k-Anonymität
Was ist k-Anonymität?
k-AnonymitätPrivacy-Modell von Latanya Sweeney, das verlangt, dass jeder Datensatz anhand seiner Quasi-Identifikatoren von mindestens k-1 anderen Datensätzen ununterscheidbar ist.
Die 2002 von Sweeney formalisierte k-Anonymität schützt vor Re-Identifikation, indem jede Kombination von Quasi-Identifikatoren (z. B. Alter, PLZ, Geschlecht) in mindestens k Datensätzen vorkommt und so Äquivalenzklassen bildet. Erreicht wird sie durch Generalisierung (Ersetzen exakter Werte durch Bereiche oder Oberkategorien) und Unterdrückung (Entfernen seltener Werte), häufig mit Algorithmen wie Mondrian oder Incognito. k-Anonymität reduziert Linkage-Angriffe, schützt aber nicht vor Homogenitäts- oder Hintergrundwissen-Angriffen, wenn ein sensibles Attribut innerhalb einer Klasse gleich bleibt – daher die Erweiterungen l-Diversität und t-Closeness. Die Wahl von k bilanziert Datennutzen, Risikobereitschaft und regulatorische Erwartungen gemäß Erwägungsgrund 26 DSGVO.
● Beispiele
- 01
Ein medizinischer Datensatz wird so generalisiert, dass jede Alter/PLZ-Kombination zu mindestens fünf Patient:innen passt (k=5).
- 02
Generalisierung des Geburtsdatums auf das Jahr, um k-Anonymität in einer öffentlichen Forschungspublikation zu erfüllen.
● Häufige Fragen
Was ist k-Anonymität?
Privacy-Modell von Latanya Sweeney, das verlangt, dass jeder Datensatz anhand seiner Quasi-Identifikatoren von mindestens k-1 anderen Datensätzen ununterscheidbar ist. Es gehört zur Kategorie Datenschutz der Cybersicherheit.
Was bedeutet k-Anonymität?
Privacy-Modell von Latanya Sweeney, das verlangt, dass jeder Datensatz anhand seiner Quasi-Identifikatoren von mindestens k-1 anderen Datensätzen ununterscheidbar ist.
Wie funktioniert k-Anonymität?
Die 2002 von Sweeney formalisierte k-Anonymität schützt vor Re-Identifikation, indem jede Kombination von Quasi-Identifikatoren (z. B. Alter, PLZ, Geschlecht) in mindestens k Datensätzen vorkommt und so Äquivalenzklassen bildet. Erreicht wird sie durch Generalisierung (Ersetzen exakter Werte durch Bereiche oder Oberkategorien) und Unterdrückung (Entfernen seltener Werte), häufig mit Algorithmen wie Mondrian oder Incognito. k-Anonymität reduziert Linkage-Angriffe, schützt aber nicht vor Homogenitäts- oder Hintergrundwissen-Angriffen, wenn ein sensibles Attribut innerhalb einer Klasse gleich bleibt – daher die Erweiterungen l-Diversität und t-Closeness. Die Wahl von k bilanziert Datennutzen, Risikobereitschaft und regulatorische Erwartungen gemäß Erwägungsgrund 26 DSGVO.
Wie schützt man sich gegen k-Anonymität?
Schutzmaßnahmen gegen k-Anonymität kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für k-Anonymität?
Übliche alternative Bezeichnungen: k-Anonymisierung.
● Verwandte Begriffe
- privacy№ 274
Datenanonymisierung
Unwiderrufliche Umwandlung personenbezogener Daten, sodass keine Person mehr direkt oder indirekt – auch nicht durch Verknüpfung mit anderen Informationen – identifizierbar ist.
- privacy№ 603
l-Diversität
Erweiterung der k-Anonymität von Machanavajjhala et al., die in jeder Äquivalenzklasse mindestens l gut repräsentierte Werte für jedes sensible Attribut verlangt.
- privacy№ 1126
t-Closeness
Privacy-Modell von Li, Li und Venkatasubramanian, das die l-Diversität verstärkt, indem es begrenzt, wie stark sich die Verteilung eines sensiblen Attributs in einer Klasse von der globalen Verteilung unterscheiden darf.
- privacy№ 317
Differenzielle Privatsphäre
Mathematisches Rahmenwerk, das den Privacy-Verlust bei Statistik-Veröffentlichungen oder Modelltraining quantifiziert und durch kalibriertes Rauschen den Beitrag jeder einzelnen Person beweisbar begrenzt.
- privacy№ 875
Pseudonymisierung
Verfahren, das direkte Identifikatoren in personenbezogenen Daten durch umkehrbare Aliasse ersetzt, sodass die Daten ohne separat verwahrte Zusatzinformationen keiner Person mehr zugeordnet werden können.
- privacy№ 818
Personenbezogene Daten (PII)
Daten, die allein oder in Kombination mit anderen Informationen eine bestimmte Person identifizieren können, z. B. Namen, Identifikatoren oder biometrische Merkmale.