Jump to content

Daten unter Beachtung des Datenschutzes ver- und entknüpfen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe User,

 

nach langen Jahren bin ich heute mal wieder aktiv hier im Forum mit einer Frage, bzw. einem Problem.

Wir sind im Rahmen des Datenschutzes verpflichtet, Kundendaten nach einer gewissen Zeit zu anonymisieren.

Es handelt sich um Anträge von Privatpersonen, in denen sämtliche persönlichen Daten sowie auch Gesundheitsdaten erfaßt wurden.

 

Da wir aber auch zukünftig die Möglichkeit benötigen, Statistiken über einen Zeitraum von mehreren/vielen Jahren zu erstellen, wäre es gut, wenn wir die anonymisierten Daten dennoch für Statistiken nutzen könnten.

Ich stelle mir das (natürlich völlig laienhaft...) in etwa so vor:

 

Es gibt eine Datei / Verzeichnis / Container (was auch immer), worin die anonymisierten Daten liegen.

Diese haben nicht mehr die ursprüngliche Antragsnummer, sondern eine sichere kryptische Nummer (256 Bit etc.) und sind somit grds. nicht mehr als die entsprechenden Antragsteller erkennbar.

Und nun müßte es innerhalb dieser Datei, des Verzeichnisses oder des Containers etc. irgend eine Möglichkeit geben, diese kryptischen Nummern >> NUR FÜR DEN VORGANG DER ERSTELLUNG EINER STATISTIK << zu entschlüsseln, sodass die ursprünglichen Antragsnummern mit aktuellen Antragsnummern verglichen werden können (also mit Anträgen, die noch nicht anonymisiert wurden).

Und natürlich muss dieser Vorgang irgendwie innerhalb eines programmtechnischen Vorganges geschehen und was da passiert, darf natürlich nicht sichtbar sein oder sichtbar gemacht werden.

Und nach diesem Vorgang müssen automatisch wieder die vorherigen kryptischen Nummern (256 Bit etc.) gesetzt werden.

 

OK... ich weiß... sehr kompliziert :shock2:, aber bitte berücksichtigt, dass ich hier absoluter Laie bin.

 

Ist so etwas überhaupt technisch möglich - und zwar so, dass die Datenschutzrichtlinien eingehalten werden können?

 

Danke und schöne Grüße,

imebro

Link zu diesem Kommentar
vor 2 Minuten schrieb imebro:
 

Es gibt eine Datei / Verzeichnis / Container (was auch immer), worin die anonymisierten Daten liegen.

Diese haben nicht mehr die ursprüngliche Antragsnummer, sondern eine sichere kryptische Nummer (256 Bit etc.) und sind somit grds. nicht mehr als die entsprechenden Antragsteller erkennbar.

Und nun müßte es innerhalb dieser Datei, des Verzeichnisses oder des Containers etc. irgend eine Möglichkeit geben, diese kryptischen Nummern >> NUR FÜR DEN VORGANG DER ERSTELLUNG EINER STATISTIK << zu entschlüsseln, sodass die ursprünglichen Antragsnummern mit aktuellen Antragsnummern verglichen werden können (also mit Anträgen, die noch nicht anonymisiert wurden).

Und natürlich muss dieser Vorgang irgendwie innerhalb eines programmtechnischen Vorganges geschehen und was da passiert, darf natürlich nicht sichtbar sein oder sichtbar gemacht werden.

 

Da dies in Richtung Rechtsberatung geht solltest du deinen Rechtsbeistang fragen.

Aber eine Anonymisierung, die so Rückgängig gemacht werden kann ist keine Anonymisierung.

 

Link zu diesem Kommentar

OK und danke für die schnellen Antworten.

 

Ich frage mich nur, wie Andere sowas machen?

Wir sind doch sicher nicht das einzige Unternehmen, in dem Statistiken auch über mehr als 10 Jahre gemacht werden und die auch Daten anonymisieren müssen.

Eine Rechtsberatung kann hier wohl kaum Auskunft geben, denn mir geht es ja nicht um die rechtliche Umsetzung, sondern alleine um die Frage der programmiertechnischen Umsetzung... bzw. zunächst einmal darum, ob so etwas überhaupt programmiertechnisch möglich wäre. ;-)

 

Grüße,

imebro

Link zu diesem Kommentar

Moin,

 

Doch, es gibt spezialisierte Rechtsberater, die genau zu sowas beraten. Und natürlich gibt es auch Lösungen für sowas - es kann aber gut sein, dass die Lösung von Unternehmen A nicht zu den Anforderungen von Unternehmen B passt. 

 

Ob man einen Ansatz umsetzen kann, ist immer erst die zweite Frage. Als erstes muss der Ansatz rechtlich passen. Wenn er nur vielleicht passt, passt er nicht und man kann sich den Aufwand auch gleich sparen.

 

Gruß, Nils

Link zu diesem Kommentar

Hi

 

vor 41 Minuten schrieb imebro:

Ist so etwas überhaupt technisch möglich - und zwar so, dass die Datenschutzrichtlinien eingehalten werden können?

 

Ja. Das technisch-mathematische Prinzip dahinter ist noch relativ neu, nennt sich Homomorphe Verschlüsselung (Homomorphic Encryption) und stammt aus der gitterbasierten Algebra. Damit kann auf verschlüsselten Daten gerechnet werden, ohne diese vorher zu entschlüsseln. Zum Einstieg hier mal ein gut lesbarer Artikel: Verschlüsselung: Wie funktioniert Homomorphic Encryption?

 

Aber wie schon vorab empfohlen: Holt euch dafür einen wirklich kompetenten Berater ins Haus, der Technik und DSGVO beherrscht. :prayer::thumb1:

 

VG

Damian

Link zu diesem Kommentar

Moin,

 

aber von der rechtlichen Seite einmal abgesehen, werdet ihr vermutlich nicht umhin kommen, die Methodik eurer statistischen Auswertungen zu überarbeiten, so dass Daten, die keinen Bezug mehr haben, mit Daten, die noch einen Bezug haben, zusammengeführt werden können. Hier kommt das Konzept des Data Warehouse ins Spiel, denn Statistik mit Live-Stammdaten hat deutlich mehr Nachteile als nur die Schwierigkeiten mit GDPR.

 

In einem Projekt, das ich betreut habe, wurde es in etwa so gelöst:

  • jeder Datensatz, der zu einer Person reinkommt, wird sofort in ein pseudonymisiertes Data Warehouse abgezweigt. Im DWH sind keine personenbezogenen Merkmale enthalten.
  • die Pseudonymisierung erfolgt aber nicht anhand eine reversiblen Rechenvorschrift, sondern mittels einer Pseudonymisierungstabelle. Diese wird im gleichen Vorgang bereinigt wie der Stammdatensatz. Wird also der Stammdatensatz zur Person X gelöscht,  weil die Geschäftsbeziehung beendet und der Karenz-Zeitraum verstrichen ist, verschwindet auch der Eintrag in der Pseudonymisierungstabelle, und die Daten im DWH sind - in Bezug auf diese Person - nun anonymisiert. Und zwar ohne dass eine Veränderung im DWH vorgenommen werden müsste.
  • Dadurch können statistische Auswertungen, sofern sie keine PI-Merkmale beinhalten, beliebig gefahren werden, und der Personenkreis, der damit zu tun hat, kommt zu keinem Zeitpunkt mit personenbezogenen Daten in Berührung.

Das wurde durch eine Datenschutz-Kanzlei in einem stark regulierten Sektor als "gut genug für GDPR, falls richtig umgesetzt" eingestuft, auch ohne homomorphe Verschlüsselung.

Link zu diesem Kommentar

Hallo und sorry, dass ich erst heute antworten kann...

 

Danke für die super interessanten und kompetenten Informationen.

 

Zur homomorphen Verschlüsselung habe ich über den Link von "Damian" u.a. folgendes gelesen:

 

Zitat

Lediglich der Besitzer der Daten hat einen Key, der die Daten mitsamt der verschlüsselt durchgeführten Berechnungen zu einem späteren Zeitpunkt im Klartext offenlegen kann.

 

Das würde ja bedeuten, dass der Besitzer des Keys eben doch die Möglichkeit hätte, die bereits (per Gesetz vorgeschrieben) anonymisierten Daten zu entschlüsseln.

Ob das dann noch DSGVO-gemäß ist, wäre dann die Frage.

Wir haben im September ein Gespräch mit unserem DS-Beauftragten. Den würde ich dann genau mit dieser Frage konfrontieren wollen.

 

Den Ansatz mit dem Data Warehouse  (DWH) habe ich anfänglich verstanden...

Mir ist aber noch nicht klar, ob die von "cj_berlin" beschriebene Konstellation auch für unsere Daten funktionieren würde.

 

Bei uns geht es ja nicht um Kunden und Ware, sondern um erkrankte Menschen, die bei uns einen Antrag auf Hilfsleistungen stellen können.

In den Anträgen werden erfaßt:

- sämtliche Personendaten

- die einzelnen Erkrankungen inkl. Krankendaten und auch die Krankengeschichte

- wirtschaftliche Verhältnisse (Einkommen -ggf. Sozialhilfeleistungen etc.

- die komplette Bankverbindung

- Angabe von Kindern inkl. deren Daten und ggf. Einkommen

- private Schiksale.

Wie Ihr seht, sind diese Daten extrem sensibel und schutzwürdig.

 

Vielleicht kannst Du "cj_berlin" mir ja nochmal etwas eingehender erklären, wie in etwa (grob) die Methodik unserer statistischen Auswertungen verändert werden müßte und was ein passender Weg für unsere Institution sein könnte.

 

Danke und schöne Grüße,

imebro

 

bearbeitet von imebro
Link zu diesem Kommentar
vor 2 Minuten schrieb imebro:

Vielleicht kannst Du "cj_berlin" mir ja nochmal etwas eingehender erklären, wie in etwa (grob) die Methodik unserer statistischen Auswertungen verändert werden müßte und was ein passender Weg für unsere Institution sein könnte.

Das wäre ja unfair meinen Kunden gegenüber, die für solche strategischen Beratungen einen ordentlichen Tagessatz bezahlt haben und hoffentlich auch in Zukunft bezahlen werden...

Übrigens: Wenn Du dich in einem Post auf die Forum-Nicknames beziehen möchtest, versuch's mal mit "@", @imebro

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...