Anonymisierung im Rahmen der forensischen Datenanalyse

Einklang zwischen Datenschutz und Technik
Forensische Datenanalysen sind aus der modernen Revisions- und Investigationsarbeit nicht mehr wegzudenken. Wesentliche das Unternehmen betreffende Informationen liegen nicht mehr in Ordnern und Schränken, sondern als strukturierte Daten in Datenbanken und Applikationen sowie als unstrukturierte Daten in E-Mails und Dateien. Zur systematischen Aufbereitung der dort gespeicherten Informationen sind angesichts des schieren Umfangs intelligente IT-Lösungen erforderlich, durch die zum Beispiel Betrugs- und Untreuemuster aufgedeckt oder durch die Hinweise auf Personen gegeben werden können, die in gegen das Unternehmen gerichtete Straftaten involviert sind.

Bei der Planung und Durchführung von Datenanalysen muss jedoch stets das geltende Datenschutzrecht beachtet werden. Kommt es hier nämlich zu Verstößen, kann dies nicht nur die Reputation schädigen. Es drohen auch Schadensersatzforderungen, Bußgelder, Geld- und sogar Freiheitsstrafen.

Vor allem muss der Grundsatz der Datenvermeidung und Datensparsamkeit in den Blickpunkt genommen werden. Personenbezogene Daten sind zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen unverhältnismäßigen Aufwand zum angestrebten Schutzzweck erfordert.

KPMG unterstützt Sie bei der Planung wie auch bei der datenschutzkonformen Durchführung von Datenanalysen. Insbesondere vermitteln wir Ihnen das technische Werkzeug, die zu analysierenden Daten bereits im Zeitpunkt des Exports anonymisieren oder pseudonymisieren zu können, um den Personenbezug zu entfernen und so den datenschutzrechtlichen Anforderungen gerecht zu werden. Wenn Sie weiterführende Fragen haben, melden Sie sich gerne bei uns oder vereinbaren einen Termin mit unseren Spezialisten für IT-Forensic und Datenschutz. Mehr Informationen rund um Forensic finden Sie unter www.kpmg.de/forensic.

Rechtliche Rahmenbedingungen
Nach § 4 Abs. 1 BDSG sind die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder ein Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet (sog. Erlaubnistatbestand). Hinzu kommt, dass nach dem Grundsatz der Datenvermeidung und Datensparsamkeit so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden sollen und diese anonymisiert oder pseudonymisiert werden müssen, wann immer dies technisch möglich ist und keinen unverhältnismäßigen Aufwand erfordert.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Eine Anonymisierung dieser Daten kann durch eine Entfernung oder Schwärzung der identifizierenden Merkmale erreicht werden.

Bei der Pseudonymisierung hingegen werden die "Einzelangaben über persönliche oder sachliche Verhältnisse" - wie etwa der Name oder eine User-ID - durch ein Kennzeichen zu dem Zweck ersetzt, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Dies erfolgt unter Zuhilfenahme einer Zuordnungsvorschrift. Somit wird die Pseudonymisierung bei Kenntnis der verwendeten Zuordnungsvorschrift umkehrbar. Das heißt, die Daten lassen sich nach dem Vorgang wieder einer natürlichen Person zuordnen.

Technisches Vorgehen
Auch in umfangreichen Datenbeständen weisen in der Regel nur wenige Tabellen mit wenigen Feldern überhaupt einen Personenbezug auf. Der größere Teil der Daten ist nicht personenbezogen. Als Beispiel sei ein typisches Buchungsjournal genannt.

Eine Möglichkeit, die Anonymisierung der gegebenenfalls enthaltenen personenbezogenen Daten zu erreichen, ist es, diejenigen Tabellenspalten, über die ein Personenbezug herstellbar ist, zu entfernen beziehungsweise diese bereits beim Export aus dem Quellsystem herauszufiltern. Dies hat allerdings zur Folge, dass auch über den Personenbezug hinausgehende Informationen verloren gehen und bestimmte Analysen nicht mehr möglich sind.

Eine weitere Form der Anonymisierung ist die Verdichtung. Die Anonymisierung wird dadurch erreicht, dass die einzelnen Zeilen durch statistische Funktionen (etwa Anzahl, Summe oder Durchschnitt) zusammengefasst beziehungsweise verdichtet werden. Werden etwa bei einem Buchhaltungskonto alle Buchungen während eines Zeitraums zu einem Kontensaldo verdichtet, sind die Namen und Einzelangaben der Buchungen nicht mehr entnehmbar. Allerdings lassen sich dann auch keine Ausreißer (Buchungen mit außergewöhnlich hohen Beträgen) mehr identifizieren.

Bei der Pseudonymisierung von Daten werden Datenfelder, über die ein Personenbezug herstellbar ist, durch ein Kennzeichen ersetzt, so dass die unmittelbare Zuordnung zwar erschwert, aber grundsätzlich weiterhin möglich ist. Dabei muss sichergestellt werden, dass identische Feldinhalte auch durch identische Kennzeichen ersetzt werden. Sonst können wichtige Bezüge innerhalb der Daten verloren gehen.
Plant ein Unternehmen eine Datenanalyse aus eigenen Mitteln oder durch einen Dienstleister wie KPMG, empfiehlt es sich, vor der Analyse aus den genannten datenschutzrechtlichen Aspekten eine Anonymisierung oder Pseudonymisierung der zu verwendenden personenbezogenen Daten durchzuführen. Das kann bereits beim Daten-Export aus dem Quellsystem geschehen, so dass der spätere Datenverarbeiter nur die anonymisierten beziehungsweise pseudonymisierten Daten erhält. Kann die Daten verarbeitende Stelle die Pseudonymisierung mangels Kenntnis der Zuordnungsvorschrift nicht umkehren, sind die Daten für sie anonym.

Auch bei der Rückübermittlung der Analyse-Ergebnisse an den ursprünglichen Datenübermittler (das Unternehmen) muss der Datenschutz beachtet werden. Daher werden nur die anonymisierten beziehungsweise pseudonymisierten Daten rückübermittelt. Hat die Datenanalyse allerdings konkrete Hinweise auf strafbare Handlungen wie etwa Betrug oder Untreue hervorgebracht, kann dies für das Unternehmen einen Erlaubnis-Tatbestand für die Personalisierung der konkreten Daten darstellen, um Verdachtsmomenten nachgehen zu können.

Die forensische Datenanalyse strukturierter Daten ist somit ein geeignetes Mittel zur Aufdeckung doloser Handlungen oder Compliance-Verstöße unter Beachtung datenschutzrechtlicher Vorgaben. KPMG unterstützt Sie mit der technischen und rechtlichen Expertise gern bei der Konzeptionierung und Umsetzung derartiger Analysen. Außerdem geben wir Ihnen den technischen Support an die Hand, um die Anonymisierung oder Pseudonymisierung unmittelbar bei Export aus dem Quellsystem selbst durchzuführen und die Daten verschlüsselt an uns übermitteln zu können.

Forensic bei KPMG betreibt für diese Analysen ein mandantenfähiges Forensic Data Center, das nach ISO 27001 sicherheitszertifiziert ist. Das Forensic Data Center genügt den hohen Ansprüchen, die wir und unsere Mandanten an die Verarbeitung sensibler Kundendaten stellen. Ausführlichere Informationen zu diesem Thema finden Sie im Artikel "Anonymisierung im Rahmen der forensischen Datenanalyse" (Betriebs-Berater, 24.10.11).