GDPR und personenbezogene Daten
Die Datenschutz-Grundverordnung (GDPR) definiert personenbezogene Daten weit unter Artikel 4. Alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren können, qualifizieren sich als personenbezogene Daten: Namen, E-Mail-Adressen, Telefonnummern, Standortdaten, Online-Identifier (IP-Adressen, Cookies), Finanzdaten (IBANs, Kreditkartennummern), nationale Ausweismummern und vieles mehr.
Organisationen, die personenbezogene Daten verarbeiten, müssen strenge Grundsätze einhalten: Rechtmäßigkeit, Zweckbegrenzung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität. Nichtbeachtung kann zu Geldstrafen von bis zu 4% des jährlichen weltweiten Umsatzes oder 20 Millionen Euro, je nachdem welcher Betrag höher ist, führen.
anonym.plus erkennt über 340 Entitätstypen, die alle GDPR-relevanten PII-Kategorien abdecken. Die Erkennungs-Engine verwendet Microsoft Presidio kombiniert mit spaCy NER-Modellen, ergänzt durch Muster-basierte Erkennungsfunktionen für strukturierte Daten wie IBANs, Kreditkartennummern und nationale IDs über Dutzende von Ländern.
Anonymisierung vs Pseudonymisierung
Dies ist die kritischste Unterscheidung in der GDPR-Datenschutz. Die Verordnung behandelt anonymisierte und pseudonymisierte Daten grundlegend unterschiedlich:
| Aspekt | Anonymisierung (Replace) | Pseudonymisierung (Encrypt) |
|---|---|---|
| GDPR Artikel | Rezital 26 | Artikel 4(5) |
| Definition | Daten beziehen sich nicht mehr auf eine identifizierbare Person | Personenbezogene Daten verarbeitet, so dass sie ohne zusätzliche Informationen nicht zugeordnet werden können |
| GDPR Umfang | Daten verlassen GDPR-Umfang vollständig | Daten bleiben im GDPR-Umfang |
| Reversibilität | Irreversibel — PII dauerhaft entfernt | Reversibel mit Verschlüsselungsschlüssel |
| anonym.plus Operator | Replace, Redact, Mask, Hash | Encrypt |
| Beste Verwendung | Öffentliche Freigabe, permanente Redaktion | Interne Verwendung, temporäre Redaktion, Audit-Spur |
Die praktische Auswirkung: Wenn Sie den Replace-Operator verwenden, unterliegt das Ausgabe-Dokument nicht mehr den GDPR-Verpflichtungen, da die personenbezogenen Daten irreversibel entfernt wurden. Wenn Sie den Encrypt-Operator verwenden, ist das Ausgabe-Dokument pseudonymisiert — es fällt immer noch unter GDPR, aber die Verschlüsselung bietet starke zusätzliche Schutzmaßnahmen, die durch Artikel 25 und 32 anerkannt werden.
Wie anonym.plus GDPR-Anforderungen erfüllt
anonym.plus adressiert mehrere GDPR-Anforderungen durch seine Architektur und Features:
- Datenminimierung (Art. 5(1)(c)): Erkennen und entfernen Sie unnötige PII vor dem Teilen von Dokumenten. Nur die für den Zweck absolut notwendigen Daten bleiben erhalten.
- Zweckbegrenzung (Art. 5(1)(b)): Anonymisieren Sie Daten, die für ihren ursprünglichen Erfassungszweck nicht mehr benötigt werden. Der Replace-Operator entfernt dauerhaft PII, die ihren Zweck erfüllt hat.
- Datenschutz durch Design (Art. 25): Eingebaute PII-Erkennung und Anonymisierung als Kernfunktion, nicht nachträglich. Die gesamte Pipeline ist von Grund auf für Datenschutz konzipiert.
- Recht auf Vergessenwerden (Art. 17): Der Replace-Operator entfernt dauerhaft PII aus Dokumenten und erfüllt damit Löschanforderungen auf Dokumentebene.
- Sicherheit der Verarbeitung (Art. 32): AES-256-GCM-Verschlüsselung für den Encrypt-Operator, Zero-Knowledge-Architektur und vollständig offline Verarbeitung stellen das höchste Datenschutzniveau sicher.
- Datenschutz-Folgenabschätzung (Art. 35): Verarbeitungs-Protokolle bieten eine lokale Audit-Spur, die dokumentiert, was anonymisiert wurde, wann und mit welchen Einstellungen — Unterstützung für DPIA-Dokumentations-Anforderungen.
Offline-Verarbeitung — Keine Daten verlassen Ihr Gerät
Die gesamte PII-Erkennungs- und Anonymisierungs-Pipeline wird lokal auf Ihrem Gerät ausgeführt. Dies ist eine grundlegende Architektur-Entscheidung, die GDPR-Compliance direkt unterstützt:
- Presidio + spaCy sind als Sidecar-Prozess gebündelt, der vollständig auf Ihrem Gerät läuft. Keine API-Aufrufe werden für PII-Erkennung oder Anonymisierung gemacht.
- Dokumente verlassen Ihr Gerät nie. Text-Extraktion, Entitäts-Erkennung, Anonymisierung und Export erfolgen alle lokal. Keine Dokument-Inhalte werden jemals zu einem Server hochgeladen.
- Der anonym.plus-Server verarbeitet nur: Kontoverwaltung, Lizenzierung und Abonnement-Abrechnung. Diese Funktionen beinhalten nur Ihre E-Mail und Ihren Lizenzschlüssel — nie Ihre Dokumente.
- Der Server kann nicht zugreifen auf: Ihre Dokumente, PII-Erkennungs-Ergebnisse, anonymisierte Ausgaben, Verschlüsselungsschlüssel, Tresor-Inhalte oder Tresor-Passwort. Dies wird durch Architektur durchgesetzt, nicht durch Richtlinie.
Diese Offline-First-Architektur eliminiert eine ganze Kategorie von GDPR-Risiken: Datentransfer. Da personenbezogene Daten während der Verarbeitung Ihr Gerät nie verlassen, gibt es keine grenzüberschreitenden Daten-Transfer-Bedenken, keine Prozessor-Vereinbarungen, die für den Anonymisierungs-Schritt erforderlich sind, und kein Risiko, dass Server-seitige Datenverletzungen Ihre Dokumente beeinträchtigen.
Zero-Knowledge-Architektur
anonym.plus verwendet eine Zero-Knowledge-Architektur, die selbst dem Service-Provider unmöglich macht, auf Ihre sensiblen Daten zuzugreifen:
- Passwort-Hashing: Ihr Passwort wird client-seitig mit Argon2id + HKDF + SHA-256 gehasht, bevor eine Server-Kommunikation erfolgt. Der Server speichert nur kryptographische Nachweise — er empfängt oder speichert Ihr Klartext-Passwort nie.
- Server-seitige Speicherung: Der Server speichert nur den kryptographischen Hash Ihres Passworts, Ihre E-Mail-Adresse und Lizenz-Informationen. Keine Dokument-Daten, PII-Ergebnisse oder Verschlüsselungsschlüssel werden jemals an den Server übertragen.
- Tresor-Verschlüsselung: Der Verschlüsselungsschlüssel-Tresor ist mit AES-256-GCM verschlüsselt. Der Tresor-Verschlüsselungsschlüssel wird von Ihrem Passwort über Argon2id abgeleitet. Ohne Ihr Passwort sind die Tresor-Inhalte kryptographisch unzugänglich.
- Speicher-Sicherheit: Schlüsselmaterial wird aus Speicher gelöscht, wenn der Tresor gesperrt wird. Keine Residuären Schlüsseldaten bleiben im RAM nach Sperrung oder Anwendungs-Schließung.
- Schlüssel-Isolierung: Verschlüsselungsschlüssel werden im Frontend nur nach ID referenziert. Schlüsselwerte verlassen das Rust-Backend nie, verhindernd Exposition über Browser-Dev-Tools oder JavaScript-Schwachstellen.
Schritt-für-Schritt GDPR-Compliance-Workflow
Folgen Sie diesem Workflow, um Dokumente GDPR-konform zu anonymisieren:
- Identifizieren Sie Dokumente mit personenbezogenen Daten. Sammeln Sie die Dokumente, die anonymisiert werden müssen — Verträge, Berichte, Korrespondenz, Datenbanken oder irgendwelche Dateien mit PII.
- Wählen Sie die GDPR-Compliance-Erkennungsvorgabe. Diese Vorgabe verwendet eine Zuverlässigkeitsschwelle von 0,90 (höher als der Standard 0,85), um falsch negative Ergebnisse zu reduzieren. Alternativ erstellen Sie eine benutzerdefinierte Vorgabe, die die spezifischen Entitätstypen auf Ihre Daten abzielt.
- Für permanente Anonymisierung: Verwenden Sie den Replace-Operator. Dies entfernt alle erkannten PII irreversibel. Das Ausgabe-Dokument verlässt GDPR-Umfang vollständig — es ist unter Rezital 26 keine personenbezogenen Daten mehr.
- Für temporäre Pseudonymisierung: Verwenden Sie den Encrypt-Operator. Dies ersetzt PII durch verschlüsselte Tokens, die mit dem Verschlüsselungsschlüssel rückgängig gemacht werden können. Das Ausgabe-Dokument bleibt im GDPR-Umfang, gewinnt aber die zusätzlichen Schutzmaßnahmen, die durch Artikel 25 und 32 anerkannt werden.
- Überprüfen Sie alle erkannten Entitäten vor der Verarbeitung. Der Überprüfungs-Schritt ist kritisch für GDPR-Compliance. Überprüfen Sie, dass alle personenbezogenen Daten erkannt wurden (keine falsch negativen Ergebnisse) und dass nicht-PII nicht fälschlicherweise gekennzeichnet wurde (keine falsch positiven Ergebnisse, die das Dokument unnötig ändern würden).
- Speichern Sie anonymisierte Dokumente. Exportieren Sie die verarbeiteten Dokumente. Der Verarbeitungs-Eintrag wird in Ihrer lokalen Verlauf für Audit-Zwecke gespeichert, dokumentierend, welche Entitäten erkannt wurden, welcher Operator verwendet wurde und wann die Verarbeitung erfolgte.
- Für verschlüsselte Dokumente: Verwalten Sie Verschlüsselungsschlüssel sicher. Speichern Sie Schlüssel im Tresor mit einem starken Passwort. Notieren Sie sich die 24-Wort-BIP39-Wiederherstellungs-Phrase an einem sicheren offline Ort. Verfolgen Sie, welcher Schlüssel für welche Dokumente verwendet wurde, um zukünftige Entschlüsselung sicherzustellen.
Bereit, es selbst zu versuchen? Sehen Sie Anonymisierung in Aktion →