Thomas Herrmann

Datenschutz 99

29.11.99 1

Kapitel 3: Datenschutz im öffentlichenBereich

• Große zentrale Register (> 5 Mio. Einträge)

• Bundeszentralregister (Führungszeugnis)• Personalausweisregister• Stammsatzdatei für sämtliche vergebene Sozial-• Versicherungsnummern• Ausländerzentralregister• Wehrersatzwesen - Informationssystem (WEWIS)

• DDR - zentrales Einwohnerregister + Personenkennzeichen

(siehe BfD-Info 2 und Info 3)

Thomas Herrmann

Datenschutz 99

29.11.99 2

Zentrale Register II

• ZVS

• Händlerregister (z.B. alle VW - Besitzer)

• ZeVIS - zentrales Verkehrsinformationssystem(Zugriff der Polizei)

• Schufa (Schutzvereinigung der Banken, 42 Mio. Einträge)

• GEZ - zentrale Sammlung in Köln

Thomas Herrmann

Datenschutz 99

29.11.99 3

Große verteilte Register

• Melderegister

• Handelsregister

• Krankenkassen Mitgliederregister

• Rentenversicherungen der Arbeiter

• Versorgungsunternehmen

• Gebührendateien der Telekom

Thomas Herrmann

Datenschutz 99

29.11.99 4

Inhalt des Bundeszentralregisters

Einträge:

+ strafgerichtliche Verurteilung

+ Entmündigungen

+ Entscheidungen von Verwaltungsgerichten und Behörden

+ Vermerke über Schuldunfähigkeit

+ gerichtliche Feststellungen

+ nachträgliche Entscheidungen und Tatsachen

- Personendaten

- entscheidende Stelle

- Tag der letzten Tat

- Tag der Rechtskraft

- rechtl. Bezeichnung der Tat

- alle Haupt- und Nebenstrafen

Thomas Herrmann

Datenschutz 99

29.11.99 5

Melderegister

1 Namen, Doktorgrad, Geburtsdatum, -ort; Geschlecht,

Familienstand, gegenwärtige Anschrift

• Erwerbstätigkeit (ja/ nein), steuerrechtliche Daten• gesetzliche Vertreter (s. 1 + Sterbetag)• Kinder• Ehegatte• Staatsangehörigkeit, Religion• Tag des Ein- und Auszugs, frühere Anschriften, Haupt- und

Nebenwohnung• Übermittlungssperren• Austellung von Paß, Ausweis• Ausschluß von Wahlrecht, Paßversagungsgründe• Wehr- oder Zivildienstüberwachung• ...

Thomas Herrmann

Datenschutz 99

29.11.99 6

Abfragen bei ZeVIS

H Daten des Halters (Name, Anschrift,Geburtsort)

K Angaben zum Kraftfahrzeug

A Auswahl von Kraftfahrzeugen anhand einzelner Merkmale

F Negativabfrage zu Fahrerlaubnis anhand von Name und Geb. - Datum

P sämtliche personenbezogenen Daten zu einem Namen oder Fahrzeug

Thomas Herrmann

Datenschutz 99

29.11.99 7

Personenkennzeichen

Ein zentrales Personenkennzeichen für alle Bundesbürger soll es nicht geben!

Aber: Personalausweisnummer (automatisch erschließbar)

• Name, Geb-Datum , Behördenkennzahl, 5 stellige Nr.• Einschränkung der Verwendung für Dateienerschließung

UND: Sozialversicherungsnummer

2-stellige Bereichsnr.Geburtsdatum + 1. Buchstabe des Geburtsnamens+ 3 Ziffern zur Gewährleistung der Eindeutigkeit

Thomas Herrmann

Datenschutz 99

29.11.99 8

Zugriffsmöglichkeiten mit der Sozialversicherungsnummer

Leistungen nachSGB

Sozialverwaltung

Sozialversicherung

KV RV UVArbeits-verwal-

tung

Sozial-hilfe

Staatl.Stellen

Sozial-Vers.-

nummerzugreifen

Thomas Herrmann

Datenschutz 99

29.11.99 9

Statistiken

Quantitative Darstellung von Grob- und Feinstrukturen, die über die Betrachtung von Einzelfällen hinausgeht

• Relative oder absolute Angabe des Anteils einzelner Gegebenheiten mit gleichen Eigenschaftenunter Bezugnahme auf eine Gesamtheit

• statistische Auswertungen vermitteln Rangfolgen und quantitative Zusammenhänge

Thomas Herrmann

Datenschutz 99

29.11.99 10

Dateien mit Einzelfällen alsGrundlage für Statistiken

z.B. Volkszählung

• Miet/ Eigentumsverhältnis bzgl. der Wohnung

• Bezugsdatum

• Ausstattung der Wohnung

• Heizart

• Zahl der Räume (>6 qm)

• Wohnfläche

• Miethöhe

• Art der Wohnung

• ...

Person

• Geburtshalbjahr

• Geschlecht

• Familienstand

• Religion

• Staatsangehörigkeit

• Erwerbstätigkeit

• Ausbildung

• Verkehrsmittel

• ...

Um Statistiken erzeugen zu können, führt man eine Erhebung der Gesamtheit der Einzelfälle durch und speichert das Ergebnis anonym ab.

Thomas Herrmann

Datenschutz 99

29.11.99 11

Beispiel für eine StatistikdateiBeispielTabelle 1a: SDB mit N = 13 Studenten

Name Geschlecht Hauptfach Jahrgang ND SAT

Allen Weiblich Chemie 1980 3.4 600Baker Weiblich Englisch 1980 2.5 520Cook MännlichEnglisch 1978 3.5 630Davis Weiblich Chemie 1978 4.0 800Evans MännlichBiologie 1979 2.2 500Frank MännlichEnglisch 1981 3.0 580Good MännlichChemie 1978 3.8 700Hall Weiblich Kunst 1979 2.8 580Iles MännlichChemie 1981 3.2 600Jones Weiblich Biologie 1979 3.8 750Kline Weiblich Kunst 1981 2.5 500Lane MännlichEnglisch 1978 3.0 600Moore MännlichChemie 1979 3.5 650

ND = Notendurchschnitt SAT = Schüler Eignungsprüfung

Thomas Herrmann

Datenschutz 99

29.11.99 12

Beispiel für eine Statistikdatei

Name Geschlecht Hauptfach Jahrgang ND SATAllen weiblich Chemie 1980 3.4 600Baker weiblich Englisch 1980 2.5 520Cook männlich Englisch 1978 3.5 630Davis weiblich Chemie 1978 4.0 800Evens männlich Biologie 1979 2.2 500Frank männlich Englisch 1981 3.0 580Good männlich Chemie 1978 3.8 700Hall weiblich Kunst 1979 2.8 580Iles männlich Chemie 1981 3.2 600Jones weiblich Biologie 1979 3.8 750Kline weiblich Kunst 1981 2.5 500Lane männlich Englisch 1978 3.0 600More männlich Chemie 1979 3.5 650

Beispiel Tabelle 1a: SDB mit N=13 Studenten

Notendurchschnittder männlichen

Biologie-studenten = 2.2

(n=1)

Notendurchschnittder Biologie-studenten = 3

(n=2);der weibl.

Kunst und Bio-Stud. =3,33 (n=3);

der weibl. Kunststud. =2,65

(n=2);

Thomas Herrmann

Datenschutz 99

29.11.99 13

Deanonymisierungsaktivität

Prinzip der DeanonymisierungAngreifer

Einer ausge-wählten Person

Pi möglichstviele Eigen-schaften xi

zuordnen

zu einerEigenschaftxi möglichst

viele Pi

finden

prüfen, obfür Pi xi

gilt

einer beliebigenPerson eine be-liebige Eigen-

schaft xi

zuordnen

beliebigenPerson

Pi beliebigeEigenschaften

xi zuordnen

Ausreißeraufspüren

Zuordnungsver-suche mittels

Ei

entspricht ge-fundene SP dem

Interesse?

ja

Muß SPin YY

enthaltensein?

allgemeines Zusatz-wissen

Anonyme Datei XX

Datensatz einer statistischen Person SP

Eigenschaft xi

vergleichb. Eigenschaft Ei

NN

Identifkationsfile YY

Datensatz zu einer Person

vergleichb. Eigenschaft Ei

Zusatzwissen ZiN

N

Treffer

ja

Thomas Herrmann

Datenschutz 99

29.11.99 14

Mögliche Ergebnisse derZuordnung

Annahme: XX ist Teilmenge von YY

a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann Zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu

YY ist Teilmenge von XX

a) Fehlerb und c) Falls zx für "m, dann trifft Xi für alle gefundenen Personen zu

DatensatzausXX;

anonym

interessanteEigenschaft xi

zx

1

interessantePerson

DatensatzausYY

interessantesZusatzwissen Zi

zy

1

n

m

m

a

b

c

m

n

m

m > n

11

Thomas Herrmann

Datenschutz 99

29.11.99 15

DatensatzausXX;

anonym

interessanteEigenschaft xi

zx

1

interessantePerson

DatensatzausYY

interessantesZusatzwissen Zi

zy

1

n

m

m

a

b

c

m

n

m

m > n

11

Mögliche Ergebnisse derZuordnung

Annahme: XX ist Teilmenge von YY

a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu

YY ist Teilmenge von XX

a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu

A) 5 Personen aus XX sind >2m (Ei), 10 Personen aus YY sind >2m und alle sind verheiratet (Zi)--> alle 5 Personen aus XX sind verheiratet

Thomas Herrmann

Datenschutz 99

29.11.99 16

DatensatzausXX;

anonym

interessanteEigenschaft xi

zx

1

interessantePerson

DatensatzausYY

interessantesZusatzwissen Zi

zy

1

n

m

m

a

b

c

m

n

m

m > n

11

Mögliche Ergebnisse derZuordnung

Annahme: XX ist Teilmenge von YY

a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu

YY ist Teilmenge von XX

a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu

B) 5 Personen aus XX sind >2m (Ei), 3 Personen aus YY sind >2m--> geht nicht, da alle Personenn aus XX in YY repräsentiert sein müssen

Thomas Herrmann

Datenschutz 99

29.11.99 17

DatensatzausXX;

anonym

interessanteEigenschaft xi

zx

1

interessantePerson

DatensatzausYY

interessantesZusatzwissen Zi

zy

1

n

m

m

a

b

c

m

n

m

m > n

11

Mögliche Ergebnisse derZuordnung

Annahme: XX ist Teilmenge von YY

a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu

YY ist Teilmenge von XX

a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu

C) 5 Personen aus XX sind >2m (Ei) und haben 3 Kinder (Xi), 5 Personen aus YY sind >2m (Ei) --> die gefundenen Personen aus YY haben jeweils drei Kinder

Thomas Herrmann

Datenschutz 99

29.11.99 18

DatensatzausXX;

anonym

interessanteEigenschaft xi

zx

1

interessantePerson

DatensatzausYY

interessantesZusatzwissen Zi

zy

1

n

m

m

a

b

c

m

n

m

m > n

11

Mögliche Ergebnisse derZuordnung

Annahme: XX ist Teilmenge von YY

a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu

YY ist Teilmenge von XX

a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu

A) 5 Personen aus XX sind >2m (Ei) und haben 3 Kinder (Xi), 10 Personen aus YY sind >2m (Ei) --> nicht möglich, da alle Personen aus YY in XX repräsentiert sind

Thomas Herrmann

Datenschutz 99

29.11.99 19

DatensatzausXX;

anonym

interessanteEigenschaft xi

zx

1

interessantePerson

DatensatzausYY

interessantesZusatzwissen Zi

zy

1

n

m

m

a

b

c

m

n

m

m > n

11

Mögliche Ergebnisse derZuordnung

Annahme: XX ist Teilmenge von YY

a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu

YY ist Teilmenge von XX

a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu

B) 5 Personen aus XX sind >2m (Ei) und haben 3 Kinder (Xi), 5 oder 3 Personen aus YY sind >2m (Ei) --> alle Personen aus YY haben drei Kinder

Thomas Herrmann

Datenschutz 99

29.11.99 20

Begünstigung der Deanonymisierung

• Ausreißer - z.B.– Man weiß, daß es nur 1 Person mit einer bestimmten

Merkmalsausprägung gibt

– ... daß es eine Person mit einer solchen Ausprägung gibt (eine städtische Statistik weist 0 Andoraner aus => der andoranische Nachbar ist nicht gemeldet)

• Ausgaben zu Anfragen erlauben auch kleine Stichproben

• Beliebig viele Anfragen

• Verfügbarkeit großer, nicht-anonymisierter Register

Thomas Herrmann

Datenschutz 99

29.11.99 21

Deanonymisierungsbeispielanhand einer Unfallstatistik Datei

1) Journalist will beweisen, daß Reidentifikation gelingt (ein Fall genügt).

2) Fährt P vielleicht in betrunkenem Zustand?

3) Bei Unfällen prüfen, ob ein Mitarbeiter betroffen ist.

A PKW - Unfälle Statistikdatei

KFZ-Daten TypFarbeBaujahr

Unfall-Daten UrsacheTagS-SchadenP-Schaden

KFZ-Halter- AlterDaten Geschlecht

KFZ Halter=FahrerWohnort

ZEVIS +B Arbeitnehmerdatei eines Autokonzerns

Personendaten NameGeschlechtAlterWohnungWohnort

... ...gekaufter Werks- Kaufdatumwagen KFZ-Typ

BaujahrFarbe

Fehlzeiten Artvonbis

... ...

Thomas Herrmann

Datenschutz 99

29.11.99 22

Maßnahmen gegen Re-Identifizierung (1)

• Verschlüsselung oder Pseudonyme• Formale Anonymisierung - offensichtlich mehr oder weniger

eindeutige Identifikationsmerkmale wie Name, Adresse, Telefonnummer werden weggelassen

• Vergröberung der Merkmale etwa durch Rundung oder Klassenbildung; statt "Mainz" wird "Großstadt" eingetragen, statt des Geburtsdatums "Alter 40 - 49"

• Weglassen von einzelnen Datenfeldern mit extremen Merkmalsausprägungen wie "Größe 2.12 m" oder "Beruf: Bundeskanzler".

Thomas Herrmann

Datenschutz 99

29.11.99 23

Maßnahmen gegen Re-Identifizierung (2)

• Störung der Daten durch absichtliche Fehler, etwa Addition einer zufälligen Größe oder zufällige Rundung.

• Stichprobenziehung - Statistische Prozeduren werden jeweils nur auf eine Stichprobe aus der Abfragemenge angewendet.

• Konstruktion synthetischer Datensätze, so daß die multivariate Verteilung möglichst wenig verändert wird:

• Austausch von Daten zwischen Datensätzen, Aggregation - Mittelbildung über jeweils 3 bis 5 Datensätze.

Thomas Herrmann

Datenschutz 99

29.11.99 24

Schützendes Verändern

schützendes Verändern

reduzieren

entschärfen

filtern vergröbern aggregieren

entpersonalisieren

anonymisierenverschlüsseln der

Identifikations-merkmale

pseudonymi-sieren

Stichprobe ziehen

löschen sperren