Wie können Datenschutzverletzungen verhindert werden?

Freigabeverfahren für kommunale offene Daten

| Autor / Redakteur: Prof. Dr.-Ing. Ulrich Greveler* / Susanne Ehneß

Algorithmische Lösung

Die vorgeschlagene Lösung (als OD-PET bezeichnet) verarbeitet Datensätze vor der Veröffentlichung auf einem Open-Data-Portal. Der Datensatz, der meist als CSV-Datei vorliegt, wird eingelesen und es wird algorithmisch entschieden, ob es eine Auffälligkeit gibt, die eine erneute manuelle Prüfung des Datensatzes zur Auflage macht. OD-PET kann daher als Mechanismus im Rahmen eines Upload-Prozesses eingesetzt werden, der eine letzte technische Prüfung vornimmt, bevor die Veröffentlichung tatsächlich ausgeführt wird. OD-PET ist kein Software­produkt, sondern eine frei verfügbare technisch-wissenschaftliche Spezifikation, die in ein Lastenheft für die Beschaffung eines Portals aufgenommen werden kann.

OD-PET ist dabei in folgende fünf Einzelfunktionen zerlegbar, die sukzessive auf den Datensatz angewandt werden.

1. Verifizierung des Tabellenschemas nach Bearbeitung. Bei Datenbanken legt ein Schema die Tabellenattribute und die Integritätsbedingungen fest. Dies umfasst die Festlegung von Wertebereichen einzelner Attribute sowie die Fremdschlüsselbeziehungen. Dabei werden die drei folgenden Einzelschritte ausgeführt:

  • Sind Attribute enthalten, die regelmäßig Personenbezug auf­weisen? (z. B. „Name“, „Geburtsdatum“, Ausweisnummer)
  • Sind Fremdschlüssel enthalten, die einen Personenbezug nahelegen? (Fremdschüsselbeziehungen zu Tabellen, die ihrerseits Personendaten enthalten, z. B. Vorgangsnummer oder Aktenzeichen, legen den Verdacht nahe, dass die Spalte versehentlich nicht entfernt wurde.)
  • Gibt es bereits Datensätze auf der eigenen oder weiteren vertrauenswürdigen Plattformen, die dieselben Attribute-Bezeichner aufweisen? (Neue Präzedenzfälle sollten stets geprüft werden, möglicherweise wurde unbeabsichtigt ein Attribut (z. B. „Name“) nicht gelöscht.

2. Durchsuchen der Daten in der veröffentlichungsreifen, maschinenlesbaren Form nach typischen Attributwerten, die einen Personenbezug nahelegen: Liste von Vornamen und Nachnamen; angereicherte Datumsangaben, die Geburtsdaten darstellen könnten, Mailadressen, Telefonnummern, amtliche Kennzeichen, Personalnummern und Kundennummern.

3. Validierung des Ausgabeformates. OD-PET prüft: Liegt ein erlaubtes Format vor und entspricht das Format dem, das durch die Dateiendung angegeben wird? Dies verhindert, dass versehentlich eine unbearbeitete Excel-­Datei anstatt der CSV-Datei hochgeladen wird.

4. Mindestanzahl von Personen bei aggregierten Daten gemäß Datenschutz-Anforderung.

5. Überprüfen, ob freizugebende Datensätze gemäß eines veröffentlichten Attributs sortiert sind. Eine noch vorhandene Sortierung nach Nachnamen ließe Rückschlüsse auf Personen zu.

Der heuristische Ansatz, der in der OD-PET-Lösung implementiert ist, führt unweigerlich zu sogenannten „false positives“, die dann manuell überprüft werden müssen. Da Parameter jedoch anpassbar sind kann der Anteil dieser falschen Zurückweisungen im Praxis­einsatz deutlich reduziert werden.

Portalsoftware-Integration

Die in der Praxis von vielen Kommunen und öffentlichen Einrichtungen eingesetzten Open-Source-­Portallösungen wie CKAN, Dataverse oder DSpace stellen Web-basierte Katalog-Lösungen dar, die es den Beschäftigten der Öffentlichen Verwaltungen erlauben, ähnlich wie Redakteure eines Web-Content-Management-Systems Datensätze in strukturierter Form bereitzustellen, zu beschreiben und eine Suche und sowie die Vorschaufunktion auf den Datensätzen zu aktivieren.

Im Workflow ist dabei jeweils ein Schritt vorgesehen, in dem der zu publizierende Datensatz als Datei ausgewählt und in den Katalog übertragen wird; zudem wird die Sichtbarkeit des Datensatzes konfiguriert (public oder private). Eine Integration erfolgt dann so, dass die Sichtbarkeit per default auf ­private eingestellt wird und die Übertragung des Datensatzes eine OD-PET-Überprüfung auslöst.

Gespräche mit kommunalen Beschäftigten zeigten, dass die in der Praxis zu publizierenden Datensätze verwaltungsintern gesammelt und dann von einer sehr kleinen Personengruppe im Portal verwaltet werden. Hier bietet sich daher an, dass OD-PET auf dem Verzeichnis operiert, in dem die Datensätze abgelegt werden, und anschließend die Datensätze in ein anderes Verzeichnis verschiebt, das für den Web-Upload verwendet wird.

Der Autor: Ulrich Greveler
Der Autor: Ulrich Greveler (© Ulrich Greveler)

Grenzen

Das vorgeschlagene PET-unterstütze Freigabeverfahren für offene Daten kann grundsätzlich als sinnvolle Ergänzung eines Workflows eingesetzt werden, der eine Öffnung von Datensätzen mit hoher Frequenz vorsieht. Insbesondere die versehentliche Selektion von falschen Dateien beim Upload oder die unzureichende Bearbeitung von Datensätzen mit dafür nicht optimierten Office-Werkzeugen können Ursachen für eine ungewollte Publikation personenbezogener oder -beziehbarer Daten sein, die mit einem automatisierbaren, PET-gestützten Freigabeverfahren effektiv verhindert werden kann.

Kritisch ist jedoch zu bemerken, dass eine Gefahr besteht, dass Beschäftigte im Wissen um die automatische Kontrolle der Datensätze beim Upload-Vorgang den eigenen Aufwand der Überprüfung deutlich reduzieren. Dies könnte im Extremfall einen gegenteiligen Effekt bewirken, der die Fehlerquote noch erhöht. Es muss daher Sorge dafür getragen werden, dass in Fällen, in denen OD-PET tatsächlich die Öffnung eines ungeeigneten Datensatzes verhindert, trotzdem eine Aktion erfolgt, die die Sensibilisierung der betroffenen Mitarbeiter erhöht – und nicht abschwächt.

Der Autor: Prof. Dr.-Ing. Ulrich Greveler, Labor für IT-Sicherheit, Hochschule Rhein-Waal, Studiengang eGovernment

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45087643 / Kommune)