Anonymisierung/Pseudonymisierung von Protokolldaten

[Start]  [Zurück]  [Vorwärts]  

Um den gesetzlichen Bestimmungen zum Datenschutz zu genügen, wie Sie in einzelnen Datenschutzgesetzen festgelegt sind, bietet HAN eine Anonymisierungs- oder Pseudonymisierungsfunktion.

 

explain Für private Unternehmen gelten die Bestimmungen des Bundesdatenschutzgesetzes. Für Institutionen öffentlichen Rechts gelten verbindlich die jeweiligen Datenschutzgesetze der Bundesländer. Im gesamten EU-Raum gelten außerdem die Regelungen der europäischen Datenschutz-Grundverordnung.

 

Benutzerabhängige Felder der HAN Protokolldatenbank können anonymisiert oder pseudonymisiert werden:

Anonymisierung: Entfernen des persönlichen Bezugs ursprünglich personenbezogener Daten – Einzelangaben über persönliche oder sachliche Verhältnisse sind nicht mehr (oder nur mit einem unverhältnismäßig hohem Aufwand) bestimmten natürlichen Personen zuzuordnen.

Pseudonymisierung: Ersetzen des zentralen Identifikationsmerkmals (z.B. des Namens) durch ein Pseudonym – Einzelangaben über persönliche oder sachliche Verhältnisse sind ohne Verwendung der Zuordnungsfunktion nicht mehr oder nur mit unverhältnismäßig hohem Aufwand bestimmten natürlichen Personen zuzuordnen.

 

explain Je nach geltendem Datenschutzgesetz unterliegen Klardaten einem Verarbeitungsverbot, wenn Sie nicht zu dem Zweck verarbeitet werden, zu dem sie erhoben wurden. Damit würde eine statistische Auswertung unmöglich. Anonymisierte/pseudonymisierte Daten dürfen jedoch meist innerhalb einer Institution weitergegeben und -verarbeitet werden, z.B. zur statistischen Auswertung.

 

Die Anonymisierung/Pseudonymisierung ist konfigurierbar, d.h. Sie entscheiden, welche Methode Sie verwenden. Auch die genaue Ausgestaltung der Ano-/Pseudonymisierung ist konfigurierbar:

Felder können "leer" gesetzt oder auf einen definierten Wert geändert werden. Der ursprüngliche Wert wird ersetzt und geht unwiederbringlich verloren. (Anonymisierung):

Entfernen personenbezogener Informationen; der Teil, der den Benutzer kennzeichnet, z.B. die letzte Stelle einer IPv4-Netzwerkadresse, wird ersatzlos entfernt.

Ersetzen personenbezogener Daten durch einen alternativen Wert; der personenbezogene Teil des Datensatzes wird durch einen allgemeinen Wert ersetzt, z.B. einen Profilnamen.

 

Felder können teilweise oder ganz durch einen Hash-Wert ersetzt werden. Der ursprüngliche Wert wird verschlüsselt, kann aber später wieder hergestellt werden. (Pseudonymisierung)

 

Wenn Sie sich für eine Anonymisierung oder Pseudonymisierung der anfallenden Protokolldaten entscheiden, wird regelmäßig ein Ano-/Pseudonymisierungszyklus durchlaufen. Der Zeitpunkt hierfür ist konfigurierbar.

Die Konfiguration der Ano-/Pseudonymisierung erfolgt in den HAN Einstellungen, in der Sektion Global auf der Seite Datenschutz:

 

sett_anonym01

 

tip Eine Beschreibung aller Funktionen der Seite Datenschutz lesen Sie im Kapitel „Datenschutz".

 

Bevor Sie die Anonymisierung oder Pseudonymisierung nutzen können, müssen Sie Passwörter setzen. Klicken Sie die Schaltfläche Passwörter festlegen, um den Dialog Passwörter definieren zu öffnen.

Die Ano-/Pseudonymisierung ist nach dem Vier-Augen-Prinzip geschützt. Die Konfiguration erfordert zwei Passwörter, die für ein Höchstmaß an Sicherheit an zwei verschiedene Personen vergeben werden. Diese geben im Dialog Passwörter definieren jeweils ihr persönliches Passwort ein. Änderungen an der Konfiguration erfordern somit in Zukunft immer zwei Personen.

In den Protokolldaten gibt es zwei Variablen, die Rückschluss auf Personen zulassen: Name der Arbeitsstation (Computer) und Name des Benutzers (Benutzer). Der Stationsname kann als Name oder als IP-Adresse registriert werden, je nach Systemkonfiguration. Eine Anonymisierung oder Pseudonymisierung zielt also immer auf diese beiden Werte. Anonymisierung und Pseudonymisierung werden in der gleichen Tabelle konfiguriert. Ob Sie die Werte anonymisieren oder pseudonymisieren, entscheidet die definierte Regel. Die Feldbezeichner Computer und Benutzer sind bereits voreingestellt.

Pseudonymisierung verwenden

Bei der Pseudonymisierung werden Klardaten durch Hash-Werte ersetzt (verschlüsselt). Die Klardaten können bei Bedarf wieder hergestellt werden. Die Pseudonymisierung ist die Standardeinstellung. Um Daten zu pseudonymisieren, setzen Sie folgende Werte:

 

pseudom_conf_01

 

In der Spalte Feld sehen Sie, dass jeweils eine Regel für die Werte Benutzer und Computer definiert wurde. Unter Regel wurde definiert, dass die Regel für alle Einträge unter Computer und Benutzer gilt. Unter Umsetzung wurde die Variable $hash$ definiert. Diese sorgt dafür, dass der gesamte Wert in einen Hash-Wert umgewandelt wird. Die Variable $hash$ wird automatisch eingetragen, wenn Sie eine neue Regel erstellen.

Definieren Sie außerdem den Zeitraum, zu dem die Daten umgewandelt werden, indem Sie neben Anonymisierung/Pseudonymisierung der Protokolldaten nach (Tage) ein Intervall definieren:

 

pseudom_conf_02

 

tip Das Minimum-Intervall beträgt einen Tag.

 

Anonymisierung verwenden

Bei der Anonymisierung werden personenbezogene Daten derart verändert, dass der Personenbezug dauerhaft entfernt wird. Um den Personenbezug der Werte für Benutzer und Computer zu entfernen, verwenden Sie folgende Regeln:

 

anom_conf_01

 

Unter Umwandlung geben Sie die Variable $empty$ ein. Welche Variablen Sie verwenden können, lesen Sie im Abschnitt „Variablen".

 

tip Die Eingabe der Variablen unter Umwandlung erfolgt manuell, da in dieser Spalte auch komplexe Regeln definiert werden können, die z.B. nur einen Teil der Werte umwandeln oder eine Kombination aus Anonymisierung und Pseudonymisierung erzeugen. Beispiele für komplexe Regeln lesen Sie im Abschnitt „Komplexe Regeln erstellen".

 

Simulationsmodus

Der Simulationsmodus muss jedes Mal gestartet werden, wenn Sie Regeln der Umsetzung von Benutzer- oder Computernamen ändern. Da Änderungen der Protokolldaten nicht rückgängig gemacht werden können, schützt der Simulationsmodus Ihre Datenintegrität. Der Simulationsmodus verwendet Ihre vorhandenen Protokolldaten und setzt die Daten gemäß den von Ihnen gewählten Regeln um. Sie starten den Simulationsmodus über die Schaltfläche Simulation. Entspricht das Ergebnis Ihren Vorstellungen, können Sie die Ano-/Pseudonymisierung aktivieren. Entspricht das Ergebnis nicht Ihren Erwartungen, bearbeiten Sie die Regeln und starten erneut den Simulationsmodus.

 

warning Sie können die Ano-/Pseudonymisierung nicht aktivieren, bevor Sie nicht eine Simulation durchgeführt haben. HAN wird Sie darauf hinweisen, falls Sie vergessen, eine Simulation durchzuführen.

 

Variablen

$hash$ – Hashwert für den Benutzer oder Computer

$empty$ – Leer setzen

$user$ – Benutzerkennung, wie sie in der Datenbank steht

$computer$ – Stationskennung, wie sie in der Datenbank steht

$costid$ – Kostenstelle (HAN)

 

tip Eine Liste von Internen Funktionen zur Umwandlung von Zeichen (Strings) finden Sie im Kapitel „Anhang/Interne Funktionen zur Umwandlung von Strings".

 

Komplexe Regeln erstellen

Komplexe Regeln kombinieren mehrere Anonymisierungs- oder Pseudonymisierungsmethoden – sie kombinieren sogar Anonymisierung mit Pseudonymisierung. Da Sie die Regel für die Umwandlung eines Wertes manuell eintragen, erstellen Sie beliebig komplexe Regeln, die genau Ihren Bedürfnissen entsprechen.

Beispiel 1: Anonymisieren, Verwenden des Benutzerprofils

Um den Benutzernamen/Personenbezug zu entfernen, aber trotzdem statistisch auswertbare Daten zu erhalten, können Sie den Benutzernamen durch das Benutzerprofil ersetzen. In einem entsprechend konfigurierten Netzwerk können Sie so den Datenschutzgesetzen entsprechen und trotzdem eine detaillierte Nutzungsanalyse erstellen. Um einen Benutzernamen durch das Benutzerprofil zu ersetzen, geben Sie folgende Regel ein:

 

$userprofile$

 

Der Klartext-Benutzername wird unwiederbringlich durch das Benutzerprofil ersetzt.

Beispiel 2: Anonymisierung, personenbezogenen Teil der IPv4-Adresse entfernen

Werden Personen anhand der festen IPv4-Adresse Ihrer Arbeitsstation identifizierbar, reicht es in der Regel aus, den letzten Teil der Adresse zu entfernen. Um die letzte Stelle einer IPv4-Adresse zu entfernen, geben Sie folgende Regel ein:

 

HHSubStr($computer$,1,HHDec(HHReverseFind($computer$,.)))

 

Im Beispiel wird die letzte Stelle der IP-Adresse entfernt und zusätzlich auch der Punkt:

HHReverseFind durchsucht den Original-String von rechts nach links, und zwar bis zum ersten Punkt (HHReverseFind($computer$,.). Für eine IPv4-Adresse 192.168.100.100 wäre die Rückgabe 12.

HHDec verringert diesen Wert um 1, also auf 11.

HHSubStr liefert die gewünschten Werte aus dem Original-String, also HHSubStr(192.168.100.100,1,11) = 192.168.100.

 

Beispiel 3: Pseudonymisieren, Abteilung im Klartext

Um z.B. eine Abteilung oder Kostenstelle direkt erkennen zu können und trotzdem den Personenbezug zu verschlüsseln, geben Sie die folgende Regel ein:

 

HHSubStr($user$,1,3)$hash$

 

Das Beispiel geht davon aus, dass die Stellen eins bis drei des Benutzernamens die Abteilung oder Kostenstelle bezeichnen. Im Beispiel ist der Abteilungsname an den Benutzernamen gebunden ($user$). Je nach Netzwerkkonfiguration kann es sich dabei auch um den Namen einer Arbeitsstation handeln ($computer$). Tragen Sie die Regel in die entsprechende Zeile ein und verwenden Sie die entsprechende Variable. HHSubStr ist eine interne Funktion, die den gewünschten Wert aus dem Original-String ausliest und muss immer angegeben werden. ,1,3 kennzeichnet die erste und die letzte Stelle, die für die Umwandlung verwendet werden. Der Rest des Strings wird durch einen Hash-Wert ersetzt ($hash$). Mit dieser Regel wird der Klartext IT-JoSchmidt z.B. in IT-xyz123abc456 umgewandelt.