23. August 2010 - Datenschutz-Schulung

Schwärzung in digitalen Dokumenten: So machen Sie personenbezogene Daten unsichtbar

Selbst Sicherheitsbehörden und Banken machen Fehler bei der Schwärzung personenbezogener Daten in digitalen Dokumenten. Ohne großen Aufwand lassen sich die vertraulichen Informationen rekonstruieren. Sensibilisieren Sie deshalb die Mitarbeiterinnen und Mitarbeiter dafür, dass nicht sichtbar bei digitalen Dokumenten nicht immer wirklich unsichtbar ist.

so-machen-sie-personenbezogene-daten-in-digitalen-dokumenten-unsichtbar.jpeg
Digitale Balken über online veröffentlichten Texten sorgen nicht immer dafür, dass vertrauliche Daten auch vertraulich bleiben (Bild: Thinkstock)

Wenn sicherheitsrelevante Details der Terrorabwehr oder Informationen über Bankkunden im Internet frei verfügbar sind, muss nicht immer ein Datendiebstahl oder ein Hackerangriff dahinter stecken.

Oftmals sind es nur kleine schwarze Balken, die zu einer massiven Datenpanne führen können. Sie sind das Zeichen für den missglückten Versuch, vertrauliche und personenbezogene Daten in digitalen Dokumenten zu schwärzen.

Machen Sie eine Datenschutz-Schulung zur digitalen Schwärzung

Wenn Mitarbeiter personenbezogene Daten auf falschem Weg schwärzen, statt sie zu löschen oder sicher zu sperren, kann einiges schief gehen. Das beste Beispiel ist der schwarze Balken, der einfach über ein Wort oder eine Textpassage in einem Word-Dokument gelegt wird.

Man muss meist kein Hacker sein, um den Text unter dem Balken lesen zu können. Oftmals reicht eine Markierung des Textes rund um den schwarzen Balken und das Umkopieren in eine neue Datei. Der Befehl Copy-and-Paste markiert dabei auch den Text unter dem Balken und macht ihn in der neuen Datei lesbar. Um so etwas zu vermeiden, sollte Ihre Datenschutz-Schulung über das richtige digitale Schwärzen informieren.

Erklären Sie, wie es NICHT funktioniert

Dabei sollten Sie zuerst einmal erläutern, wie digitales Schwärzen nicht gemacht werden sollte. Eine gefüllte, schwarze Fläche über der betreffenden Textpassage als Balken-Form in Microsoft Word oder in einem PDF-Editor ist nicht der einzige Fehler, der gerne gemacht wird.

Manche Anwender glauben sogar, dass es ausreicht, wenn sie die Schriftfarbe im Farbton der Hintergrundfarbe des Dokuments wählen, also meist weiße Schrift auf weißem Grund. Aber selbst erfahrene Anwender machen Fehler beim Löschen und Schwärzen.

Vorsicht Änderungshistorie und Meta-Daten

So kann auch das Löschen, Ersetzen und Anonymisieren von personenbezogenen Daten fehl schlagen, wenn man nicht an die Änderungshistorie und andere verräterische Meta-Daten vieler Editor-Programme denkt. Dann könnten Dritte die gelöschten oder geänderten Passagen wieder sichtbar machen.

Das Ziel lautet echte Schwärzung

Zeigen Sie deshalb in Ihrer Datenschutz-Schulung an einem Beispiel (ohne echte personenbezogene Daten),

  • wie die zu „schwärzenden“ Daten in „XXXX“ abgeändert werden können, aber auch
  • wie sich zum Beispiel bei Word Änderungen sichtbar und damit nachverfolgbar machen lassen (Beispiel Word-Menüpunkt „Überprüfen – Änderungen nachverfolgen“).

Zeigen Sie dann aber auch, wie sich ein Word-Text von seinen Meta-Daten befreien lässt:

  • im Word-Menü „Überprüfen – Änderungen nachverfolgen“ deaktivieren
  • vertrauliche Daten anonymisieren oder durch „XXXX“ ersetzen, um einen neutralen Platzhalter zu haben
  • Menüpunkt „Vorbereiten – Dokument prüfen (im Dokumentinspektor alle Optionen auswählen) – Metadaten löschen – Dokument speichern
  • kompletten Text kopieren und in eine neue Datei umkopieren
  • neue Datei unter passendem Namen speichern
  • Zur Sicherheit auch bei neuer Datei den Dokumentinspektor nutzen, um Metadaten zu löschen

Softwareunterstützung nicht überschätzen

Auf dem Markt gibt es auch Lösungen, die eine automatische digitale Schwärzung anbieten. Ähnlich wie typische Spam-Filter suchen diese Programme nach bestimmten Schlagwörtern in den Dateien, ersetzen die scheinbar vertraulichen Passagen durch nichtssagenden Text, löschen die Metadaten und stellen so eine Art digitale Schwärzung bereit.

Allerdings sollten Sie davor warnen, solchen Werkzeugen unbesehen zu vertrauen. Ähnlich wie Spam-Filter haben auch solche Programme keine hundertprozentige Erkennungsrate und sind nur eine Hilfe, aber keine Ersatzlösung für die manuell gesteuerte digitale Schwärzung.

Richtlinie und Schulung entscheidend

Empfehlen Sie deshalb, die Mitarbeiter in der sicheren Schwärzung elektronischer Dokumente zu schulen, also die entsprechenden Editor-Funktionen bekannt zu machen, bei Bedarf ein spezielles Tool wie Redact-IT, RapidRedact oder ID Shield einzusetzen und eine spezielle Richtlinie zum digitalen Schwärzen einzuführen, die regelt, wer wann die digitalen Dokumente schwärzt und welche Dokumente und Informationen entsprechend behandelt werden sollten.

In jedem Fall sollte nicht vergessen werden, den Erfolg des digitalen Schwärzens zu testen. Sonst könnten die vertraulichen Daten „unter dem schwarzen Balken“ schnell wieder zum Vorschein kommen.

Download:

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln