Upload
izaak-lehnhardt
View
104
Download
0
Embed Size (px)
Citation preview
Thomas Herrmann
Datenschutz 99
29.11.99 1
Kapitel 3: Datenschutz im öffentlichenBereich
• Große zentrale Register (> 5 Mio. Einträge)
• Bundeszentralregister (Führungszeugnis)• Personalausweisregister• Stammsatzdatei für sämtliche vergebene Sozial-• Versicherungsnummern• Ausländerzentralregister• Wehrersatzwesen - Informationssystem (WEWIS)
• DDR - zentrales Einwohnerregister + Personenkennzeichen
(siehe BfD-Info 2 und Info 3)
Thomas Herrmann
Datenschutz 99
29.11.99 2
Zentrale Register II
• ZVS
• Händlerregister (z.B. alle VW - Besitzer)
• ZeVIS - zentrales Verkehrsinformationssystem(Zugriff der Polizei)
• Schufa (Schutzvereinigung der Banken, 42 Mio. Einträge)
• GEZ - zentrale Sammlung in Köln
Thomas Herrmann
Datenschutz 99
29.11.99 3
Große verteilte Register
• Melderegister
• Handelsregister
• Krankenkassen Mitgliederregister
• Rentenversicherungen der Arbeiter
• Versorgungsunternehmen
• Gebührendateien der Telekom
Thomas Herrmann
Datenschutz 99
29.11.99 4
Inhalt des Bundeszentralregisters
Einträge:
+ strafgerichtliche Verurteilung
+ Entmündigungen
+ Entscheidungen von Verwaltungsgerichten und Behörden
+ Vermerke über Schuldunfähigkeit
+ gerichtliche Feststellungen
+ nachträgliche Entscheidungen und Tatsachen
- Personendaten
- entscheidende Stelle
- Tag der letzten Tat
- Tag der Rechtskraft
- rechtl. Bezeichnung der Tat
- alle Haupt- und Nebenstrafen
Thomas Herrmann
Datenschutz 99
29.11.99 5
Melderegister
1 Namen, Doktorgrad, Geburtsdatum, -ort; Geschlecht,
Familienstand, gegenwärtige Anschrift
• Erwerbstätigkeit (ja/ nein), steuerrechtliche Daten• gesetzliche Vertreter (s. 1 + Sterbetag)• Kinder• Ehegatte• Staatsangehörigkeit, Religion• Tag des Ein- und Auszugs, frühere Anschriften, Haupt- und
Nebenwohnung• Übermittlungssperren• Austellung von Paß, Ausweis• Ausschluß von Wahlrecht, Paßversagungsgründe• Wehr- oder Zivildienstüberwachung• ...
Thomas Herrmann
Datenschutz 99
29.11.99 6
Abfragen bei ZeVIS
H Daten des Halters (Name, Anschrift,Geburtsort)
K Angaben zum Kraftfahrzeug
A Auswahl von Kraftfahrzeugen anhand einzelner Merkmale
F Negativabfrage zu Fahrerlaubnis anhand von Name und Geb. - Datum
P sämtliche personenbezogenen Daten zu einem Namen oder Fahrzeug
Thomas Herrmann
Datenschutz 99
29.11.99 7
Personenkennzeichen
Ein zentrales Personenkennzeichen für alle Bundesbürger soll es nicht geben!
Aber: Personalausweisnummer (automatisch erschließbar)
• Name, Geb-Datum , Behördenkennzahl, 5 stellige Nr.• Einschränkung der Verwendung für Dateienerschließung
UND: Sozialversicherungsnummer
2-stellige Bereichsnr.Geburtsdatum + 1. Buchstabe des Geburtsnamens+ 3 Ziffern zur Gewährleistung der Eindeutigkeit
Thomas Herrmann
Datenschutz 99
29.11.99 8
Zugriffsmöglichkeiten mit der Sozialversicherungsnummer
Leistungen nachSGB
Sozialverwaltung
Sozialversicherung
KV RV UVArbeits-verwal-
tung
Sozial-hilfe
Staatl.Stellen
Sozial-Vers.-
nummerzugreifen
Thomas Herrmann
Datenschutz 99
29.11.99 9
Statistiken
Quantitative Darstellung von Grob- und Feinstrukturen, die über die Betrachtung von Einzelfällen hinausgeht
• Relative oder absolute Angabe des Anteils einzelner Gegebenheiten mit gleichen Eigenschaftenunter Bezugnahme auf eine Gesamtheit
• statistische Auswertungen vermitteln Rangfolgen und quantitative Zusammenhänge
Thomas Herrmann
Datenschutz 99
29.11.99 10
Dateien mit Einzelfällen alsGrundlage für Statistiken
z.B. Volkszählung
• Miet/ Eigentumsverhältnis bzgl. der Wohnung
• Bezugsdatum
• Ausstattung der Wohnung
• Heizart
• Zahl der Räume (>6 qm)
• Wohnfläche
• Miethöhe
• Art der Wohnung
• ...
Person
• Geburtshalbjahr
• Geschlecht
• Familienstand
• Religion
• Staatsangehörigkeit
• Erwerbstätigkeit
• Ausbildung
• Verkehrsmittel
• ...
Um Statistiken erzeugen zu können, führt man eine Erhebung der Gesamtheit der Einzelfälle durch und speichert das Ergebnis anonym ab.
Thomas Herrmann
Datenschutz 99
29.11.99 11
Beispiel für eine StatistikdateiBeispielTabelle 1a: SDB mit N = 13 Studenten
Name Geschlecht Hauptfach Jahrgang ND SAT
Allen Weiblich Chemie 1980 3.4 600Baker Weiblich Englisch 1980 2.5 520Cook MännlichEnglisch 1978 3.5 630Davis Weiblich Chemie 1978 4.0 800Evans MännlichBiologie 1979 2.2 500Frank MännlichEnglisch 1981 3.0 580Good MännlichChemie 1978 3.8 700Hall Weiblich Kunst 1979 2.8 580Iles MännlichChemie 1981 3.2 600Jones Weiblich Biologie 1979 3.8 750Kline Weiblich Kunst 1981 2.5 500Lane MännlichEnglisch 1978 3.0 600Moore MännlichChemie 1979 3.5 650
ND = Notendurchschnitt SAT = Schüler Eignungsprüfung
Thomas Herrmann
Datenschutz 99
29.11.99 12
Beispiel für eine Statistikdatei
Name Geschlecht Hauptfach Jahrgang ND SATAllen weiblich Chemie 1980 3.4 600Baker weiblich Englisch 1980 2.5 520Cook männlich Englisch 1978 3.5 630Davis weiblich Chemie 1978 4.0 800Evens männlich Biologie 1979 2.2 500Frank männlich Englisch 1981 3.0 580Good männlich Chemie 1978 3.8 700Hall weiblich Kunst 1979 2.8 580Iles männlich Chemie 1981 3.2 600Jones weiblich Biologie 1979 3.8 750Kline weiblich Kunst 1981 2.5 500Lane männlich Englisch 1978 3.0 600More männlich Chemie 1979 3.5 650
Beispiel Tabelle 1a: SDB mit N=13 Studenten
Notendurchschnittder männlichen
Biologie-studenten = 2.2
(n=1)
Notendurchschnittder Biologie-studenten = 3
(n=2);der weibl.
Kunst und Bio-Stud. =3,33 (n=3);
der weibl. Kunststud. =2,65
(n=2);
Thomas Herrmann
Datenschutz 99
29.11.99 13
Deanonymisierungsaktivität
Prinzip der DeanonymisierungAngreifer
Einer ausge-wählten Person
Pi möglichstviele Eigen-schaften xi
zuordnen
zu einerEigenschaftxi möglichst
viele Pi
finden
prüfen, obfür Pi xi
gilt
einer beliebigenPerson eine be-liebige Eigen-
schaft xi
zuordnen
beliebigenPerson
Pi beliebigeEigenschaften
xi zuordnen
Ausreißeraufspüren
Zuordnungsver-suche mittels
Ei
entspricht ge-fundene SP dem
Interesse?
ja
Muß SPin YY
enthaltensein?
allgemeines Zusatz-wissen
Anonyme Datei XX
Datensatz einer statistischen Person SP
Eigenschaft xi
vergleichb. Eigenschaft Ei
NN
Identifkationsfile YY
Datensatz zu einer Person
vergleichb. Eigenschaft Ei
Zusatzwissen ZiN
N
Treffer
ja
Thomas Herrmann
Datenschutz 99
29.11.99 14
Mögliche Ergebnisse derZuordnung
Annahme: XX ist Teilmenge von YY
a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann Zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu
YY ist Teilmenge von XX
a) Fehlerb und c) Falls zx für "m, dann trifft Xi für alle gefundenen Personen zu
DatensatzausXX;
anonym
interessanteEigenschaft xi
zx
1
interessantePerson
DatensatzausYY
interessantesZusatzwissen Zi
zy
1
n
m
m
a
b
c
m
n
m
m > n
11
Thomas Herrmann
Datenschutz 99
29.11.99 15
DatensatzausXX;
anonym
interessanteEigenschaft xi
zx
1
interessantePerson
DatensatzausYY
interessantesZusatzwissen Zi
zy
1
n
m
m
a
b
c
m
n
m
m > n
11
Mögliche Ergebnisse derZuordnung
Annahme: XX ist Teilmenge von YY
a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu
YY ist Teilmenge von XX
a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu
A) 5 Personen aus XX sind >2m (Ei), 10 Personen aus YY sind >2m und alle sind verheiratet (Zi)--> alle 5 Personen aus XX sind verheiratet
Thomas Herrmann
Datenschutz 99
29.11.99 16
DatensatzausXX;
anonym
interessanteEigenschaft xi
zx
1
interessantePerson
DatensatzausYY
interessantesZusatzwissen Zi
zy
1
n
m
m
a
b
c
m
n
m
m > n
11
Mögliche Ergebnisse derZuordnung
Annahme: XX ist Teilmenge von YY
a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu
YY ist Teilmenge von XX
a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu
B) 5 Personen aus XX sind >2m (Ei), 3 Personen aus YY sind >2m--> geht nicht, da alle Personenn aus XX in YY repräsentiert sein müssen
Thomas Herrmann
Datenschutz 99
29.11.99 17
DatensatzausXX;
anonym
interessanteEigenschaft xi
zx
1
interessantePerson
DatensatzausYY
interessantesZusatzwissen Zi
zy
1
n
m
m
a
b
c
m
n
m
m > n
11
Mögliche Ergebnisse derZuordnung
Annahme: XX ist Teilmenge von YY
a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu
YY ist Teilmenge von XX
a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu
C) 5 Personen aus XX sind >2m (Ei) und haben 3 Kinder (Xi), 5 Personen aus YY sind >2m (Ei) --> die gefundenen Personen aus YY haben jeweils drei Kinder
Thomas Herrmann
Datenschutz 99
29.11.99 18
DatensatzausXX;
anonym
interessanteEigenschaft xi
zx
1
interessantePerson
DatensatzausYY
interessantesZusatzwissen Zi
zy
1
n
m
m
a
b
c
m
n
m
m > n
11
Mögliche Ergebnisse derZuordnung
Annahme: XX ist Teilmenge von YY
a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu
YY ist Teilmenge von XX
a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu
A) 5 Personen aus XX sind >2m (Ei) und haben 3 Kinder (Xi), 10 Personen aus YY sind >2m (Ei) --> nicht möglich, da alle Personen aus YY in XX repräsentiert sind
Thomas Herrmann
Datenschutz 99
29.11.99 19
DatensatzausXX;
anonym
interessanteEigenschaft xi
zx
1
interessantePerson
DatensatzausYY
interessantesZusatzwissen Zi
zy
1
n
m
m
a
b
c
m
n
m
m > n
11
Mögliche Ergebnisse derZuordnung
Annahme: XX ist Teilmenge von YY
a) auf m-n Personen trifft die Zuordnung nicht zu. Falls zy für alle m gegeben ist, kann zi zu XX hinzugefügt werdenb) Es liegt ein Fehler vorc) Falls zx für alle m zutrifft, dann trifft xi auf die gefundenen Personen zu
YY ist Teilmenge von XX
a) Fehlerb und c) Falls zx für "m, dann trifft xi für alle gefundenen Personen zu
B) 5 Personen aus XX sind >2m (Ei) und haben 3 Kinder (Xi), 5 oder 3 Personen aus YY sind >2m (Ei) --> alle Personen aus YY haben drei Kinder
Thomas Herrmann
Datenschutz 99
29.11.99 20
Begünstigung der Deanonymisierung
• Ausreißer - z.B.– Man weiß, daß es nur 1 Person mit einer bestimmten
Merkmalsausprägung gibt
– ... daß es eine Person mit einer solchen Ausprägung gibt (eine städtische Statistik weist 0 Andoraner aus => der andoranische Nachbar ist nicht gemeldet)
• Ausgaben zu Anfragen erlauben auch kleine Stichproben
• Beliebig viele Anfragen
• Verfügbarkeit großer, nicht-anonymisierter Register
Thomas Herrmann
Datenschutz 99
29.11.99 21
Deanonymisierungsbeispielanhand einer Unfallstatistik Datei
1) Journalist will beweisen, daß Reidentifikation gelingt (ein Fall genügt).
2) Fährt P vielleicht in betrunkenem Zustand?
3) Bei Unfällen prüfen, ob ein Mitarbeiter betroffen ist.
A PKW - Unfälle Statistikdatei
KFZ-Daten TypFarbeBaujahr
Unfall-Daten UrsacheTagS-SchadenP-Schaden
KFZ-Halter- AlterDaten Geschlecht
KFZ Halter=FahrerWohnort
ZEVIS +B Arbeitnehmerdatei eines Autokonzerns
Personendaten NameGeschlechtAlterWohnungWohnort
... ...gekaufter Werks- Kaufdatumwagen KFZ-Typ
BaujahrFarbe
Fehlzeiten Artvonbis
... ...
Thomas Herrmann
Datenschutz 99
29.11.99 22
Maßnahmen gegen Re-Identifizierung (1)
• Verschlüsselung oder Pseudonyme• Formale Anonymisierung - offensichtlich mehr oder weniger
eindeutige Identifikationsmerkmale wie Name, Adresse, Telefonnummer werden weggelassen
• Vergröberung der Merkmale etwa durch Rundung oder Klassenbildung; statt "Mainz" wird "Großstadt" eingetragen, statt des Geburtsdatums "Alter 40 - 49"
• Weglassen von einzelnen Datenfeldern mit extremen Merkmalsausprägungen wie "Größe 2.12 m" oder "Beruf: Bundeskanzler".
Thomas Herrmann
Datenschutz 99
29.11.99 23
Maßnahmen gegen Re-Identifizierung (2)
• Störung der Daten durch absichtliche Fehler, etwa Addition einer zufälligen Größe oder zufällige Rundung.
• Stichprobenziehung - Statistische Prozeduren werden jeweils nur auf eine Stichprobe aus der Abfragemenge angewendet.
• Konstruktion synthetischer Datensätze, so daß die multivariate Verteilung möglichst wenig verändert wird:
• Austausch von Daten zwischen Datensätzen, Aggregation - Mittelbildung über jeweils 3 bis 5 Datensätze.
Thomas Herrmann
Datenschutz 99
29.11.99 24
Schützendes Verändern
schützendes Verändern
reduzieren
entschärfen
filtern vergröbern aggregieren
entpersonalisieren
anonymisierenverschlüsseln der
Identifikations-merkmale
pseudonymi-sieren
Stichprobe ziehen
löschen sperren