Die Compliance-Lücke bei Tabellenkalkulationen
PDF-Rotationswerkzeuge können keine Excel-Tabellenkalkulationen verarbeiten. Diese eine Tatsache schafft eine systematische Compliance-Lücke für Organisationen, die personenbezogene Daten im Excel-Format speichern – was in Unternehmensumgebungen fast jede HR-Abteilung, jedes Finanzteam und jede Betriebsabteilung bedeutet.
Die Daten im Jahresbericht der EDPB zeigen, dass die Anfragen nach dem Recht auf Zugang gemäß GDPR von 2021 bis 2024 um 180 % gestiegen sind. Organisationen, die DSARs erhalten, müssen die personenbezogenen Daten des Anfragenden in einem tragbaren Format bereitstellen und gleichzeitig sicherstellen, dass die in denselben Datensatz enthaltenen Daten Dritter angemessen geschützt sind. Für einen Mitarbeitersatz, der in Excel gespeichert ist, bedeutet die Standardantwort – spezifische Zeilen exportieren – immer noch, dass die Daten anderer Mitarbeiter in derselben Datei offengelegt werden. Eine ordnungsgemäße DSAR-Compliance erfordert die Anonymisierung nicht-anfragender Daten pro Datensatz.
Die durchschnittliche Bearbeitungszeit für eine DSAR beträgt 12 Stunden manuell. Für eine Organisation, die 200 DSARs pro Monat erhält – ein bescheidener Umfang für ein mittelständisches Unternehmen – bedeutet dies monatlich 2.400 Arbeitsstunden an Compliance-Überhead. Der manuelle Ansatz skaliert nicht mit dem Volumen an Anfragen, das die EDPB-Daten für den Rest dieses Jahrzehnts projizieren.
Was Excel-Anonymisierung tatsächlich erfordert
Die Anonymisierung von Tabellenkalkulationen stellt Herausforderungen dar, die PDF-Rotationswerkzeuge nicht bewältigen können.
Versteckte Zeilen und Spalten: Excel-Dateien enthalten häufig versteckte Zeilen (Entwurfsdaten, herausgefilterte Datensätze) und versteckte Spalten (Zwischenergebnisse, ursprüngliche Werte vor der Transformation). Ein Rotationswerkzeug, das nur sichtbare Zellen verarbeitet, lässt versteckte PII intakt. Ein Compliance-konformer Excel-Anonymisierer muss alle Blätter, einschließlich der versteckten, verarbeiten.
Eingebettete Formeln: Zellen, die Formeln enthalten, die auf PII in anderen Zellen verweisen, können abgeleitete Werte anzeigen, während die Formel selbst auf die ursprünglichen Daten verweist. Die Anonymisierung des angezeigten Wertes ohne Aktualisierung des Formelverweises lässt die ursprüngliche PII für jeden zugänglich, der die Formel überprüft.
Pivot-Tabellen-Cache: Excel-Pivot-Tabellen cachen die zugrunde liegenden Daten, die zur Erstellung des Pivots verwendet werden. Die Anonymisierung des Quellblatt-Datenblatts löscht nicht automatisch den Pivot-Cache. Ein böswilliger Benutzer, der eine "anonymisierte" Excel-Datei erhält, kann den Pivot-Cache überprüfen, um die ursprünglichen Daten wiederherzustellen.
Querverweise zwischen Blättern: Unternehmens-Excel-Dateien enthalten routinemäßig Querverweise auf Zellen zwischen Blättern. Der Name eines Mitarbeiters kann auf Blatt 1 erscheinen und in Berechnungen auf Blatt 3 referenziert werden. Die Anonymisierung von Blatt 1 ohne Aktualisierung der Verweise auf Blatt 3 hinterlässt einen Verweis auf die anonymisierten Daten, der den ursprünglichen Wert durch die Überprüfung der Formel offenbaren kann.
Der Anwendungsfall der HR-Abteilung
Ein deutsches Fertigungsunternehmen muss 50.000 Mitarbeiterdaten mit einem externen Vergütungsberater für ein Benchmarking-Projekt teilen. Artikel 28 der GDPR verlangt, dass das Teilen personenbezogener Daten mit einem Auftragsverarbeiter (dem externen Berater) angemessene technische Kontrollen umfasst. Die Excel-Datei enthält 37 Spalten, darunter Namen, persönliche E-Mail-Adressen, Wohnadressen, Gehälter, Leistungsbewertungen und Aufzeichnungen über Krankheitsurlaub.
Die manuelle Anonymisierung von 50.000 Zeilen über 37 Spalten ist in keinem Compliance-Zeitrahmen machbar. Das Word- und Excel-Add-in verarbeitet die Tabelle nativ – innerhalb von Microsoft Excel, ohne Export oder Konvertierung. Die Erkennung von PII auf Zellebene identifiziert personenbezogene Daten in allen sichtbaren und versteckten Blättern. Namen werden durch Pseudonyme ersetzt; Adressen durch typgerechte Platzhalter; Gehälter bleiben erhalten (nicht PII), während verwandte persönliche Identifikatoren entfernt werden. Die Anonymisierung verarbeitet 50.000 Zeilen in Minuten statt in Tagen.
Die Konfiguration pro Entität ermöglicht eine unterschiedliche Behandlung verschiedener Datentypen: Namen werden durch konsistente Pseudonyme ersetzt (der gleiche Name in verschiedenen Zellen erhält dasselbe Pseudonym, wodurch die analytische Nützlichkeit erhalten bleibt); SSNs werden durch maskierte Zeichenfolgen ersetzt; Adressen werden durch stadtbasierte Annäherungen ersetzt; persönliche E-Mail-Adressen werden durch rollenbasierte Platzhalter ersetzt.
Quellen: