Datenschutz: Privilegierte Datenverarbeitungsverfahren

Verfahren, die als technische und organisatorische Massnahmen anzuwenden sind.

Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Alle in der EU tätigen Firmen unabhängig ihres Firmensitzes unterstehen der Gesetzgebung bereits, der gesetzliche Nachvollzug in der Schweiz ist bereits in Arbeit. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.

Privilegierte Verfahren

Mit der Dokumentation der Technischen und Organisatorischen Massnahmen ("TOMs") wird zu einer Datenverarbeitung festgehalten, mit welchen Mitteln ein angemessener Schutz erzielt wird. Die Datenschutz-Grundverordnung bezeichnet dabei eine Reihe von Verfahren, welche rechtlich privilegiert - also falls möglich als Teil der technischen und organisatorischen Massnahmen anzuwenden - sind. Es sind dies:

  1. die Verwendung anonymisierter Daten,
  2. die Verwendung pseudonymisierter Daten,
  3. die Verwendung statistischer Daten,
  4. die Verwendung verschlüsselter Daten.

Diese Rangfolge ist nicht ganz linear zu interpretieren, denn es gibt natürlich Kombinationsmöglichkeiten. Im Folgenden gehen wir auf diese aufgezählten Verfahren aus dem Blickwinkel des Datenschutzes ein. Alle Verfahren sind in der Regel wesentlich schwieriger korrekt und sicher umzusetzen, als dies an der Oberfläche scheinen mag. Doch im Rahmen eines Artikels über den Datenschutz führen diese technischen Aspekte hier zu weit, weshalb wir hier einmal eine professionelle und fehlerfreie technische Umsetzung voraussetzen. (Wenn das nur bei der Realisierung auch so einfach ginge.

Anonymisierung

Anonymisierung ist der Vorgang aus einem Datenbestand diejenigen Merkmale zu entfernen, welche eine Zuweisung der geführten Daten zu bestimmten Personen ermöglichen. Dies ist dort, wo dies umgesetzt werden kann, ein grossartiges Verfahren. Denn Anonymisierung führt dazu, dass die Daten nicht mehr in Bezug zu einer Person stehen und daher nicht mehr unter die Bestimmungen des Datenschutzgesetzes fallen. Denn wie wir in Teil 1 dieser Artikelserie festgestellt haben unterstehen nur diejenigen Daten die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen dem Datenschutz, alles andere nicht.Nehmen wir an, wir erstellen eine Verbrechensstatistik. Dazu haben wir als Grundlage eine Liste aller Verbrechensfälle der letzten 10 Jahre. Die Anonymisierung des Täters zu seinem Schutz bedeutet nun, dass aus dieser Liste der Verbrechensfälle systematisch diejenigen Informationen entfernt werden, die ihn identifizierbar machen. Die erste, offensichtliche Massnahme ist es also, diejenigen Attribute aus dem Datenbestand zu löschen, die eine direkte Zuweisung zu einer Person ermöglichen. Dies könnten z.B. Name und Vornahme der Täter sein.Doch der Datenbestand ist damit noch nicht wirklich anonymisiert. Denn es bleibt zu prüfen, ob nicht noch eine indirekte Identifizierung möglich ist. Denn als anonymisiert gilt nur, wenn die Person auch unter Einsatz von erheblichem Aufwand keine Identifizierung möglich ist, so zum Beispiel unter Beizug weiterer Informationsquellen. Vielleicht erschienen Zeitungsartikel zur Tat, welche eine Zuordnung trotzdem wieder ermöglichen. Oder es könnten weitere - auf den erste Blick vielleicht unscheinbare - Informationen zum Täter gespeichert sein, aus deren Kombination sich der in Frage kommende Personenkreis in vielen Fällen wieder auf die Person einschränken lässt.Entsprechend ist eine unumkehrbare Anonymisierung meist nicht einfach umzusetzen oder aufgrund der Anforderungen gar unmöglich.

Pseudonymisierung

Unter Pseudonymisierung versteht man den Vorgang, Personen-identifizierende Merkmale aus Daten zu entfernen und diese separat zu speichern. Es handelt sich also um eine Art Teilanonymisierung. Dabei wird der Schlüssel zur Rückwandlung an einem separaten Ort aufbewahrt.Stellen wir dies am Beispiel aus dem Abschnitt Anonymisierung dar. Pseudonymisierung würde heissen, dass analog der Anonymisierung Name und Vornahme des Täters aus dem Datenbestand gelöscht würden. Dafür würde eine eindeutige Laufnummer eingesetzt. In einem zweiten Datenspeicher würde danach eine Übersetzungstabelle geführt, welche für jede Laufnummer den Namen und Vornamen aufführt. Diese Schlüsseltabelle ist danach separiert von den Daten zu speichern und besonders zu schützen.Pseudonymisierung ist damit nicht gleich wirkungsvoll wie die Anonymisierung. Doch der Aufwand zur Identifizierung von Personen steigt. Aus diesem Grund wird dieses Verfahren rechtlich privilegiert, wenn keine volle Anonymisierung möglich ist.

Statistische Daten

Unter statistischen Daten werden Datenaggregationen aus Einzelfalldaten verstanden. Um beim vorgängig genannten Beispiel der Verbrechensstatistik zu bleiben würde dies heissen, dass der Ausgangspunkt zur Nachführung von Daten zwar immer ein Einzelfall ist, konkret die Daten danach jedoch nur als eine Summe von Vorfällen gespeichert wird, z.B. die Anzahl Einbrüche pro Monat. Durch eine solche Aggregation entsteht ebenfalls eine Teilanonymisierung mit den gleichen Datenschutzrechtlichen Vorteilen. Hier bleibt zu beachten, dass bei geringen Fallzahlen die Summe eines einzelnen Falles in der Statistik halt ein Einzelfall bleibt. D.h. eine Identifizierung der Person wird potentiell wieder möglich.

Beispiel: Ungenügende Wahrung des Stimmgeheimnisses in Statistiken

Ein anschauliches Beispiel zu diesem Problem habe ich bei der Einführung eines E-Voting-Systems für Auslandschweizer erlebt, wobei dabei nicht nur die Datenschutzgesetzgebung sondern auch die Gesetze über die politischen Rechte tangiert waren. Bei einer Abstimmung oder Wahl ist das Stimmgeheimnis zu wahren, d.h. es darf nicht nachvollziehbar sein, wer seine Stimme welchem Kandidaten gegeben hat resp. wer welcher Vorlage zugestimmt hat oder nicht.

Die kommunalen Behörden sollten am Abstimmungssonntag die Stimmabgabe "ihrer Auslandschweizer" per E-Voting separat erfassen, damit die Öffentlichkeit - auch aufgrund der vielen Bedenken bezüglich Manipulationsmöglichkeiten - transparent über die Verwendung dieses Stimmkanals informiert werden konnte. In der Praxis stellte sich dann leider heraus, dass einzelne kleine Gemeinden so wenige registrierte Auslandschweizer haben, dass regelmässig nur einzelne Stimmen von Auslandschweizern überhaupt abgegeben wurde. Entsprechend konnte aus der Statistik teilweise direkt herausgelesen werden, wie der betreffende Auslandschweizer abgestimmt hatte. Gelöst wurde das Problem schlussendlich dadurch, diese Stimmen nicht mehr den Gemeinden anzurechnen, sondern einem separaten, gemeindeübergreifenden Stimmkreis für Auslandschweizer.

Verschlüsselung

Die Verschlüsselung von Daten ist eine Methode um den Schutz von Daten zu erhöhen. Daten sind in einem ersten Schritt normalerweise über Firewalls, Berechtigungskonzepten usw. vor dem Zugriff durch fremde Personen geschützt. Durch den Einsatz von Verschlüsselung lässt sich dieser Zugang noch gezielter auf nur wenige, bestimmte Personen weiter Einschränken. Insbesondere kann mit dem Einsatz von Verschlüsselung beispielsweise auch der Zugriff durch interne Systemadministratoren und anderes IT-Personal verhindert oder zumindest auf wenige Personen eingeschränkt werden. Gleichzeitig führt dies für potentielle Angreifer eine zusätzliche Sicherheitshürde ein, falls die anderen Schutzmassnahmen umgangen werden konnten.Jedes Verschlüsselungsverfahren ist jedoch nur so sicher, wie der oder die verwendeten Schlüssel und deren Aufbewahrung. Entsprechend schwierig ist es oft, einen wirklich effektiven Schutz zu erreichen. Denn bei "pragmatischer" Umsetzung entsteht oft primär das sogenannte Security-by-Obscurity, d.h. eine nette Beruhigungspille mit der Wirksamkeit von Plazebos. Man fühlt sich zwar besser, jedoch nicht wirklich wegen den Inhaltsstoffen.Die Verschlüsselung von Daten hat auch wesentliche Nachteile. Einerseits entsteht üblicherweise ein Performance-Verlust, d.h. alle Verarbeitungen werden zwingend länger und das System wird langsamer. Andererseits können auch Recovery-Szenarien zur Wiederherstellung eines Services nach einem Ausfall dadurch erschwert und verlangsamt werden.Aus Sicht des Datenschutzes ist die Verschlüsselung von so vielen Personendaten wie möglich eigentlich immer begrüssenswert. Aus Sicht der Kosteneffizienz, d.h. des effektiv erreichten zusätzlichen Schutzfaktors pro investiertes Kapital, geht die Rechnung jedoch oft nicht auf. Entsprechend wird Verschlüsselung meist sehr selektiv eingesetzt, dort wo damit wirklich erheblichen Risiken wirkungsvoll begegnet werden kann.

Also welches Verfahren wo anwenden?

Die vorgestellten, datenschutzrechtlich privilegierten Verfahren stellen einen Werkzeugkasten dar um den Schutz von Personen zu erhöhen. Alle sind wünschenswert, die vollständige Anonymisierung die ideale Lösung. Welche Verfahren einzusetzen sind, wird auf der Basis der Risikoabschätzung in der Datenschutz-Folgeabschätzung entschieden.

Unsere Artikelserie zum Thema

Über den Autor

Stefan Haller ist IT-Experte mit Spezialisierung auf Risikomanagement, Informationssicherheit und Datenschutz bei linkyard. Er unterstützt Unternehmen und Behörden bei der Risikoanalyse in Projekten, der Konzipierung und Umsetzung von Compliance-Vorgaben in Softwarelösungen sowie bei der Erstellung von IT-Sicherheits- und Berechtigungskonzepten. Er verfügt über eine Zertifizierung in Risk Management und hat über 10 Jahre als internal Auditor zahlreiche Sicherheitsaudits auf Basis des ISO-Standards 27001 durchgeführt.Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen? stefan.haller@linkyard.ch | +41 78 746 51 16

Wie können wir dir helfen?

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.