DE102020006077A1 - Verfahren zur Anonymisierung personenbezogener Daten - Google Patents

Verfahren zur Anonymisierung personenbezogener Daten Download PDF

Info

Publication number
DE102020006077A1
DE102020006077A1 DE102020006077.3A DE102020006077A DE102020006077A1 DE 102020006077 A1 DE102020006077 A1 DE 102020006077A1 DE 102020006077 A DE102020006077 A DE 102020006077A DE 102020006077 A1 DE102020006077 A1 DE 102020006077A1
Authority
DE
Germany
Prior art keywords
data
personal
database
alias
data record
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020006077.3A
Other languages
English (en)
Inventor
Lorenz Wohlbold
Karin Leberwurst
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Daimler Truck Holding AG
Original Assignee
Daimler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daimler AG filed Critical Daimler AG
Publication of DE102020006077A1 publication Critical patent/DE102020006077A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Abstract

Die Erfindung betrifft ein Verfahren zur Anonymisierung personenbezogener Daten, mit einem Personendatensatz und einem Nutzdatensatz.Die Erfindung ist dadurch gekennzeichnet, dass der Nutzdatensatz mit einem Alias pseudonymisiert ist.

Description

  • Die Erfindung betrifft ein Verfahren zur Anonymisierung personenbezogener Daten nach der im Oberbegriff von Anspruch 1 näher definierten Art.
  • Prinzipiell sind Verfahren zur Anonymisierung personenbezogener Daten aus dem Stand der Technik bekannt. Insbesondere hat die Einführung der Datenschutzgrundverordnung (DSGVO) zum Schutz personenbezogener Daten zu einem Paradigmenwechsel in der Datenhaltung geführt. Statt einer Aufbewahrung der Daten bis in alle Ewigkeit, steht jetzt das „Recht auf Vergessen“ im Mittelpunkt.
  • So beschreibt beispielsweise die WO 2008/061267 A1 ein Datenverarbeitungssystem zur Verarbeitung von Objektdaten einer Vielzahl von Standard-Instanzen. Die Objektdaten umfassen Objektidentifikationsdaten und zugehörige Nutzdaten. In einer Objektdaten-Datenbank sind die Objektdaten über Zugriffseinrichtungen speicherbar sowie abrufbar. Der Zugriff auf die Objektidentifikationsdaten sowie die zugehörigen Nutzdaten ist nur mit einem für die Standard-Instanzen vergebenen Sicherheitsschlüssel möglich.
  • Da ein Großteil der erfassten Daten einen Personenbezug hat, entsteht die Notwendigkeit, diese Daten in den vorhandenen Systemen nach der Zweckbindung zu löschen. Dabei besteht bei bekannten Systemen meist das Problem, dass ein selektives Löschen ohne den Verlust der kompletten Nutzdaten nicht möglich ist. Zudem existiert meist in den Backup- und Langzeitarchivierungsdateien weiterhin der explizite Personenbezug. Hierbei gilt es insbesondere auch zu beachten, dass ungeachtet der Pflicht zur Löschung personenbezogener Daten die Pflicht zur Speicherung des Personenbezugs bei vielen Nutzdaten besteht. Insbesondere im Rahmen des Produkthaftungs- und Produktsicherheitsgesetzes muss jederzeit die Haftungsfrage aufklärbar sein.
  • Die Aufgabe der hier vorliegenden Erfindung besteht nun darin, ein Verfahren zu schaffen, welches die oben genannten Nachteile überwindet. Insbesondere soll hierbei das Problem eines selektiv auflösbaren Personenbezugs gelöst werden.
  • Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den Merkmalen im Anspruch 1 und hier insbesondere im kennzeichnenden Teil des Anspruchs 1 gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen ergeben sich aus den hiervon abhängigen Unteransprüchen.
  • Im Kern des erfindungsgemäßen Verfahrens ist der Nutzdatensatz mit einem Alias pseudonymisiert. Dadurch kann eine feste Verknüpfung zwischen Personendaten und Nutzdaten aufgelöst werden. Statt eines direkten Personendatums, beispielsweise ein Name, eine User-ID etc., wird der Nutzdatensatz mit einem Alias pseudonymisiert.
  • Das Verfahren zur Anonymisierung personenbezogener Daten verwendet einen Personendatensatz und einen Nutzdatensatz und kann eine selektive Entkopplung und Anonymisierung personenbezogener Daten ohne Löschung der Nutzdaten vornehmen. Durch ein selektives Löschen des Personenbezugs in den Nutzdaten bei gleichzeitiger Sicherstellung der Datenintegrität kann beispielsweise die gesetzeskonforme Umsetzung der Datenschutzgrundverordnung bei gleichzeitiger Einhaltung der Produkthaftungsgesetze ermöglicht werden.
  • Bevorzugt kann der Alias in einer eigenständigen Datenbank fortlaufend generiert werden. Dies erfolgte bevorzugt systemseitig und kann somit von der Personaldatenbank separiert werden.
  • Gemäß einer sehr vorteilhaften Weiterbildung der Idee kann es dabei vorgesehen sein, dass in einer Linkdatenbank, die einen Zusammenhang zwischen Nutzdatensatz und Personendatensatz herstellt, ein zweiteiliger Schlüssel erzeugt wird. Bevorzugt erfolgt in der Linkdatenbank eine fortlaufende Erzeugung neuer Schlüssel, ohne Editierbarkeit der bereits vergebenen Schlüssel. Zum Start der Linkdatenbank kann beispielsweise eine Liste mit einer entsprechenden Menge an nicht genutzten Schlüsseln anonymisiert werden. Beispielsweise kann dies auch im laufenden Betrieb erfolgen.
  • Dabei kann es gemäß einer vorteilhaften Ausgestaltung vorgesehen sein, dass ein erster Schlüssel an die Personendatenbank gesendet wird und ein zweiter Schlüssel als Alias an die Nutzdatenbank gesendet wird.
  • Eine weitere vorteilhafte Ausgestaltung kann es vorsehen, dass verschiedene Schlüssel erzeugt werden, die entweder einmal, mehrmals oder beliebig oft Verwendung finden. Ein Schlüssel zur einmaligen Verwendung kann beispielsweise mit „s“, somit mit „single“, bezeichnet werden. Ein beliebig oft verwendbarer Schlüssel kann mit „m“ für „multi“ und ein für eine bestimmte Anzahl verwendbarer Schlüssel mit „n“ für eine n-malige bzw. „numerische“ Verwendung bezeichnet werden. Je nach Vergabe eines „Usage Counters“ kann sich daraus die Möglichkeit einer Löschung eines selektiven Personenbezugs oder eines ganzen Bündels von Nutzdaten ergeben.
  • Eine sehr günstige Weiterbildung des erfindungsgemäßen Verfahrens sieht es dabei vor, dass je Datensatz eine Checksumme errechnet wird. Bevorzugt wird die gesamte Liste mit einer fortlaufenden Checksumme abgesichert. Es ist weiterhin möglich, dass ein Backup nur temporär im Rahmen der Sicherstellung der Systemverfügbarkeit mit den üblichen Mitteln des Systembetriebs, beispielsweise mit gespiegelten Datenbanken, erfolgt.
  • In einer bevorzugten Ausführungsform können die bereits vergebenen Schlüssel nicht editierbar sein. Ein Löschen oder ein Überschreiben mit einem Füllzeichen kann unter Beibehaltung des Datensatzes möglich sein.
  • Weitere Vorteile des erfindungsgemäßen Verfahrens zur Anonymisierung personenbezogener Daten ergeben sich ferner aus den restlichen abhängigen Unteransprüchen und werden anhand der Ausführungsbeispiele deutlich, welche nachfolgend unter Bezugnahme auf die Figuren näher beschrieben werden.
  • Dabei zeigen:
    • 1 eine mögliche Grundstruktur sowie Datenspur vor einer ersten Datenlöschung;
    • 2 eine weitere mögliche Grundstruktur sowie Datenspur vor einer Datenlöschung;
    • 3 eine mögliche Ausführungsform des Verfahrens;
    • 4 eine mögliche Löschung des Personenbezugs von Daten durch Löschung der Personendaten und der zugehörigen Alias-Links;
    • 5 eine Löschung des Personenbezugs von selektiven Daten durch Löschung eines Alias-Links unter Beibehaltung der Personendaten;
    • 6 eine Löschung des Personenbezugs von multiplen, selektiven Daten durch Löschung eines Alias-Links vom Typ „m“.
  • Die verschiedenen Fälle zur Aufhebung des Personenbezugs sind in den folgenden 1 bis 6 gezeigt. In den Darstellungen der 1 und 2 ist jeweils eine Grundstruktur sowie Datenspur vor einer ersten Datenlöschung gezeigt. Diese sind beispielhaft anhand der Personendaten einer Person „Maier“ dargestellt.
  • 3 zeigt eine Ausführungsform des Verfahrens zur selektiven Pseudonymisierung, Anonymisierung und Löschung eines Personenbezugs von Daten. In den drei Spalten sind die Daten in einer Personendatenbank, einer Linkdatenbank sowie einer Applikationsdatenbank aufgezeigt. In der Linkdatenbank sind die Schlüssel zur einmaligen Verwendung mit „s“ gekennzeichnet, die Schlüssel mit einer multiplen Verwendbarkeit mit „m“ und mit einer Verwendbarkeit von bestimmter Anzahl mit „n“ gekennzeichnet. In der Applikationsdatenbank sind die Daten als pseudonymisierte Applikationsdaten abgelegt.
  • 4 zeigt eine mögliche Ausführungsform einer Löschung des Personenbezugs von Daten durch Löschung der Personendaten in der Personendatenbank und der zugehörigen Alias-Links in der Linkdatenbank. Die gelöschten Daten sind durchgestrichen dargestellt. Dabei werden alle Personendaten der Person „Maier“ in der Personendatenbank sowie in der Linkdatenbank gelöscht oder überschrieben.
  • In 5 ist eine Löschung des Personenbezugs von selektiven Daten durch Löschung eines Alias-Links unter Beibehaltung der Personendaten gezeigt. Dabei wird lediglich der Alias mit der Kennzeichnung „s“ in der Linkdatenbank gelöscht. Daher bleiben die Daten in den letzten zwei Spalten der Applikationsdatenbank erhalten (mit gestrichelten Umfangslinien gekennzeichnet) und es liegt eine selektive Löschung in der Applikationsdatenbank vor.
  • Die Darstellung in 6 zeigt ein Beispiel einer Löschung des Personenbezugs von multiplen, selektiven Daten durch Löschung eines Alias-Links vom Typ „m“ (z.B. einer spez. Applikation). Dabei bleiben die Daten in der ersten Spalte der Applikationsdatenbank erhalten.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2008/061267 A1 [0003]

Claims (7)

  1. Verfahren zur Anonymisierung personenbezogener Daten, mit einem Personendatensatz und einem Nutzdatensatz, dadurch gekennzeichnet, dass der Nutzdatensatz mit einem Alias pseudonymisiert ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Alias in einer eigenständigen Datenbank fortlaufend generiert wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in einer Linkdatenbank, die einen Zusammenhang zwischen Nutzdatensatz und Personendatensatz herstellt, ein zweiteiliger Schlüssel erzeugt wird.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass ein erster Schlüssel an die Personendatenbank gesendet wird und ein zweiter Schlüssel als Alias an die Nutzdatenbank gesendet wird.
  5. Verfahren nach einem der Ansprüche 3 oder 4, dadurch gekennzeichnet, dass verschieden Schlüssel erzeugt werden, die entweder einmal, mehrmals oder beliebig oft Verwendung finden.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass je Datensatz eine Checksumme errechnet wird.
  7. Verfahren nach einem der Ansprüche 3 bis 6, dadurch gekennzeichnet, dass die bereits vergebenen Schlüssel nicht editierbar sind.
DE102020006077.3A 2020-08-31 2020-10-05 Verfahren zur Anonymisierung personenbezogener Daten Pending DE102020006077A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020005340 2020-08-31
DE102020005340.8 2020-08-31

Publications (1)

Publication Number Publication Date
DE102020006077A1 true DE102020006077A1 (de) 2020-11-19

Family

ID=73019457

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020006077.3A Pending DE102020006077A1 (de) 2020-08-31 2020-10-05 Verfahren zur Anonymisierung personenbezogener Daten

Country Status (1)

Country Link
DE (1) DE102020006077A1 (de)

Similar Documents

Publication Publication Date Title
LU101105B1 (de) Verfahren zur automatisierten Erstellung eines an eine vorgegebene Person gerichteten Phishing-Dokuments
EP2843585B1 (de) Verfahren und System zum Bereitstellen von anonymisierten Daten aus einer Datenbank
DE10255128A1 (de) Computer-implementierte PDF-Dokumentenverwaltung
WO1997015015A2 (de) Informationssystem und verfahren zur speicherung von daten in einem informationssystem
EP3619638B1 (de) Verfahren zum gesicherten zugriff auf daten
EP1163776A2 (de) Anonymisierungsverfahren
DE102020006077A1 (de) Verfahren zur Anonymisierung personenbezogener Daten
EP1658575B1 (de) Datenübertragungssystem und verfahren zum betreiben eines datenübertragungssystems
DE102010037326B4 (de) Verfahren zum anonymen Zusammenführen von vertraulichen Daten und zugehörigen Identifizierungsdaten
DE19962902A1 (de) Vorrichtung zum Passwort-geschützten Handhaben eines elektronischen Dokuments
DE19538448A1 (de) Datenbankmanagementsystem sowie Datenübertragungsverfahren
DE69932642T2 (de) Verfahren um tabellenstellen zu uberprufen die in referenziellen integritat beteiligt sind.
DE102006021371B4 (de) Verfahren zur reversiblen Anonymisierung vertraulicher Datenteile und eine entsprechende Datenstruktur
DE10205316B4 (de) Schlüsselmanagementeinrichtung und Verfahren zur verschlüsselten Ablage von digitalen Datenwörtern
DE102012110510A1 (de) Verfahren zum geschützten Hinterlegen von Ereignisprotokoll-Daten eines Computersystems, Computerprogrammprodukt sowie Computersystem
EP3156932A1 (de) Verfahren und system zum schutz von vertraulichen elektronischen daten
EP3586261B1 (de) Verfahren zum gesicherten zugriff auf daten
DE102017000167A1 (de) Anonymisierung einer Blockkette
DE102018123463A1 (de) Personendatenbank
WO2017063803A1 (de) Verfahren und system zum schutz von vertraulichen elektronischen daten
EP1376383A2 (de) Verfahren zur Verarbeitung von Ein- und Ausgaben für statistische Analysen und Verfahren zur Bereinigung von Redundanzen
DE102012006457A1 (de) Verfahren zum Verschlüsseln von Daten auf einem Speichermedium
EP2182459B1 (de) Anordnung zum Protokollieren und Kontrollieren von Benutzungsvorgängen
DE102015004243A1 (de) Verfahren zur Verarbeitung von Datensätzen
DE102004013132B4 (de) Datenstruktur und Verfahren zur Erstellung und Speicherung einer Datei

Legal Events

Date Code Title Description
R230 Request for early publication
R081 Change of applicant/patentee

Owner name: DAIMLER TRUCK AG, DE

Free format text: FORMER OWNER: DAIMLER AG, STUTTGART, DE