Matthias K.
Pseudonymisierung als Kompromiss zwischen Datenschutz und Auswertbarkeit
Sind Sie in einem Unternehmen tätig, haben zumindest indirekt mit Endkunden zu tun und haben Interesse daran, Überblick über Kundenbasis und Geschäftstätigkeit zu behalten? Dann sind Sie in den letzten Jahren bestimmt schon mal mit der Datenschutzgrundverordnung (DSGVO) konfrontiert worden und haben feststellen müssen, dass das mit den personenbezogenen Daten schnell mal kompliziert werden kann. Vom Gesetzgeber werden gute Gründe für die langfristige Aufbewahrung von Kundendaten gefordert, die dann auch noch besonders sorgfältig geschützt werden müssen, und auf Verstoße stehen beträchtliche Strafen. Das kann schnell mal davor abschrecken, Kundendaten überhaupt langfristig aufzubewahren – auf die Erkenntnisse, die man daraus gewinnen kann, möchte man dann aber auch nicht verzichten.
In diesem Dilemma kommt Ihnen die Pseudonymisierung zu Hilfe. Durch verschiedenste Möglichkeiten in der Datenaufbereitung kann erreicht werden, dass persönliche Kundendaten nicht mehr mit Ihren Kunden verknüpft werden können – während Sie gleichzeitig keine Qualitätseinbußen bei Auswertungen und Reports fürchten müssen.
Anforderungen und Stolpersteine
Hieb- und stichfeste Pseudonymisierung muss den Spagat zwischen Datenschutz und Auswertbarkeit schaffen – sie muss gewährleisten, dass alles was zu einem Kunden gespeichert wird, auch eindeutig zueinander in Verbindung gesetzt werden kann. Bei Bestellungen beispielsweise muss man weiterhin ablesen können, ob 2 Bestellungen vom gleichen Kunden stammen oder von 2 verschiedenen – auch wenn man nicht mehr sagen kann, wer diese Kunden waren. Man muss also darauf achten, dass jeder Kunde ein eigenes Pseudonym zugeteilt bekommt, und keine 2 Kunden das gleiche Pseudonym erhalten können.
Gleichzeitig muss Pseudonymisierung effektiv verhindern, dass irgendjemand aus den vorliegenden Daten Rückschlüsse auf einen Ihrer Kunden ziehen kann, selbst wenn die Daten in die Hände Dritter fallen sollten. Dazu reicht es leider nicht aus, lediglich Namen mit Pseudonymen zu ersetzen und genaue Adressen wegzulassen. Haben Sie beispielsweise nur eine einzige 30-jährige, weibliche Kundin aus Hamburg, so könnte diese ohne weitere Maßnahmen auch mit Pseudonym eindeutig in Ihren Daten erkennbar sein.
Allgemeine Vorarbeiten – Generalisierung und Zurückhaltung
Um also zu verhindern, dass Sie trotz Pseudonymisierung einzelne Kunden exponieren, müssen Ihre Daten vor der eigentlichen Pseudonymisierung noch vorbereitet werden, beispielsweise durch Generalisierung und Zurückhaltung. So können Sie zum Beispiel anstelle des genauen Alters lediglich eine Alterskohorte wie „20-30-jährige“ speichern – vorausgesetzt das genaue Alter wird in Ihren Auswertungen und Reports nicht benötigt. Sollten Sie einzelne Kunden mit so speziellen persönlichen Daten haben, dass sich diese nicht generalisieren lassen, können Sie sich auch entscheiden, diese nicht in die pseudonymisierten Daten aufzunehmen.
Pseudonyme generieren
Wenn es dann an die Generierung der tatsächlichen Pseudonyme geht, stehen Ihnen einige Möglichkeiten zur Verfügung. Die zentrale Unterscheidung zwischen ihnen ist, ob Sie die Möglichkeit haben wollen, die Pseudonymisierung bei Bedarf wieder rückführen zu können.
Variante A – Hashing
Bei dieser Variante wenden Sie auf die Werte, die pseudonymisiert werden sollen, einen Hashing-Algorithmus wie beispielsweise SHA-512 an. Der Vorteil: Bei dieser Variante ist es mathematisch ausgeschlossen, dass irgendjemand die Pseudonyme rückrechnen kann – Sie können Ihre Daten also beruhigt ohne erhöhte Sicherheitsmaßnahmen halten. Die Kehrseite dessen ist, dass auch Sie selbst ohne die Originaldaten keine Möglichkeit haben, die Pseudonymisierung rückzurechnen.
Variante B – Verschlüsselung
Diese Variante ist sehr ähnlich zum Hashing, nur dass anstatt eines Hashing-Algorithmus ein Verschlüsselungsalgorithmus wie AES oder RSA zum Einsatz kommt. Diese Algorithmen arbeiten mit kryptografischen Schlüsseln, die es Ihnen ermöglichen, die Pseudonyme bei Bedarf auch wieder zu entschlüsseln. Nachteil: Es muss eben so ein kryptografischer Schlüssel existieren, den Sie mit erhöhter Sicherheitsstufe verwahren müssen. Diese Variante ist nur so gut, wie es der Schutz des Schlüssels ist.
Variante C – Lookup-Tabelle
Einen anderen Ansatz bieten Lookup-Tabellen. Hier schaffen Sie eine neue Tabelle, in der zu jedem Wert, der pseudonymisiert werden soll, einfach das Pseudonym abgelegt wird. Vorteil: Sie sind frei in der Art und Weise, wie Sie Pseudonyme generieren wollen, und können die Pseudonymisierung jederzeit auf einfache Weise rückführen. Die Schwachstelle dieses Verfahrens ist die Lookup-Tabelle, die Sie analog zur Verschlüsselung mit erhöhter Sicherheitsstufe verwahren müssen.
Fazit
Pseudonymisierung bietet eine gute Möglichkeit, Ihnen im Umgang mit personenbezogenen Daten Sicherheit zu verschaffen, ohne dass Ihnen dadurch Nachteile in Ihrem Geschäftsalltag entstehen. Die Möglichkeiten sind vielfältig, so dass sich zu jedem Anwendungsfall die richtige Pseudonymisierung finden lässt. Lassen Sie sich von erfahrenen Datenspezialisten beraten und finden Sie die passende Lösung für einen sicheren und sorgenfreien Umgang mit Ihren Kundendaten!
