Ach wie gut, dass niemand weiß…

Vom vertrackten Umgang mit anonymisierten Daten, und einer verblüffend einfachen Lösung.

Persönliche Daten sind eine sensible Sache. Wir alle möchten, dass sie nur zu dem Zweck genutzt werden, zu dem wir sie freiwillig zur Verfügung gestellt haben. Die rechtlichen Randbedingungen hierzu finden sich zum Beispiel im Bundesdatenschutzgesetz und in der Europäischen Datenschutzrichtlinie.

Für viele Unternehmen ergibt sich daraus ein Zwiespalt. Denn wer die gesetzlichen Vorgaben penibel erfüllt, kann sich genau dadurch empfindliche Probleme einhandeln. Oder er schafft es nur, indem er die Daten, um deren Schutz es geht, außer Haus gibt.

Hier einige Beispiele:

… für Vertrieb und Marketing

Ein Kunde widerspricht gegenüber einem Unternehmen der Nutzung seiner Daten, verlangt die Löschung aller persönlichen Daten und möchte nicht mehr angeschrieben werden. Diesem Wunsch muss das Unternehmen nachkommen. Allerdings bedeutet eine buchstäbliche Umsetzung, dass das Unternehmen die Information, dass der Kunde nicht mehr angeschrieben werden will, nicht speichern kann. Es kann also vorkommen, dass der Kunde künftig unerwünschte Post erhält. Ein Gegenmittel wäre, die Kundendaten in anonymisierter Form einer Sperrliste hinzuzufügen und diese vor künftigen Anschreiben zur Prüfung heranzuziehen. Mit heute üblichen Verfahren erfolgt diese Prüfung allerdings nicht fehlertolerant. Schon kleine Abweichungen der Schreibweise von Name oder Adresse führen dazu, dass der Kunde auf der Sperrliste nicht gefunden wird.

… bei der PEP- und Terrorismusprüfung

Gesetzliche Regelungen fordern die regelmäßige Überprüfung von Kreditoren und Debitoren gegen sogenannte Terror- und Sanktionslisten, sowie die Identifikation von politisch exponierten Personen (PEP). Für kleine und mittlere Unternehmen (KMU) stellt diese Verpflichtung ein Problem dar, weil sich die Beschaffung entsprechender Software nicht lohnt. Stattdessen können solche Unternehmen PEP- und Sanktionslistenprüfungen als Dienstleistung nutzen.

Aus Datenschutzgründen jedoch scheuen sich viele Unternehmen, ihre Kundendaten außer Haus zu geben. Die Alternative, nur anonymisierte Daten herauszugeben, ist wenig praktikabel, weil dabei meist keine fehlertolerante Überprüfung erfolgt. Genau das aber ist für Sanktionslisten wichtig, weil sie oft Schreib- und Übermittlungsfehler enthalten.

… aus der Forschung

Nehmen wir an, dass Daten zur selben Person in unterschiedlichen Datenbeständen vorliegen, z.B. in Ergebnissen medizinischer Studien. Die personenbezogene Verknüpfung dieser Datenbestände würde weitergehende Erkenntnisse ermöglichen, jedoch sind die Hürden dafür besonders in Deutschland sehr hoch. Ein datenschutzrechtlich akzeptiertes Verfahren für solche Fälle nutzt einem Treuhänder, der die zusammengehörenden Personendaten der verschiedenen Bestände ermittelt, an den Datennutzer jedoch nur in anonymisierter oder pseudonymisierter Form weitergibt. In diesem Fall müssen die Datengeber ihren Vertrauensbereich auf den Datentreuhänder ausdehnen. Ein noch weitergehender Schutz der Personendaten wird erreicht, wenn sie dem Datentreuhänder nur anonymisiert ausgehändigt werden. Die Ausdehnung des Vertrauensbereichs ist dabei nicht notwendig. Allerdings kann der Datentreuhänder dann mit heute üblichen Verfahren keinen fehlertoleranten Abgleich durchführen. Schon geringfügige Schreibfehler würden die gewünschten Erkenntnisse beim Abgleich der verschiedenen Datenbestände verhindern.

Die Lösung

Allen Beispielen ist gemeinsam, dass ein fehlertoleranter Datenabgleich hilfreich wäre, dieser jedoch aufgrund der geforderten Anonymisierung schwer möglich ist.

TOLERANT Software bietet ein Verfahren zum fehlertoleranten Abgleich anonymisierter Daten – selbst dann, wenn sie geringfügige Fehler enthalten. Personen werden also trotz Anonymisierung auch dann gefunden, wenn Abweichungen in der Schreibweise vorliegen.

Wir haben ein in der Literatur unter dem Stichwort »Privacy preserving record linkage« beschriebenes Verfahren in unser Produkt TOLERANT Match integriert, wo es nun neben anderen Abgleichsverfahren zur Verfügung steht. Nutzer von TOLERANT Match können zukünftig auf einfache Weise in einem Abgleich die anonymisierte Suche mit der nicht anonymisierten Suche verknüpfen, z.B. für Personendaten und weitere, weniger schützenswerte Informationen.

Neben der Integration in TOLERANT Match wurde für die Anonymisierung der Daten ein eigenständiges Werkzeug entwickelt. Dieses ermöglicht es einer Partei A (Datengeber), die Anonymisierung auszuführen und die so anonymisierten Daten einer Partei B zur weiteren Verarbeitung zu übergeben.

Alle oben beschriebenen Aufgabenstellungen lassen sich mit dem neuen Feature von TOLERANT Match so realisieren, dass persönliche Daten von Kunden, Patienten etc. nicht den Vertrauensbereich einer Organisation verlassen müssen, um gegen andere Datenbestände abgeglichen zu werden – und trotzdem können derartige Abgleiche nun fehlertolerant erfolgen.