Pseudonymisierung und Anonymisierung

Wenn Sie mit personenbezogenen Daten arbeiten und diese sogar veröffentlichen oder weitergeben wollen, müssen Sie einige Dinge beachten. Ein übliches Vorgehen dafür ist, dass die Daten vor der Weiterverarbeitung oder Veröffentlichung pseudonymisiert oder anonymisiert werden. 

Auf dieser Seite können Sie erfahren, was die Unterschiede zwischen diesen Verfahren sind und was beim Umgang mit pseudonymen oder anonymen Daten zu beachten ist. Außerdem wird erklärt, was Metadaten sind und wie diese eine Pseudonymisierung oder Anonymisierung gefährden können. Am Ende der Seite finden Sie außerdem einige Anleitungen, wie man Daten auf eine Veröffentlichung oder Weitergabe technisch vorbereiten kann. 

Eine sichere Verarbeitung von Daten ist äußerst wichtig. Ein Negativbeispiel, über das in letzter Zeit viel berichtet wurde (z.B. hier), ist die Veröffentlichung der sogenannten Epstein-Akten durch das US-Justizministerium. Dabei wurden teilweise Dokumente veröffentlicht, die technisch nicht ausreichend geschwärzt waren, womit die Identität von Opfern offen gelegt wurde.

Das es teilweise noch nicht einmal technische Hilfsmittel braucht, um unsachgemäßg geschwärzte Texte wieder lesbar zu machen, können Sie am nächsten Absatz einmal selbst testen. Markieren Sie einfach den schwarzen Balken und der Text ist lesbar. Und vielleicht finden Sie ja noch mehr, nicht ausreichend versteckten Text auf dieser Seite. 

Dieser Text ist immer noch lesbar!

Auch weißer Text auf weißem Hintergrund schützt nicht ausreichend!

  • Pseudonymisierung

    Bei der Pseudonymisierung werden die Merkmale, mit denen eine Person identifizierbar ist, durch ein Kennzeichen ersetzt. Auf einer separaten Liste werden die Kennzeichen den Personen weiterhin zugeordnet.

    • Nur die Liste ermöglicht die Kenntnis darüber, welche Person sich hinter welchem Kennzeichen „verbirgt“.
    • Ohne Liste können keine Rückschlüsse auf die betroffene Person gezogen werden.
    • Wird die Pseudonymisierungsliste vollständig und unwiederbringlich gelöscht, sind die Daten i. d. R. anonymisiert.

    Beispiele: Codenummern oder veränderte Namen (=Pseudonyme) bei Datenerhebungen

    Pseudonymisierte Daten gelten als personenbezogene Daten! Sie fallen unter den Geltungsbereich der Datenschutz-Grundverordnung (DSGVO). Wer pseudonymisierte Daten verarbeitet, muss daher datenschutzrechtliche Bestimmungen beachten!

    Pseudonymisierung wird in Art. 4 Abs. 5 DSGVO definiert als:

     „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“

  • Anonymisierung

    Um Daten zu anonymisieren müssen alle Merkmale gelöscht oder ausreichend unkenntlich gemacht werden, die es ermöglichen, einzelne Personen zu identifizieren (z. B. Namen). Die theoretische Möglichkeit der Identifizierung muss sicher ausgeschlossen werden können.

    Aber: Häufig besitzen Personen zusätzliches Wissen, das die Identifizierung bestimmter Personen trotzdem möglich macht.Beispielsweise, wenn sie die Personen sehr gut persönlich kennen oder es sich um Personen des öffentlichen Lebens handelt.

    Für die Anonymisierung muss daher geprüft werden, ob man sicher ausschließen kann, dass betroffene Personen anhand von Zusatzwissen identifiziert werden können. Auch wenn es unrealistisch erscheint, dass jemand dies versucht.

    Die korrekte und irreversible Anonymisierung ist enorm wichtig, denn:

    • Anonymisierte Daten gelten nicht mehr als personenbezogene Daten! Sie fallen damit nicht unter den Geltungsbereich der DSGVO.
    • Bei der Verarbeitung von anonymen Daten müssen daher keine datenschutzrechtlichen Bestimmungen beachtet werden.
    • Bilder, Videos, Tonaufnahmen der Stimme und handschriftliche Aufzeichnungen von Personen gelten in der Regel nicht als anonym. Zur Anonymisierung solcher personenbezogenen Daten müssen umfangreiche Maßnahmen ergriffen werden. Geringfügige Maßnahmen, wie z. B. ein schwarzer Balken über den Augen eines Personenbildes reichen nicht aus, um die Identifizierung zu verhindern.

Metadaten

Was sind Metadaten?

Einfach gesagt sind Metadaten Daten über andere Daten. Ein anschauliches Beispiel kann ein Buch sein: Der Inhalt sind die eigentlichen Daten; Angaben wie Titel, Autor*in, Auflage, Erscheinungsjahr, Verlag und die ISBN sind die Metadaten des Buchs. Metadaten können unter anderem für die Suche, Organisation oder das Verwalten von Daten verwendet werden. Sie können aber auch unter Umständen Rückschlüsse auf persönliche Daten zulassen. 

Metadaten sind auch in vielen digitalen Dateien wie Bildern (z.B. Aufnahmezeit, GPS-Koordinaten) oder Dokumenten (z.B. Autor*in, Bearbeitungszeitpunkt) enthalten. 

Warum muss auch auf Metadaten bei der Pseudonymisierung und Anonymisierung geachtet werden? 

Metadaten, die in Datensätzen oder Dateien enthalten sind, können insbesondere in der Kombination mit weiteren Daten dazu führen, dass anonymisierte oder pseudonymisierte Daten wieder einzelnen Personen zugeordnet werden können.

Die Entscheidung, welche Metadaten datenschutzrechtlich unbedenklich sind und welche vor einer Weiterverarbeitung oder Veröffentlichung entfernt werden sollten, muss jeweils im Einzelfall entschieden werden. Entscheidend ist dabei die Frage, ob es Szenarien gibt, wo die Metadaten zur Identifizierung von Personen verwendet werden könnten. 

Wenn die Entscheidung für das Entfernen von Metadaten getroffen wurde, muss das Löschen technisch sauber durchgeführt werden und die Daten dürfen nicht wieder herstellbar sein. Sie finden im letzten Abschnitt dieser Webseite einige Anleitungen, wie Metadaten aus bestimmten Dateien entfernt werden können. Für weitere Dateitypen sollten Sie selbst prüfen, wie dort Metadaten sicher entfernt werden können. 

Anleitungen

Diese Anleitungen bieten nur eine Auswahl an möglichen Werkzeugen, die für die sichere Verbereitung von Daten verwendet werden kann. Es ist möglich auch andere Tools oder Techniken zu nutzen.

Bei allen Vorgängen müssen Sie im Anschluss prüfen, ob das Ergebnis ausreichend und nicht wiederherstellbar geschwärzt wurde, bzw. ob die gewünschten Metadaten entfernt wurden.

  • Schwärzen von PDF-Dokumenten

    Die Software Adobe Acrobat Pro, die für Mitarbeitende der Uni kostenlos nutzbar ist, hat eine Funktion zum Schwärzen von PDF-Dokumenten. Diese muss jedoch korrekt ausgeführt werden, um die technisch nicht reversible Schwärzung zu gewährleisten. Beachten Sie dafür die Anleitung zum Schwärzen mit Adobe Acrobat Pro des Herstellers. 

  • Schwärzen von Papierdokumenten

    Wenn Stellen in Papierdokumenten mit einem schwarzen Stift ausgestrichen werden, sind häufig Textstellen dennoch lesbar, etwa indem man das Blatt Papier gegen eine Lampe hält oder den Text einscannt und digitale Filter auf das Dokument anwendet. Dies gilt für Texte ebenso wie für ausgedruckte Fotos oder Screenshots.

    Der Landesbeauftragte für den Datenschutz Niedersachsen empfiehlt daher, zu schwärzende Stellen auszuschneiden oder zu überkleben und das Dokument im Anschluss zu kopieren oder einzuscannen. Die kann auch als Alternative zum Schwärzen mit Adobe Acrobat Pro verwendet werden (Ausdrucken -> Text ausschneiden oder überkleben -> Einscannen). 

    Die Hinweise des Landesbeauftragte für den Datenschutz Niedersachsen finden Sie hier.

  • Entfernen von Metadaten aus Bildern und Dokumenten

    Es unterscheidet sich nach Dateiformat, ob und welche Metadaten in einer Datei enthalten sind. Daher kann nicht abschließend auf alle Möglichkeiten hier eingegangen werden. 

    Für Bilder können Sie sich an diese Anleitung von heise.de halten.

    Für Word-Dokumente gibt es Informationen beim Microsoft Support.

    Für PDFs unter Verwendung von Adobe Acrobat Pro liefert Adobe folgende Informationen.