k-Anonymität: Wie man Daten richtig anonymisiert

Beim Anonymisieren von Datensätzen passieren oft Fehler. Deshalb setzen Forscher auf die sogenannte k-Anonymität, die eine eindeutige Zuordnung verhindern soll.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 11 Beiträge

(Bild: Michael Luther)

Von

Inhaltsverzeichnis

Daten zu anonymisieren scheint trivial: Damit man Personen nicht identifizieren kann, entferne man schlicht Angaben wie Namen, Ausweisnummern et cetera aus dem Datensatz. Das reicht aber in der Regel nicht aus, denn in den verbleibenden Informationen finden sich mitunter Kombinationen, die sich weiterhin Individuen zuordnen lassen. Die US-Wissenschaftlerin Latanya Sweeney zeigte zum Beispiel, dass sich über die Kombination von Postleitzahl, Geburtsdatum und Geschlecht ungefähr 87 Prozent aller US-Amerikaner eindeutig identifizieren lassen – ganz ohne Namen.

Das ist ein Problem. Denn über solche identifizierenden Kombinationen lassen sich mitunter zwei oder mehrere Datensätze so miteinander verknüpfen, dass die Anonymisierung versagt. Sweeney etwa kombinierte öffentlich zugängliche Krankenversicherungsdaten, die vermeintlich anonymisiert worden waren, mit einem Wählerverzeichnis, das für 20 Dollar frei erhältlich war. Postleitzahl, Geburtsdatum und Geschlecht fanden sich in beiden Datensätzen. Man nennt solche Gruppen von Merkmalen, über die sich Datensätze miteinander verknüpfen lassen, Quasi-Identifizierer (QI). Sweeney konnte darüber einen kombinierten Datensatz erstellen: Das Wählerverzeichnis steuerte die Namen bei, die Versicherungsdaten die zugehörigen Erkrankungen. Die Zuordnung geschah über Postleitzahl, Geburtsdatum und Geschlecht. Dadurch fand Sweeney beispielsweise Diagnosen und Behandlungen des damaligen Gouverneurs von Massachusetts heraus.

In vielen Staaten der USA lassen sich Wählerverzeichnisse kaufen. Alter, Geschlecht, Ethnie und viele weitere Informationen für unter 100 Dollar. Über so detaillierte Informationen lassen sich schlecht anonymisierte Datensätze oft wieder Individuen zuordnen.

Wie lässt sich ein solches Szenario verhindern? Es ist schließlich kaum zu vermeiden, dass jemand veröffentlichte Daten mit anderen Datensätzen kombiniert. Sämtliche Spalten zu entfernen, die QIs bilden, ist meist keine praktikable Idee. Der Datensatz wäre dann zwar anonym und ließe sich nicht mehr mit anderen Daten korrelieren. Er wäre häufig aber auch wertlos, weil zu viele relevante Informationen fehlen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+