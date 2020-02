Inhaltsverzeichnis k-Anonymität: Wie man Daten richtig anonymisiert k-Anonymität k-Anonymität und Gruppen Artikel in c't 5/2020 lesen

Daten zu anonymisieren scheint trivial: Damit man Personen nicht identifizieren kann, entferne man schlicht Angaben wie Namen, Ausweisnummern et cetera aus dem Datensatz. Das reicht aber in der Regel nicht aus, denn in den verbleibenden Informationen finden sich mitunter Kombinationen, die sich weiterhin Individuen zuordnen lassen. Die US-Wissenschaftlerin Latanya Sweeney zeigte zum Beispiel, dass sich über die Kombination von Postleitzahl, Geburtsdatum und Geschlecht ungefähr 87 Prozent aller US-Amerikaner eindeutig identifizieren lassen – ganz ohne Namen.

Das ist ein Problem. Denn über solche identifizierenden Kombinationen lassen sich mitunter zwei oder mehrere Datensätze so miteinander verknüpfen, dass die Anonymisierung versagt. Sweeney etwa kombinierte öffentlich zugängliche Krankenversicherungsdaten, die vermeintlich anonymisiert worden waren, mit einem Wählerverzeichnis, das für 20 Dollar frei erhältlich war. Postleitzahl, Geburtsdatum und Geschlecht fanden sich in beiden Datensätzen. Man nennt solche Gruppen von Merkmalen, über die sich Datensätze miteinander verknüpfen lassen, Quasi-Identifizierer (QI). Sweeney konnte darüber einen kombinierten Datensatz erstellen: Das Wählerverzeichnis steuerte die Namen bei, die Versicherungsdaten die zugehörigen Erkrankungen. Die Zuordnung geschah über Postleitzahl, Geburtsdatum und Geschlecht. Dadurch fand Sweeney beispielsweise Diagnosen und Behandlungen des damaligen Gouverneurs von Massachusetts heraus.

In vielen Staaten der USA lassen sich Wählerverzeichnisse kaufen. Alter, Geschlecht, Ethnie und viele weitere Informationen für unter 100 Dollar. Über so detaillierte Informationen lassen sich schlecht anonymisierte Datensätze oft wieder Individuen zuordnen.

Wie lässt sich ein solches Szenario verhindern? Es ist schließlich kaum zu vermeiden, dass jemand veröffentlichte Daten mit anderen Datensätzen kombiniert. Sämtliche Spalten zu entfernen, die QIs bilden, ist meist keine praktikable Idee. Der Datensatz wäre dann zwar anonym und ließe sich nicht mehr mit anderen Daten korrelieren. Er wäre häufig aber auch wertlos, weil zu viele relevante Informationen fehlen.