Diskussion:Anonymisierung und Pseudonymisierung

Dein Beispiel ist leider falsch. Eine Pseudonymisierung liegt vor, wenn ich Name und Anschrift der Kunden durch eine Kundennummer ersetze (nicht Geburtsdatum oder Initialen) und der Schlüssel hierfür (Zuordnung Kd.-Nr. zu Name) nicht zugänglich bzw. getrennt ist. Eine Anonymisierung ist dann erfolgt, wenn die Daten nicht mehr einer Person zugeordnet werden können, z.B. durch Vernichtung des Schlüssels oder durch Löschung der Kd-Nr. Ich bitte Dich, dies abzuändern. Harald 15:29, 21. Apr 2005 (CEST)

Habs umformuliert. Das Beispiel ist etwas unpraktisch. Auf den Bestellungen steht eben nur die Kundennummer als Schlüssel zur Verknüpfung mit dem Kundendatensatz. Und da die Kundennummer nicht richtig geheim ist habe ich die als Identifikator gesehen. Fällt Dir ein einfacheres Beispiel ein oder geht es so? --Siehe-auch-Löscher 16:10, 21. Apr 2005 (CEST)

Bin noch immer nicht ganz glücklich, mir fällt aber gerade auch nichts besseres ein... Jedenfalls Danke! Harald 11:23, 22. Apr 2005 (CEST)

Ich denke, das Problem an dem Beispiel ist, dass es sich an sich nicht um eine Pseudonymisierung im Sinne der Verschleierung der Identität handelt. Vielmehr ist die Kundennummer ja gerade zur Identifikation des Kunden da (ein Zeiger auf die Stammdaten), aber eben nicht zum Verbergen der Identität. Wenn wir bei Kunden bleiben, wäre vielleicht eine Auswertung über das Kunden-Kaufverhalten ein besseres Beispiel: Hier sollte natürlich vom Kunden als Person abstrahiert werden, die persönlichen Daten (und dazu zählt die Kundennummer auch!) also z.B. gegen einen eindeutigen Hashwert (Stichwort: Einwegverschlüsselung) ausgetauscht werden. Damit können immer noch alle Bestellungen einer Person einander zugeordnet werden, also das Kaufverhalten einer Person untersucht werden. Dieses Kaufprofil kann aber (dank der Einwegverschlüsselung) nicht mehr dem konkreten Kunden zugeordnet werden. Ähnliches bei statistischen Auswertungen, die auf Daten verschiedener Quellen angewiesen sind. Benutzen alle Quellen die gleiche Pseudonymisierung, können zusammengehörige Daten zusammen ausgewertet werden, aber nicht der Bezug zur echten Person hergestellt werden. (Wie Du ganz richtig schreibst, gilt das natürlich nur, wenn die Zuordnung Person->Pseudonym nicht als Schlüsseltabelle zugänglich ist)

Vielleicht kann man daraus ein besseres Beispiel machen? --Fatum 12:52, 21. Nov 2005 (CET)

Hab mich mal versucht, bin für Feedback hier auf dieser Seite dankbar! --Badenserbub 16:52, 1. Jul 2006 (CEST)

Hallo zusammen

Frage zur Anonymisierung anhand eines einfachen Beispiels: BankA kauft FirmaB für 111 Millionen Euro an Tag X. Mit diesem Wissen und einer anonymisierten Tabelle von Transaktionen dieses Tages X ist es mir unter Umständen möglich, den anonymisierten Datensatz zurückzuführen in die ursprünglich involvierten Firmen. Sobald mir dieser Schritt gelungen ist, kann ich unter anderem sagen, welches Transaktionsvolumen BankA und FirmaB an diesem Tag X hatten bzw. wenn mir diese Transaktionsdaten regelmässig zur Verfügung stehen, kann ich daraus noch ganz andere Kennzahlen ableiten (Umsatz bsp.). Daran wiederrum kann ich meine Rückschlüsse weiter prüfen da solche Zahlen oftmals offengelegt werden.

Von dem her kann man ja eigentlich nicht sagen, dass anonymisierte Daten per se nicht Rückschlüsse auf die (nat/jur) Person zulassen? Oder liege ich falsch und bediene mich eines Randbeispieles?

Grüsse
Joel (Der vorstehende, unsignierte Beitrag wurde um 2008-07-29T14:53:06, von 198.240.213.26 (Beiträge) erstellt. --Saibo (Δ) 20:07, 29. Jul. 2008 (CEST))[Beantworten]

Erste Antwort: Du musst zwischen Anonymisierung und Pseudonymisierung unterscheiden. In deinem Beispiel verwendest du Pseudonyme ("BankA", "FirmaB"). Grüße --Saibo (Δ) 20:07, 29. Jul. 2008 (CEST)[Beantworten]

Durch die Pseudonyme in deinem Bespiel hast du die Kontextinformation, dass mehrere verschiedene Transaktionen von der selben Person stammen. Dich interessiert vielleicht auch Folie 22 (Recognition Attack), "20070515Biometrics_and_FPD.pdf" in http://www.dzi.tu-darmstadt.de/uploads/media/2007PETsPart1_02.zip (von http://www.dzi.tu-darmstadt.de/de/aktuelles/aktuelles_details/ artikel/1193914065/?tx_ttnews%5Bswords%5D=privacy%20enhancing%202007&cHash=93d650e5cd). Viele Grüße --Saibo (Δ) 20:26, 29. Jul. 2008 (CEST)[Beantworten]

Hallo Saido & vielen Dank für dein Feedback

Sprich in einem Transaktions-Datensatz (Peer1, Peer2, Datum, Volumen) dürften nur die Felder Datum und Volumen verwendet werden? Denn sobald ich anfange Bezeichner für Peer1 und Peer2 zu synthetisieren stimmt ja die Konsistenz des Datensatzes nicht mehr (beispielsweise Kenngrössen wie Anzahl Transaktionen pro Peer können sich auf einmal marginal unterscheiden)?

Ich vermute mal in der "wirklichen Welt" kommt vorallem Pseudonymisierung zum Einsatz und wird als Anonymisierung verkauft *grummel*. Ein sehr interessantes Thema! Die von dir verlinkten Dokumente schau ich mir auf alle Fälle mal an, auch wenn sie wahrscheinlich etwas zu akademisch sind für mich :). - Joel (ja sollt mir mal ein Login besorgen)

Was verwendet werden "dürfte", kommt darauf an, was du sicherstellen willst. Ich würde sagen, auch wenn ich darüber nicht sehr lange nachgedacht habe und meine Einarbeitung in das Themengebiet nicht mehr ganz frisch ist, dass wenn du Anonymität willst, der Datensatz auf (Datum, Volumen) reduziert werden müsste. Aber nagel mich jetzt nicht fest ;) ... Es könnte nämlich auch der Fall eintreten, dass bereits dieser reduzierte Datensatz zu viel ist. Wenn der Angreifer nämlich beispielsweise umfangreiche Zusatzinformationen hat (wer war wann online, oder wer hat wann wieviel volumen verbraucht).

Habe gerade in unserem Artikel einen guten Literaturweblink (u.a. von Andreas Pfitzmann, TU Dresden) gefunden: http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf . Abschnitt "11.2 Linkability due to the use of a pseudonym in different contexts" (Seite 25) beschreibt genau dein Problem der Verknüpfbarkeit (Linkability) von Datensätzen.

Ich würde sagen, in der "wirklichen Welt" sind Begriffe auch nicht immer klar definiert und daher die Aussagen nicht ganz klar. Viele Grüße --Saibo (Δ) 21:20, 30. Jul. 2008 (CEST) PS Du kannst, auch wenn du hier nicht angemeldet bist – was allerdings sehr zu empfehlen wäre, und somit kein Pseudonym in Namensform hast, mit -- ~~~~ unterschreiben.[Beantworten]

Hallo zusammen.

Der Vorgang der bei Wahlen oft passiert, könnte evtl als Beispiel für Anonymisierung dienen. Identität und Wahlzettel weden nach der Wahl dauerhaft voneinander getrennt und können nicht wieder zusammegebracht werden. (nicht signierter Beitrag von 155.56.68.216 (Diskussion 14:34, 15. Jun. 2010 (CEST)) [Beantworten]

Ja, ein gutes Beispiel. --Zulu55 14:57, 15. Jun. 2010 (CEST)[Beantworten]

ein verdummend ungeeignetes Beispiel, weil es genau nur zu diesem einen Punkt zutrifft. Und seit 20 Jahren z.B. von Werbe-manipulier Lüügle Unmengen an Daten über jeden (bei marode fehlendem Juristen?Recht.Staat'en) erhoben und gesammelt werden.
z.B. seit 2005 Vorwurf der Wählermanipulation: Post verkaufte Kundendaten an CDU und FDP

Ich halte das Beispiel mit dem Professor für ungeeignet und unzulässig. Ein selbstgewähltes Pseudonym kann Rückschlüsse auf die Person erlauben, wenn die Teilnehmer in der Gruppe sich persönlich kennen. --Fmrauch (Diskussion) 13:23, 30. Aug. 2015 (CEST)[Beantworten]

Die Verweise auf das BDSG sind veraltet.

Einige Begriffe habe ich in den Fließtext eingearbeitet, einige waren dort ohnehin schon vorhanden. Drei Begriffe habe ich entfernt, weil sie spezielle Unterthemen beinhalten, die nach WP:Assoziative Verweise in solchen Abschnitten unerwünscht sind. (Erwünscht sind übergeordnete und/oder selbsterklärende Begriffe.) Als letzten dieser Begriffe entferne ich auch diesen hier, ebenfalls ein spezielles Unterthema, bei dem mir allerdings nicht ganz klar ist, in welchem Kontext sich dieser in den Fließtext einbauen lässt. Dies hier zur Erinnerung, falls es jemand für sinnvoll hält, ihn in den Fließtext zu integrieren (als Siehe-auch-Link jedenfalls ungeeignet). --H7 ^{(Mid am Nämbercher redn!)} 09:39, 20. Jun. 2019 (CEST)[Beantworten]

Wie sehen die aktuellen gesetzlichen Regelungen in der EU bzw. in Deutschland aus? Welche Voraussetzungen gibt es, um eine vollständige Anonymisierung behaupten zu dürfen?

Kann ein (evtl. unfreiwilliger) Teilnehmer einer Datenerhebung einer bestimmten Bevölkerungsgruppe die Löschung seiner ursprünglich vollständig erhobenen Daten verlangen, auch wenn diese (teil-)anonymisiert sind?

Ist eine Liste "Realname - Token" und ersetzung aller persönlichen Angaben durch dieses Token als alleinige Anonymisierungsmaßnahme zulässig, d.h. mit der Möglichkeit, die erhobenen Daten jederzeit de-anonymisieren zu können? --Ghettobuoy (Diskussion) 19:34, 22. Aug. 2019 (CEST)[Beantworten]

Der Wikipedia-Artikel ist nicht atomar, wie es von einer Enzyklopädie gefordert wird. Es sollte einen Artikel über Anonymisierung und einen anderen Artikel über Pseudonymisierung geben. Keine Ahnung warum man solch einen Artikel überhaupt bei der Anlage akzeptiert hat. (nicht signierter Beitrag von 62.23.239.123 (Diskussion) 10:22, 23. Feb. 2022 (CET))[Beantworten]