Anonymisieren – Pseudonymisieren – Verschlüsseln
Seit die neue DS-GVO vor der Tür steht, stehen Sie schnell vor einem netten Begriffs-Wirrwarr. Insbesondere wenn Sie demnächst das richtige technische Verfahren zum Schutz der personenbezogene Daten in Ihrem Unternehmen einsetzen müssen. Deshalb wollen wir Ihrer Verwirrung ein Ende setzen und beschäftigen uns in unserer Serie zum Thema Datenschutz mit den Verfahren „Anonymisieren“, „Pseudonymisieren“ und „Verschlüsseln“. Denn Sie sollten wissen, welche Maßnahmen sich dahinter verbergen, damit Sie später das zur jeweiligen Anwendung passende technische Verfahren einsetzen können.
Anonymisieren
Sie kennen dieses Verfahren. Indem Sie beim Speichern wichtige Details weglassen, vermeiden Sie Rückschlüsse auf eine Einzelperson. Ein gutes Beispiel hierfür liefert „Piwik„. Dieses Werkzeug zur Website-Analyse ist auch nach neuen Datenschutz-Regeln legal, denn es erlaubt Ihnen einzustellen, wie viele und welche Nutzerdaten Sie auswerten wollen. Damit Sie alle wirklich wichtigen Informationen speichern und auswerten können, greift Piwik bei der Anonymisierung zu einem Trick. Es speichert nämlich nur den Teil der Benutzer-IP, der für die Feststellung der Region wichtig ist. Dazu genügen die ersten drei Ziffernblöcke vollkommen. Doch das letzte „Oktett“ setzt Piwik auf Null. Dadurch kann der Nutzer nicht mehr eindeutig festgestellt werden, und trotzdem dürfen Sie alle anderen Daten verwenden, die Ihnen bei der Website-Optimierung helfen.
Pseudonymisieren
Die Wirkungsweise eines Pseudonyms ist bekannt: Sie tauschen den realen Namen einfach durch einen erfundenen aus. Dadurch wissen nur Insider, welche Person sich hinter dem Pseudonym verbirgt. In der IT ersetzt ein Zufallsgenerator die personenbezogenen Daten durch einen automatisch erzeugten Code, so dass auch hier die originäre Person nicht mehr kannt wird. Der „Insider“ ist hier eine sogenannte Mastertabelle, welche Pseudonym und Klarname zuordnet.
Diese Tabelle müssen Sie natürlich gut schützen, damit niemand „aus Versehen“ auf die Originaldaten zugreift. Dies erreichen Sie am besten durch eine Verschlüsselung der Tabelle. So schützen Sie die personenbezogenen Daten doppelt.
Verschlüsseln
Das Gute am Verschlüsseln von Daten ist, dass Sie die Sicherheitsstufe selbst entscheiden können. Die Verwaltung eines Schlüsselsystems ist außerdem einfacher als die Pflege und der Schutz einer umfangreichen Tabelle. Denn hier passiert folgendes: Bei der Verschlüsselung kommt immer ein Schlüsselpaar zum Einsatz. Nach draußen geben Sie einen öffentlichen Schlüssel, den sogenannten „public key“. Dieser (und nur dieser!) passt exakt zu einem internen Schlüssel, dem „private key“.