Werte anderer Attribute eine Person identifizieren können.“

Die Pseudonymisierung, die sich derzeit auf dem neuesten Stand der Technik befindet, ermöglicht nicht nur eine datenschutzgerechtere Nutzung von Daten in der heutigen „Big Data“-Welt des Datenaustauschs und der Datenkombination, sondern ermöglicht es auch den für die Verantwortlichen für Datenverarbeitung und den Auftragsverarbeitern, unter der DSGVO explizite Vorteile von korrekt pseudonymisierte Daten zu profitieren. Die Vorteile richtig pseudonymisierter Daten werden in mehreren Artikeln der DSGVO hervorgehoben, darunter:

  • Artikel 6 Absatz 4 als Schutzmaßnahme zur Gewährleistung der Kompatibilität der neuen Datenverarbeitung.
  • Artikel 25 als technische und organisatorische Maßnahme zur Durchsetzung von Grundsätzen zur Datenminimierung und zur Einhaltung des Datenschutzes durch Design und Standardverpflichtungen.
  • Artikel 32, 33 und 34 als Sicherheitsmaßnahme, die dazu beitragen, dass Datenschutzverletzungen „unwahrscheinlich sind, dass sie die Rechte und Freiheiten natürlicher Personen gefährden“, wodurch die Haftung und die Meldepflichten für Datenschutzverletzungen verringert werden.
  • Artikel 89 Absatz 1 als Schutz im Zusammenhang mit der Verarbeitung zu Archivierungszwecken im öffentlichen Interesse; wissenschaftliche oder historische Forschungszwecke; oder statistischen Zwecken. Darüber hinaus bieten die Vorteile der Pseudonymisierung nach diesem Artikel 89 Absatz 1 eine größere Flexibilität in folgenden Bereichen:
    • Artikel 5 Absatz 1 Buchstabe b hinsichtlich der Zweckbindung;
    • Artikel 5 Absatz 1 Buchstabe e in Bezug auf die Aufbewahrungsbeschränkung; und
    • Artikel 9 Absatz 2 Buchstabe j in Bezug auf die Überwindung des allgemeinen Verbots der Verarbeitung personenbezogener Daten nach Artikel 9 Absatz 1.

Darüber hinaus wird in der Stellungnahme der Artikel 29-Datenschutzgruppe 06/2014 anerkannt, dass ordnungsgemäß pseudonymisierte Daten „eine Rolle bei der Bewertung der potenziellen Auswirkungen der Verarbeitung auf die betroffene Person spielen … und so das Gleichgewicht zugunsten des für die Verarbeitung Verantwortlichen verbessern Unterstützung der Bearbeitung berechtigter Interessen als Rechtsgrundlage gemäß DSGVO Artikel 6 Abs.1 Buchstabe f. Zu den Vorteilen der Verarbeitung personenbezogener Daten unter Verwendung von berechtigten Interessen als Rechtsgrundlage im Rahmen der DSGVO zählen unter anderem:

  • Wenn ein für die Verarbeitung Verantwortlicher nach DSGVO Artikel 17 Absatz 1 Buchstabe c nachweist, dass er „zwingende berechtigte Gründe für die Verarbeitung“ hat, die durch technische und organisatorische Maßnahmen zur Erfüllung der Prüfung des Interessenausgleichs untermauert werden, hat er eine größere Flexibilität bei der Erfüllung von Anliegen auf ein Recht auf Vergessenwerdens.
  • Nach DSGVO Artikel 18 Absatz 1 Buchstabe d kann ein für die Verarbeitung Verantwortlicher die Anträge auf Einschränkung der Verarbeitung personenbezogener Daten flexibel einhalten, wenn er nachweist, dass er über technische und organisatorische Maßnahmen verfügt, die eine ordnungsgemäße Überschreibung der Rechte des für die Verarbeitung Verantwortlichen diejenigen der betroffenen Person gewährleisten, da die Rechte der betroffenen Person geschützt werden.
  • Nach Artikel 20 Absatz 1 unterliegen Verantwortliche für die Verarbeitung von Daten, die die Verarbeitung von berechtigten Interessen verwenden, nicht dem Recht auf Übertragbarkeit, das nur für die einwilligungsbasierte Verarbeitung gilt.
  • Nach DSGVO Artikel 21 Absatz 1 kann ein für die Verarbeitung von berechtigten Interessen Verantwortlicher nachweisen, dass er über angemessene technische und organisatorische Maßnahmen verfügt, so dass die Rechte des für die Verarbeitung Verantwortlichen die Rechte der betroffenen Person ordnungsgemäß außer Kraft setzen, da die Rechte des Datenschutzbeauftragten betroffene Personen geschützt werden. Die betroffenen Personen haben jedoch nach Artikel 21 Absatz 3 immer das Recht, infolge einer solchen Verarbeitung keine Direktwerbung zu erhalten.

Gary LaFever ist CEO von Anonos, Informatiker und Anwalt. Mit mehr als 30 Jahren Erfahrung im technischen und juristischen Bereich liegt ihm besonders die Erfüllung rechtlicher Anforderungen an Datenschutz mit den richtigen Technologien am Herzen.

Diese Artikel könnten Sie auch interessieren:

Tags: , , , ,

Stefan Müller - Director Big Data Analytics
Nach mehreren Jahren Tätigkeit im Bereich Governance & Controlling und Sourcing Management ist Stefan Müller bei it-novum gelandet, wo er den Bereich Big Data Analytics aufgebaut hat. Stefans Herz schlägt für die Möglichkeiten, die die BI-Suiten von Pentaho und Jedox bieten, er beschäftigt sich aber auch mit anderen Open Source BI-Lösungen. Seine Begeisterung für Business Open Source im Bereich Datenintelligenz gibt Stefan regelmäßig in Fachartikeln, Statements und Vorträgen weiter.
Webprofile von Stefan: Twitter, LinkedIn, XING