anonym.legal
Zurück zum BlogTechnisch

GDPR-konforme ML-Trainingsdaten: Anonymisierung von...

Die DSGVO schränkt die Verwendung personenbezogener Daten für das ML-Training über den ursprünglichen Erhebungszweck hinaus ein.

April 19, 20267 min Lesezeit
ML training dataGDPR data scienceSchrems IItraining dataset anonymizationresponsible AI

GDPR-konforme ML-Trainingsdaten: Anonymisierung von 10.000 Datensätzen ohne Programmierung

Jedes Datenwissenschaftsteam, das mit DSGVO-relevanten Daten arbeitet, hat eine Version dieses Skripts geschrieben:

import re
def anonymize_email(text):
    return re.sub(r'[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+.[a-zA-Z]{2,}', '[EMAIL]', text)

Das ist keine DSGVO-Konformität. Es ist der Ersatz von E-Mail-Adressen. Der Datensatz enthält weiterhin Namen, Telefonnummern, medizinische Aktennummern und ein Dutzend anderer PII-Kategorien, die zu Compliance-Fehlern führen werden.

Die Kluft zwischen "Ich habe die E-Mails anonymisiert" und "dieser Datensatz ist DSGVO-konform für ML-Training" ist groß, folgenschwer und wird routinemäßig unterschätzt.

Warum die DSGVO die Verwendung von ML-Trainingsdaten einschränkt

Das Prinzip der Zweckbindung der DSGVO (Artikel 5(1)(b)) besagt, dass personenbezogene Daten für festgelegte, ausdrückliche und legitime Zwecke erhoben werden dürfen und nicht weiterverarbeitet werden dürfen in einer Weise, die mit diesen Zwecken unvereinbar ist.

Kundendaten, die zur Auftragsabwicklung erhoben wurden, wurden nicht zum Zweck des Trainings eines Empfehlungsmodells erhoben. Gesundheitsdaten, die zur Behandlung erhoben wurden, wurden nicht zum Training eines Modells zur Vorhersage von Wiederaufnahmen erhoben. Umfragedaten, die für Produktfeedback erhoben wurden, wurden nicht zum Training eines Modells zur Sentimentanalyse erhoben.

Die Verwendung dieser Daten für das ML-Training erfordert entweder:

  1. Ausdrückliche Zustimmung von jedem Betroffenen für den Zweck des ML-Trainings (betriebsbedingt komplex, oft nachträglich unmöglich)
  2. Eine Interessenabwägung, die zeigt, dass der Trainingszweck mit der ursprünglichen Erhebung kompatibel ist (rechtlich unsicher, DPA-abhängig)
  3. Anonymisierung — Entfernen oder Ersetzen von PII, sodass die Daten gemäß der DSGVO nicht mehr personenbezogene Daten sind

Eine ordnungsgemäße Anonymisierung ist der Weg des geringsten Widerstands und der größten rechtlichen Sicherheit. Die Herausforderung besteht darin, dies korrekt und konsistent zu tun.

Das Problem mit Ad-Hoc-Anonymisierungsskripten

Datenwissenschaftsteams, die einmalige Python-Skripte für jeden neuen Datensatz schreiben, schaffen sich kumulative Probleme:

Unvollständige Abdeckung: Ein Skript, das für das Schema eines Datensatzes geschrieben wurde, übersieht PII in Spalten, die seit dem letzten Schema-Update hinzugefügt wurden. Klinische Notizen, die vor 6 Monaten hinzugefügt wurden: nicht im Regex-Muster. Kundenmittelname: Regex behandelt nur FIRST_NAME und LAST_NAME-Muster.

Inkonstanz zwischen Datensätzen: Datensatz A wurde mit script_v1.py anonymisiert. Datensatz B wurde mit script_v3.py anonymisiert. Datensatz C wurde von einem anderen Teammitglied anonymisiert, das nichts von script_v3.py wusste. Der zusammengeführte Trainingsdatensatz hat drei verschiedene Anonymisierungsmethoden. Der DPO kann dies nicht zertifizieren.

Kein Prüfpfad: Das Skript wurde ausgeführt. Was hat es geändert? Welche Entitäten wurden gefunden? In welchen Zeilen? Ohne Verarbeitungsmetadaten ist die Compliance-Dokumentation unmöglich. Wenn ein DPA-Auditor fragt: "Wie wissen Sie, dass dieser Trainingsdatensatz anonymisiert ist?", ist "Wir haben ein Python-Skript ausgeführt" keine zufriedenstellende Antwort.

Modellabweichung: Regex-Muster, die auf Daten von 2023 funktionierten, erkennen neue Identifikatoren, die in den Daten von 2024 eingeführt wurden (neues SSN-Format, verschiedene E-Mail-Domainmuster, sich entwickelnde Telefonnummernformate). Skripte aktualisieren sich nicht selbst.

Der Batch-Verarbeitungsansatz

Ein Datenwissenschaftsteam eines KI-Unternehmens im Gesundheitswesen muss 8.000 Patientenakten anonymisieren, bevor ihr US-Team von dem EU-Büro darauf zugreifen kann (Schrems II grenzüberschreitende Datenübertragungsbeschränkung gilt).

Traditioneller Ansatz: Ein Dateningenieur schreibt ein benutzerdefiniertes Python-Anonymisierungsskript. Zeit: 2-3 Tage Entwicklung, 1-2 Tage Test und Überprüfung mit dem DPO, 1 Tag Iteration. Gesamt: 4-6 Tage. Der Zeitplan des ML-Projekts rutscht.

Batch-Verarbeitungsansatz:

  1. Exportieren Sie die 8.000 Datensätze als CSV (Standardformat für Datenwissenschaft)
  2. Hochladen zur Batch-Verarbeitung
  3. Konfigurieren Sie die Entitätstypen: PERSON, EMAIL_ADDRESS, PHONE_NUMBER, US_SSN, MEDICAL_RECORD, DATE_OF_BIRTH, LOCATION
  4. Wählen Sie die Methode: Ersetzen (ersetzen mit realistischen Fake-Daten, um die Struktur des Datensatzes für das ML-Training zu erhalten)
  5. Verarbeiten: 45 Minuten für 8.000 Datensätze
  6. Anonymisierte CSV herunterladen
  7. DPO überprüft Verarbeitungsmetadaten (gefundenen Entitäten pro Datensatz, angewandte Methoden): 2 Stunden
  8. DPO genehmigt, Datenaustausch geht weiter

Gesamtzeit: 45 Minuten Verarbeitung + 2 Stunden DPO-Überprüfung im Vergleich zu 4-6 Tagen Ingenieurarbeit. Der Zeitplan für das ML bleibt auf Kurs.

Ersetzen vs. Schwärzen für ML-Trainingsdaten

Die Wahl der Anonymisierungsmethode ist für die ML-Nutzung wichtig:

Schwärzen (schwarze Balken / Platzhalterersatz): Ersetzt PII durch [REDACTED] oder ein ähnliches Token. Der resultierende Datensatz hat konsistente Platzhalter-Token, wo PII war. Für NLP-Modelle, die darauf trainiert sind, PII zu erkennen, schafft dies einen gekennzeichneten Datensatz. Für Modelle, die auf nachgelagerte Aufgaben (Sentiment, Klassifikation, Empfehlung) trainiert werden, stört das [REDACTED]-Token das natürliche Sprachmodell — das Modell lernt, dass [REDACTED] ein spezielles Token ist, anstatt von der Verteilung realer Namen und Werte zu lernen.

Ersetzen (realistische synthetische Substitution): Ersetzt "John Smith" durch "David Chen" (einen realistischen, aber anderen Namen). Die E-Mail "jsmith@company.com" wird zu "dchen@synthetic.com". Der resultierende Datensatz erhält natürliche Sprachverteilungen — Satzstruktur, Platzierung von Entitäten, Ko-Vorkommensmuster — die für das Training von NLP-Modellen wichtig sind.

Für ML-Trainingsdaten ist Ersetzen die geeignete Methode. Das Modell lernt nicht, die spezifischen gefälschten Werte vorherzusagen (sie sind zufällige Substitutionen), sondern es lernt aus den strukturellen und kontextuellen Mustern, wie Namen, E-Mails und andere Entitäten im Text erscheinen.

Schrems II und grenzüberschreitende Datenflüsse

Die Entscheidung Schrems II (CJEU, 2020) hat den EU-US-Datenschutzschild für ungültig erklärt und schafft Unsicherheit für Datenübertragungen von EU- zu US-Servern. Die praktischen Auswirkungen auf die Datenwissenschaft: EU-stammende Trainingsdaten können nicht an ML-Infrastrukturen in den USA (AWS US-East, GCP US-Central) ohne angemessene Übertragungsmaßnahmen gesendet werden.

Angemessene Schutzmaßnahmen umfassen:

  • Standardvertragsklauseln (SCCs) mit Übertragungsfolgenabschätzung
  • Verbindliche Unternehmensregeln (BCRs) für innerbetriebliche Übertragungen
  • Ausnahme für anonymisierte Daten: Ordentlich anonymisierte Daten sind keine personenbezogenen Daten gemäß der DSGVO und unterliegen nicht den Übertragungsbeschränkungen

Für Teams, die US-basierte ML-Infrastrukturen mit EU-stammenden Daten verwenden, beseitigt eine ordnungsgemäße Anonymisierung das Schrems II-Problem vollständig. Der anonymisierte Datensatz ist keine personenbezogene Daten mehr — er kann ohne Anforderungen an Übertragungsmechanismen auf jeder Infrastruktur übertragen, gespeichert und verarbeitet werden.

Dokumentation für die DPO-Genehmigung

Bei der Einreichung anonymisierter Trainingsdaten zur Genehmigung beim DPO sollten Sie bereitstellen:

  1. Beschreibung der Quelldaten: Was war der ursprüngliche Datensatz, was war der Erhebungszweck, welche Kategorien personenbezogener Daten enthielt er?

  2. Anonymisierungskonfiguration: Welche Entitätstypen wurden erkannt und ersetzt? Welche Methode wurde angewendet?

  3. Verarbeitungsmetadaten: Anzahl der pro Datensatz erkannten Entitäten, Erkennungszuverlässigkeitswerte, insgesamt verarbeitete Datensätze

  4. Rest-Risiko-Bewertung: Wie hoch ist die Wahrscheinlichkeit, dass eine Person aus dem anonymisierten Datensatz re-identifiziert werden könnte? Bei der Ersetzungsanonymisierung mit über 285 angewendeten Entitätstypen auf strukturiertem Text ist diese Wahrscheinlichkeit für die meisten Trainingsdatensätze sehr gering.

  5. Geplanter Einsatz: Welches ML-Modell wird trainiert? Was ist der Trainingszweck?

Die Verarbeitungsmetadaten aus der Batch-Verarbeitung liefern die Punkte 2-3 automatisch. Die Punkte 1, 4 und 5 erfordern den Input des Datenwissenschaftlers.

Fazit

DSGVO-konforme ML-Trainingsdaten sind erreichbar, ohne ad-hoc Skripting, ohne mehrtägige Ingenieurverzögerungen und ohne die Nützlichkeit des Datensatzes für das Modelltraining zu opfern. Die Ersetzungsanonymisierungsmethode bewahrt die Eigenschaften der natürlichen Sprache, die Daten für das Training von NLP-Modellen nützlich machen, während sie die personenbezogenen Datenmerkmale entfernt, die eine DSGVO-Haftung schaffen.

45 Minuten Batch-Verarbeitung sind der Unterschied zwischen einer zeitverzögernden Compliance-Überprüfung und einer unkomplizierten DPO-Genehmigung.

Quellen:

Verwandte Artikel

Technisch

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Technisch

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Technisch

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen