Fachhochschule St. Pölten, Masterarbeit 2022, Studiengang Information Security

Das digitale Zeitalter ist in vollem Gange. Standortdaten von Personen sind über soziale Medien auf schnellstem Wege ausgeforscht. Der Arbeitsplatz ist über LinkedIn durch ein bis zwei Klicks entdeckt. Das Zuhause über Standortmarkierungen auf Instagram gefunden. In der heutigen Zeit ist es keine große Herausforderung mehr, ein Bewegungsmuster für gesuchte Personen zu erstellen. Damit Personen in veröffentlichten Datensätzen nicht automatisch erkannt werden, definiert die Datenschutzgrundverordnung den Status der faktischen Anonymität. Dieser muss bei veröffentlichten europäischen Datensätzen erreicht werden und soll den Personen des Datensatzes Anonymität gewährleisten. Doch so sicher die Vorgaben der Datenschutzgrundverordnung auch klingen mögen, sie schützen die Anonymität der Personen nicht vollständig. Es existieren verschiedene Angriffsmöglichkeiten, um eine Person in einem DSGVO konformen Datensatz auch in Krisenzeiten zu identifizieren. Diese Arbeit beschäftigt sich mit den Grundlagen des Datenschutzes. Dabei werden aktuelle und zukünftige Gefahren für die Privatsphäre des Individuums erläutert und praktische Beispiele wiedergegeben. Die drei Säulen des Datenschutzes spielen hierbei eine wichtige Rolle. Eine dieser Säulen repräsentiert die rechtlichen Regulatorien. Diese werden für ein besseres Verständnis durch eine detaillierte Beschreibung der DSGVO oberflächlich erklärt und mit den amerikanischen Datenschutzgesetzen verglichen. Des Weiteren wird beschrieben, was unter der Anonymität zu verstehen ist und vor welchen Bedrohungen sie geschützt werden muss. Das Verständnis für die unterschiedlichen Anonymisierungsverfahren ist unerlässlich, damit die technischen Maßnahmen nachvollziehbar sind. Das Ziel dieser Arbeit ist es, durch ein praktisches Beispiel die Schwächen eines gängigen Anonymisierungsverfahrens aufzuzeigen. Dazu wird ein praktisches Experiment mit realen, aus der EU stammenden Bewegungsdaten durchgeführt. Ein weiteres Ziel des Experiments liegt in der erfolgreichen Re-Identifizierung einzelner Personen in einem DSGVO-konformen anonymisierten Datensatz.

The digital age is in full swing. People's location data is explored via social media in the fastest possible way. The workplace is discovered via LinkedIn with one or two clicks. Home found via location tags on Instagram. In today's world, it's no longer a major challenge to establish a movement pattern for people you're looking for. To prevent people from being automatically recognized in published datasets, the General Data Protection Regulation defines the status of de facto anonymity. This must be achieved in published European datasets and is intended to ensure anonymity for the individuals in the dataset. However, as secure as the requirements of the GDPR may sound, they do not fully protect the anonymity of individuals. Various means of attack exist to identify an individual in a GDPR-compliant dataset. This thesis deals with the basics of data protection. Current and future threats to individual privacy are explained and practical examples are explained. The three pillars of data protection play an important role. One of these pillars represents the legal regulations. These are explained superficially for a better understanding by a detailed description of the GDPR and compared with the American data protection laws. Furthermore, the thesis will describe what is meant by anonymity and what threats it needs to be protected against. Understanding the different anonymization methods is essential to make the technical measures comprehensible. The aim of this thesis is to show the weaknesses of a common anonymization procedure by means of a practical example. For this purpose, a practical experiment is conducted with real transaction data originating from the EU. Another goal of the experiment is to successfully re-identify individuals in a DSGVO-compliant anonymized dataset.