-
Die Erfindung betrifft ein Verfahren zur Anonymisierung personenbezogener Daten nach der im Oberbegriff von Anspruch 1 näher definierten Art.
-
Prinzipiell sind Verfahren zur Anonymisierung personenbezogener Daten aus dem Stand der Technik bekannt. Insbesondere hat die Einführung der Datenschutzgrundverordnung (DSGVO) zum Schutz personenbezogener Daten zu einem Paradigmenwechsel in der Datenhaltung geführt. Statt einer Aufbewahrung der Daten bis in alle Ewigkeit, steht jetzt das „Recht auf Vergessen“ im Mittelpunkt.
-
So beschreibt beispielsweise die
WO 2008/061267 A1 ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen. Die Objektdaten umfassen Objektidentifikationsdaten und zugehörige Nutzdaten. In einer Objektdaten-Datenbank sind die Objektdaten über Zugriffseinrichtungen speicherbar sowie abrufbar. Der Zugriff auf die Objektidentifikationsdaten sowie die zugehörigen Nutzdaten ist nur mit einem für die Standard-Instanzen vergebenen Sicherheitsschlüssel möglich.
-
Da ein Großteil der erfassten Daten einen Personenbezug hat, entsteht die Notwendigkeit, diese Daten in den vorhandenen Systemen nach der Zweckbindung zu löschen. Dabei besteht bei bekannten Systemen meist das Problem, dass ein selektives Löschen ohne den Verlust der kompletten Nutzdaten nicht möglich ist. Zudem existiert meist in den Backup- und Langzeitarchivierungsdateien weiterhin der explizite Personenbezug. Hierbei gilt es insbesondere auch zu beachten, dass ungeachtet der Pflicht zur Löschung personenbezogener Daten die Pflicht zur Speicherung des Personenbezugs bei vielen Nutzdaten besteht. Insbesondere im Rahmen des Produkthaftungs- und Produktsicherheitsgesetzes muss jederzeit die Haftungsfrage aufklärbar sein.
-
Die Aufgabe der hier vorliegenden Erfindung besteht nun darin, ein Verfahren zu schaffen, welches die oben genannten Nachteile überwindet. Insbesondere soll hierbei das Problem eines selektiv auflösbaren Personenbezugs gelöst werden.
-
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den Merkmalen im Anspruch 1 und hier insbesondere im kennzeichnenden Teil des Anspruchs 1 gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen ergeben sich aus den hiervon abhängigen Unteransprüchen.
-
Im Kern des erfindungsgemäßen Verfahrens ist der Nutzdatensatz mit einem Alias pseudonymisiert. Dadurch kann eine feste Verknüpfung zwischen Personendaten und Nutzdaten aufgelöst werden. Statt eines direkten Personendatums, beispielsweise ein Name, eine User-ID etc., wird der Nutzdatensatz mit einem Alias pseudonymisiert.
-
Das Verfahren zur Anonymisierung personenbezogener Daten verwendet einen Personendatensatz und einen Nutzdatensatz und kann eine selektive Entkopplung und Anonymisierung personenbezogener Daten ohne Löschung der Nutzdaten vornehmen. Durch ein selektives Löschen des Personenbezugs in den Nutzdaten bei gleichzeitiger Sicherstellung der Datenintegrität kann beispielsweise die gesetzeskonforme Umsetzung der Datenschutzgrundverordnung bei gleichzeitiger Einhaltung der Produkthaftungsgesetze ermöglicht werden.
-
Bevorzugt kann der Alias in einer eigenständigen Datenbank fortlaufend generiert werden. Dies erfolgte bevorzugt systemseitig und kann somit von der Personaldatenbank separiert werden.
-
Gemäß einer sehr vorteilhaften Weiterbildung der Idee kann es dabei vorgesehen sein, dass in einer Linkdatenbank, die einen Zusammenhang zwischen Nutzdatensatz und Personendatensatz herstellt, ein zweiteiliger Schlüssel erzeugt wird. Bevorzugt erfolgt in der Linkdatenbank eine fortlaufende Erzeugung neuer Schlüssel, ohne Editierbarkeit der bereits vergebenen Schlüssel. Zum Start der Linkdatenbank kann beispielsweise eine Liste mit einer entsprechenden Menge an nicht genutzten Schlüsseln anonymisiert werden. Beispielsweise kann dies auch im laufenden Betrieb erfolgen.
-
Dabei kann es gemäß einer vorteilhaften Ausgestaltung vorgesehen sein, dass ein erster Schlüssel an die Personendatenbank gesendet wird und ein zweiter Schlüssel als Alias an die Nutzdatenbank gesendet wird.
-
Eine weitere vorteilhafte Ausgestaltung kann es vorsehen, dass verschiedene Schlüssel erzeugt werden, die entweder einmal, mehrmals oder beliebig oft Verwendung finden. Ein Schlüssel zur einmaligen Verwendung kann beispielsweise mit „s“, somit mit „single“, bezeichnet werden. Ein beliebig oft verwendbarer Schlüssel kann mit „m“ für „multi“ und ein für eine bestimmte Anzahl verwendbarer Schlüssel mit „n“ für eine n-malige bzw. „numerische“ Verwendung bezeichnet werden. Je nach Vergabe eines „Usage Counters“ kann sich daraus die Möglichkeit einer Löschung eines selektiven Personenbezugs oder eines ganzen Bündels von Nutzdaten ergeben.
-
Eine sehr günstige Weiterbildung des erfindungsgemäßen Verfahrens sieht es dabei vor, dass je Datensatz eine Checksumme errechnet wird. Bevorzugt wird die gesamte Liste mit einer fortlaufenden Checksumme abgesichert. Es ist weiterhin möglich, dass ein Backup nur temporär im Rahmen der Sicherstellung der Systemverfügbarkeit mit den üblichen Mitteln des Systembetriebs, beispielsweise mit gespiegelten Datenbanken, erfolgt.
-
In einer bevorzugten Ausführungsform können die bereits vergebenen Schlüssel nicht editierbar sein. Ein Löschen oder ein Überschreiben mit einem Füllzeichen kann unter Beibehaltung des Datensatzes möglich sein.
-
Weitere Vorteile des erfindungsgemäßen Verfahrens zur Anonymisierung personenbezogener Daten ergeben sich ferner aus den restlichen abhängigen Unteransprüchen und werden anhand der Ausführungsbeispiele deutlich, welche nachfolgend unter Bezugnahme auf die Figuren näher beschrieben werden.
-
Dabei zeigen:
- 1 eine mögliche Grundstruktur sowie Datenspur vor einer ersten Datenlöschung;
- 2 eine weitere mögliche Grundstruktur sowie Datenspur vor einer Datenlöschung;
- 3 eine mögliche Ausführungsform des Verfahrens;
- 4 eine mögliche Löschung des Personenbezugs von Daten durch Löschung der Personendaten und der zugehörigen Alias-Links;
- 5 eine Löschung des Personenbezugs von selektiven Daten durch Löschung eines Alias-Links unter Beibehaltung der Personendaten;
- 6 eine Löschung des Personenbezugs von multiplen, selektiven Daten durch Löschung eines Alias-Links vom Typ „m“.
-
Die verschiedenen Fälle zur Aufhebung des Personenbezugs sind in den folgenden 1 bis 6 gezeigt. In den Darstellungen der 1 und 2 ist jeweils eine Grundstruktur sowie Datenspur vor einer ersten Datenlöschung gezeigt. Diese sind beispielhaft anhand der Personendaten einer Person „Maier“ dargestellt.
-
3 zeigt eine Ausführungsform des Verfahrens zur selektiven Pseudonymisierung, Anonymisierung und Löschung eines Personenbezugs von Daten. In den drei Spalten sind die Daten in einer Personendatenbank, einer Linkdatenbank sowie einer Applikationsdatenbank aufgezeigt. In der Linkdatenbank sind die Schlüssel zur einmaligen Verwendung mit „s“ gekennzeichnet, die Schlüssel mit einer multiplen Verwendbarkeit mit „m“ und mit einer Verwendbarkeit von bestimmter Anzahl mit „n“ gekennzeichnet. In der Applikationsdatenbank sind die Daten als pseudonymisierte Applikationsdaten abgelegt.
-
4 zeigt eine mögliche Ausführungsform einer Löschung des Personenbezugs von Daten durch Löschung der Personendaten in der Personendatenbank und der zugehörigen Alias-Links in der Linkdatenbank. Die gelöschten Daten sind durchgestrichen dargestellt. Dabei werden alle Personendaten der Person „Maier“ in der Personendatenbank sowie in der Linkdatenbank gelöscht oder überschrieben.
-
In 5 ist eine Löschung des Personenbezugs von selektiven Daten durch Löschung eines Alias-Links unter Beibehaltung der Personendaten gezeigt. Dabei wird lediglich der Alias mit der Kennzeichnung „s“ in der Linkdatenbank gelöscht. Daher bleiben die Daten in den letzten zwei Spalten der Applikationsdatenbank erhalten (mit gestrichelten Umfangslinien gekennzeichnet) und es liegt eine selektive Löschung in der Applikationsdatenbank vor.
-
Die Darstellung in 6 zeigt ein Beispiel einer Löschung des Personenbezugs von multiplen, selektiven Daten durch Löschung eines Alias-Links vom Typ „m“ (z.B. einer spez. Applikation). Dabei bleiben die Daten in der ersten Spalte der Applikationsdatenbank erhalten.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-