Über SSNs und E-Mail-Adressen hinaus...

Mehr als SSNs: Interne IDs Ihres Unternehmens anonymisieren

Ihr DSGVO-Tool entfernt E-Mail-Adressen. Es entfernt Telefonnummern. Es entfernt Namen. Sie führen Support-Exporte durch das Tool. Dann teilen Sie das Ergebnis mit Ihrem Analytics-Team.

Ihre Kunden-Kontonummern stehen noch in jedem Ticket. Ihre Bestellnummern sind noch dort. Ihre internen Nutzer-IDs auch.

Diese IDs wirken auf den ersten Blick harmlos. Ohne Lookup-Tabelle benennen sie keine Person. Aber Ihr Analytics-Team hat diese Tabelle. Ihr CRM hat sie. Ihre Support-Datenbank hat sie. Wer Zugriff hat, kann die Person in Sekunden finden.

Das ist ein DSGVO-Verstoß. Das Tool hat nicht versagt. Es wurde nie angewiesen, nach Ihren IDs zu suchen.

Was Standard-PII-Tools erkennen

Standard-PII-Tools decken universelle Formate ab. Sie erfassen, was jedes Unternehmen nutzt.

Standard-Tools erkennen:

• Sozialversicherungsnummern (US SSNs, UK NINOs, EU-Personalausweisformate)
• E-Mail-Adressen
• Telefonnummern
• Kreditkartennummern
• Namen
• Pass- und Führerscheinnummern

Standard-Tools erkennen nicht:

• Mitarbeiter-IDs im Format EMP-XXXXX
• Kunden-Kontonummern im Format ACC-XXXXXXXX-XX
• Bestellnummern im Format ORD-XXXXXXX
• Interne Nutzer-IDs in UUID oder eigenen Formaten
• Partner-spezifische Referenzcodes

Standard-Tools finden universelle Muster. Ihre internen IDs sind nicht universell. Sie müssen konfiguriert werden, damit sie gefunden werden.

Das Risiko der Re-Identifikation

Ein Unternehmen exportiert Support-Tickets zur Qualitätsprüfung. Die Standard-PII-Bereinigung entfernt Namen, E-Mails und Telefonnummern. Kontonummern im Format ACC-XXXXXXXX-XX bleiben unberührt.

Der Export geht ans Analytics-Team. Ein Analyst verknüpft die Ticket-Tabelle mit der Kundendatenbank über die Kontonummer. Die Person wird sofort gefunden. Kein besonderer Trick ist nötig. Es ist ein normaler SQL-Join.

DSGVO Artikel 4(5) definiert Pseudonymisierung als Verarbeitung, bei der Daten „ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können." Kontonummern bestehen diesen Test nicht. Die zusätzlichen Informationen — Ihre Kundendatenbank — sind direkt in Ihrem Unternehmen vorhanden.

Der „anonymisierte" Export war nicht anonym.

Eigene Erkennungsmuster erstellen

Die Einrichtung eigener Entitäten ist schnell. Compliance-Teams können das ohne technische Hilfe tun.

Schritt 1: IDs auflisten.

Schreiben Sie jedes Format auf. Zum Beispiel: Konto ACC-XXXXXXXX-XX, Bestellnummer ORD-XXXXXXX, Mitarbeiter-ID EMP-XXXXX.

Schritt 2: Format in einfachen Worten beschreiben.

„Kontonummern beginnen mit ACC, dann ein Bindestrich, dann 8 Ziffern, dann ein Bindestrich, dann 2 Großbuchstaben."

Die KI-gestützte Mustererzeugung liefert: ACC-\d{8}-[A-Z]{2}

Schritt 3: An Beispieldaten testen.

Laden Sie 20 bis 30 Dokumente hoch. Prüfen Sie, ob alle Treffer gefunden werden. Prüfen Sie, ob keine Falschpositiven auftreten.

Schritt 4: Methode wählen.

Für IDs, die als Join-Schlüssel genutzt werden:

• Pseudonymisieren. ACC-00123456-AB wird immer durch ACC-99876543-XY ersetzt. Die gleiche Eingabe gibt immer die gleiche Ausgabe. Joins funktionieren weiter. Der Originalwert ist ohne Schlüssel nicht abrufbar.

Für IDs, die in der Analyse nicht benötigt werden:

• Schwärzen. Ersetzen durch [REDACTED]. Einfach. Dauerhaft.

Schritt 5: Als geteiltes Preset speichern.

Speichern Sie die Entität — oder mehrere — als geteiltes Preset. Die Konfiguration gilt für alle Verarbeitungswege: Batch-Uploads, API-Aufrufe, Browser-Interface. Neue Teammitglieder erhalten die vollständige Konfiguration sofort.

Fallstudie: 180.000 Support-Tickets

Ein Unternehmen fand 180.000 Support-Tickets in seinem Analytics-Warehouse. Namen und E-Mails waren entfernt worden. Kontonummern nicht. Jedes Ticket enthielt noch einen aktiven ACC-XXXXXXXX-XX-Wert.

Zeitplan der Lösung:

1. Compliance-Beauftragter definiert das ACC-Muster — 15 Minuten
2. Testet es an 30 Beispiel-Tickets — 20 Minuten
3. Prüft die Genauigkeit — 10 Minuten
4. Verarbeitet 180.000 Tickets im Nacht-Batch
5. Ersetzt Warehouse-Tabellen durch die bereinigten Versionen

Gesamtzeit für den Compliance-Beauftragten: 45 Minuten. Ohne eigene Entitätserkennung wäre ein Engineering-Ticket, Code-Review und ein Deploy nötig gewesen. Das dauert Wochen, nicht Stunden.

Wie eigene IDs in KI-Support-Tools Risiken erzeugen, zeigt der DSGVO-Leitfaden für Support-KI.

Wo interne IDs auftauchen

Interne IDs erscheinen an mehr Stellen, als die meisten Teams erwarten.

Interne Dokumente:

• Besprechungsnotizen mit Konto- oder Bestellnummern
• E-Mail-Threads zu Kundenfällen
• Präsentationen mit Fallstudiendaten

An Dritte weitergegeben:

• Berichte an Behörden mit Fallreferenznummern
• Prüfungsdokumente mit Kundenreferenzen
• Lieferantendateien mit Kunden-IDs

Forschung und Analyse:

• Datensätze zur Customer Journey
• Exporte zur Support-Qualitätsprüfung
• Trainingsdaten für interne ML-Modelle

Jeder Kontext benötigt dieselbe Entitätskonfiguration, um wirklich anonyme Ergebnisse zu liefern.

Pseudonymisierung vs. Anonymisierung

Die DSGVO zieht eine klare Linie.

Pseudonymisierung ersetzt IDs durch Platzhalter. Die ursprüngliche Person kann wieder gefunden werden, wenn jemand die Lookup-Tabelle hat. Diese Daten sind weiterhin personenbezogen. Das Risiko sinkt. Ihre DSGVO-Pflichten entfallen nicht.

Anonymisierung beseitigt die Möglichkeit zur Re-Identifikation. Anonyme Daten sind keine personenbezogenen Daten. Die DSGVO gilt nicht für sie.

Konto- und Bestellnummern sind pseudonym, wenn Lookup-Tabellen existieren. Feste Platzhalter senken das Risiko, aber die DSGVO bleibt anwendbar. Zufällige Tokens — und die Löschung des Schlüssels — beseitigen die DSGVO-Pflicht, machen aber Join-Analysen unmöglich.

Bei Weitergabe an Dritte ohne Ihre Lookup-Tabellen kann Pseudonymisierung ausreichen. Für interne Analysen sind vollständige Anonymisierung oder strenge Zugriffskontrollen erforderlich. Der rechtliche Compliance-Leitfaden zeigt, wie Sie jeden Ansatz für Ihr Verarbeitungsverzeichnis dokumentieren.

Fazit

Die Lücke ist kein Werkzeugversagen. Es ist eine Konfigurationslücke. Kein Tool kann Ihr Kontonummernformat kennen, wenn Sie es nicht konfigurieren.

Die eigene Entitätskonfiguration schließt die Lücke in Stunden. Compliance-Teams legen die Formate fest, testen sie an Beispieldaten und wenden sie in allen Verarbeitungsmodi an. Technische Hilfe ist nicht erforderlich.

Die 180.000 ungeschwärzten Kontonummern waren nicht da, weil das Tool versagt hat. Sie waren da, weil das Tool nie angewiesen wurde, nach ihnen zu suchen.

Quellen

• DSGVO Artikel 4(5), 5(1)(e): Pseudonymisierung und Datensparsamkeit
• WP29/EDPB Stellungnahme 05/2014 zu Anonymisierungstechniken
• Microsoft Presidio: Dokumentation benutzerdefinierter Erkennungsmodule