Jump to content

Daten unter Beachtung des Datenschutzes ver- und entknüpfen


Recommended Posts

Hallo liebe User,

 

nach langen Jahren bin ich heute mal wieder aktiv hier im Forum mit einer Frage, bzw. einem Problem.

Wir sind im Rahmen des Datenschutzes verpflichtet, Kundendaten nach einer gewissen Zeit zu anonymisieren.

Es handelt sich um Anträge von Privatpersonen, in denen sämtliche persönlichen Daten sowie auch Gesundheitsdaten erfaßt wurden.

 

Da wir aber auch zukünftig die Möglichkeit benötigen, Statistiken über einen Zeitraum von mehreren/vielen Jahren zu erstellen, wäre es gut, wenn wir die anonymisierten Daten dennoch für Statistiken nutzen könnten.

Ich stelle mir das (natürlich völlig laienhaft...) in etwa so vor:

 

Es gibt eine Datei / Verzeichnis / Container (was auch immer), worin die anonymisierten Daten liegen.

Diese haben nicht mehr die ursprüngliche Antragsnummer, sondern eine sichere kryptische Nummer (256 Bit etc.) und sind somit grds. nicht mehr als die entsprechenden Antragsteller erkennbar.

Und nun müßte es innerhalb dieser Datei, des Verzeichnisses oder des Containers etc. irgend eine Möglichkeit geben, diese kryptischen Nummern >> NUR FÜR DEN VORGANG DER ERSTELLUNG EINER STATISTIK << zu entschlüsseln, sodass die ursprünglichen Antragsnummern mit aktuellen Antragsnummern verglichen werden können (also mit Anträgen, die noch nicht anonymisiert wurden).

Und natürlich muss dieser Vorgang irgendwie innerhalb eines programmtechnischen Vorganges geschehen und was da passiert, darf natürlich nicht sichtbar sein oder sichtbar gemacht werden.

Und nach diesem Vorgang müssen automatisch wieder die vorherigen kryptischen Nummern (256 Bit etc.) gesetzt werden.

 

OK... ich weiß... sehr kompliziert :shock2:, aber bitte berücksichtigt, dass ich hier absoluter Laie bin.

 

Ist so etwas überhaupt technisch möglich - und zwar so, dass die Datenschutzrichtlinien eingehalten werden können?

 

Danke und schöne Grüße,

imebro

Link to post
vor 2 Minuten schrieb imebro:
 

Es gibt eine Datei / Verzeichnis / Container (was auch immer), worin die anonymisierten Daten liegen.

Diese haben nicht mehr die ursprüngliche Antragsnummer, sondern eine sichere kryptische Nummer (256 Bit etc.) und sind somit grds. nicht mehr als die entsprechenden Antragsteller erkennbar.

Und nun müßte es innerhalb dieser Datei, des Verzeichnisses oder des Containers etc. irgend eine Möglichkeit geben, diese kryptischen Nummern >> NUR FÜR DEN VORGANG DER ERSTELLUNG EINER STATISTIK << zu entschlüsseln, sodass die ursprünglichen Antragsnummern mit aktuellen Antragsnummern verglichen werden können (also mit Anträgen, die noch nicht anonymisiert wurden).

Und natürlich muss dieser Vorgang irgendwie innerhalb eines programmtechnischen Vorganges geschehen und was da passiert, darf natürlich nicht sichtbar sein oder sichtbar gemacht werden.

 

Da dies in Richtung Rechtsberatung geht solltest du deinen Rechtsbeistang fragen.

Aber eine Anonymisierung, die so Rückgängig gemacht werden kann ist keine Anonymisierung.

 

  • Like 1
Link to post

OK und danke für die schnellen Antworten.

 

Ich frage mich nur, wie Andere sowas machen?

Wir sind doch sicher nicht das einzige Unternehmen, in dem Statistiken auch über mehr als 10 Jahre gemacht werden und die auch Daten anonymisieren müssen.

Eine Rechtsberatung kann hier wohl kaum Auskunft geben, denn mir geht es ja nicht um die rechtliche Umsetzung, sondern alleine um die Frage der programmiertechnischen Umsetzung... bzw. zunächst einmal darum, ob so etwas überhaupt programmiertechnisch möglich wäre. ;-)

 

Grüße,

imebro

Link to post

Moin,

 

Doch, es gibt spezialisierte Rechtsberater, die genau zu sowas beraten. Und natürlich gibt es auch Lösungen für sowas - es kann aber gut sein, dass die Lösung von Unternehmen A nicht zu den Anforderungen von Unternehmen B passt. 

 

Ob man einen Ansatz umsetzen kann, ist immer erst die zweite Frage. Als erstes muss der Ansatz rechtlich passen. Wenn er nur vielleicht passt, passt er nicht und man kann sich den Aufwand auch gleich sparen.

 

Gruß, Nils

  • Like 2
Link to post

Hi

 

vor 41 Minuten schrieb imebro:

Ist so etwas überhaupt technisch möglich - und zwar so, dass die Datenschutzrichtlinien eingehalten werden können?

 

Ja. Das technisch-mathematische Prinzip dahinter ist noch relativ neu, nennt sich Homomorphe Verschlüsselung (Homomorphic Encryption) und stammt aus der gitterbasierten Algebra. Damit kann auf verschlüsselten Daten gerechnet werden, ohne diese vorher zu entschlüsseln. Zum Einstieg hier mal ein gut lesbarer Artikel: Verschlüsselung: Wie funktioniert Homomorphic Encryption?

 

Aber wie schon vorab empfohlen: Holt euch dafür einen wirklich kompetenten Berater ins Haus, der Technik und DSGVO beherrscht. :prayer::thumb1:

 

VG

Damian

  • Like 1
Link to post

Moin,

 

aber von der rechtlichen Seite einmal abgesehen, werdet ihr vermutlich nicht umhin kommen, die Methodik eurer statistischen Auswertungen zu überarbeiten, so dass Daten, die keinen Bezug mehr haben, mit Daten, die noch einen Bezug haben, zusammengeführt werden können. Hier kommt das Konzept des Data Warehouse ins Spiel, denn Statistik mit Live-Stammdaten hat deutlich mehr Nachteile als nur die Schwierigkeiten mit GDPR.

 

In einem Projekt, das ich betreut habe, wurde es in etwa so gelöst:

  • jeder Datensatz, der zu einer Person reinkommt, wird sofort in ein pseudonymisiertes Data Warehouse abgezweigt. Im DWH sind keine personenbezogenen Merkmale enthalten.
  • die Pseudonymisierung erfolgt aber nicht anhand eine reversiblen Rechenvorschrift, sondern mittels einer Pseudonymisierungstabelle. Diese wird im gleichen Vorgang bereinigt wie der Stammdatensatz. Wird also der Stammdatensatz zur Person X gelöscht,  weil die Geschäftsbeziehung beendet und der Karenz-Zeitraum verstrichen ist, verschwindet auch der Eintrag in der Pseudonymisierungstabelle, und die Daten im DWH sind - in Bezug auf diese Person - nun anonymisiert. Und zwar ohne dass eine Veränderung im DWH vorgenommen werden müsste.
  • Dadurch können statistische Auswertungen, sofern sie keine PI-Merkmale beinhalten, beliebig gefahren werden, und der Personenkreis, der damit zu tun hat, kommt zu keinem Zeitpunkt mit personenbezogenen Daten in Berührung.

Das wurde durch eine Datenschutz-Kanzlei in einem stark regulierten Sektor als "gut genug für GDPR, falls richtig umgesetzt" eingestuft, auch ohne homomorphe Verschlüsselung.

  • Like 1
Link to post
Posted (edited)

Hallo und sorry, dass ich erst heute antworten kann...

 

Danke für die super interessanten und kompetenten Informationen.

 

Zur homomorphen Verschlüsselung habe ich über den Link von "Damian" u.a. folgendes gelesen:

 

Zitat

Lediglich der Besitzer der Daten hat einen Key, der die Daten mitsamt der verschlüsselt durchgeführten Berechnungen zu einem späteren Zeitpunkt im Klartext offenlegen kann.

 

Das würde ja bedeuten, dass der Besitzer des Keys eben doch die Möglichkeit hätte, die bereits (per Gesetz vorgeschrieben) anonymisierten Daten zu entschlüsseln.

Ob das dann noch DSGVO-gemäß ist, wäre dann die Frage.

Wir haben im September ein Gespräch mit unserem DS-Beauftragten. Den würde ich dann genau mit dieser Frage konfrontieren wollen.

 

Den Ansatz mit dem Data Warehouse  (DWH) habe ich anfänglich verstanden...

Mir ist aber noch nicht klar, ob die von "cj_berlin" beschriebene Konstellation auch für unsere Daten funktionieren würde.

 

Bei uns geht es ja nicht um Kunden und Ware, sondern um erkrankte Menschen, die bei uns einen Antrag auf Hilfsleistungen stellen können.

In den Anträgen werden erfaßt:

- sämtliche Personendaten

- die einzelnen Erkrankungen inkl. Krankendaten und auch die Krankengeschichte

- wirtschaftliche Verhältnisse (Einkommen -ggf. Sozialhilfeleistungen etc.

- die komplette Bankverbindung

- Angabe von Kindern inkl. deren Daten und ggf. Einkommen

- private Schiksale.

Wie Ihr seht, sind diese Daten extrem sensibel und schutzwürdig.

 

Vielleicht kannst Du "cj_berlin" mir ja nochmal etwas eingehender erklären, wie in etwa (grob) die Methodik unserer statistischen Auswertungen verändert werden müßte und was ein passender Weg für unsere Institution sein könnte.

 

Danke und schöne Grüße,

imebro

 

Edited by imebro
Link to post
vor 2 Minuten schrieb imebro:

Vielleicht kannst Du "cj_berlin" mir ja nochmal etwas eingehender erklären, wie in etwa (grob) die Methodik unserer statistischen Auswertungen verändert werden müßte und was ein passender Weg für unsere Institution sein könnte.

Das wäre ja unfair meinen Kunden gegenüber, die für solche strategischen Beratungen einen ordentlichen Tagessatz bezahlt haben und hoffentlich auch in Zukunft bezahlen werden...

Übrigens: Wenn Du dich in einem Post auf die Forum-Nicknames beziehen möchtest, versuch's mal mit "@", @imebro

Link to post

Aaaah ok, ich verstehe :lol3:

 

Ich wußte ja nicht, dass Du in diesem Bereich tätig bist.

Wer weiß... vielleicht melde ich mich ja nach dem Gespräch mit dem DS-Beauftragten hier nochmal bei Dir, bezüglich einer entsprechenden Ausarbeitung.

 

Grüße,

imebro

Link to post
vor 9 Stunden schrieb imebro:

Ich wußte ja nicht, dass Du in diesem Bereich tätig bist.

 

Viele, die hier aktiv sind, sind "in diesem Bereich" tätig :-) Der Rest ist in Festanstellung als Arbeitsesel... :D

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...