Direkte Identifikatoren personenbezogener Informationen
Wenn man über Anonymität nachdenkt, sollte man zuerst direkte Identifikatoren prüfen.
Direkte Identifikatoren sind Informationen, die allein schon leicht einer Person oder Beteiligten näherkommen.
Dazu gehören Name, E-Mail-Adresse, Telefonnummer, Adresse, Gesichtsfoto, Breiten- und Längengrad, SNS-Handle, Personalnummer, Matrikelnummer und Ähnliches.
Auch wenn man „die IP-Adresse verbirgt“, „ nutzt“ oder „ein Aliaskonto erstellt“, bricht Anonymität, wenn im Text oder in Dateien direkte Identifikatoren bleiben.
Dieser Artikel ordnet, was direkte Identifikatoren sind, wo sie leicht zurückbleiben und wie man sie vor Veröffentlichung prüft.
Was direkte Identifikatoren sind
Direkte Identifikatoren sind Informationen, die direkt auf eine Person oder Beteiligte zeigen.
Art
Beispiel
Hinweis für Anonymität
Name
Klarname, früherer Name, mit Klarname verbundener Spitzname
nähert sich allein der Person
Kontakt
E-Mail, Telefonnummer, SNS ID
verbindet sich mit Konto oder früheren Informationen
Direkte Identifikatoren sind stärkere Informationen als viele andere Hinweise.
Schon allein kommen sie einer Person leicht näher; zusammen mit anderen Informationen werden sie noch stärker.
Direkte Identifikatoren bleiben auch außerhalb des Textes
Direkte Identifikatoren stehen nicht nur im Haupttext.
Sie können in Dateinamen, Bildern, PDFs, Office-Dokumenten, URLs, Metadaten, Screenshots und Audio bleiben.
Ort
Verbleibende Information
Text
Name, Adresse, E-Mail, Telefonnummer
Bild
Gesicht, Namensschild, Versandetikett, Dokumente
Dateiname
Klarname, Abteilungsname, Vorgangsname
Metadaten
Erstellername, Gerätename, GPS
URL
Werte wie email, name, user, token
Audio
eigene Stimme, Gespräche in der Umgebung, Namensrufe
Auch wenn der Name aus dem Text entfernt ist, schwächt ein Namensschild im Bild oder ein Erstellername im PDF Anonymität deutlich.
Direkte Identifikatoren sucht man im gesamten Veröffentlichungsobjekt.
Vermischung von Alias und Klarname
Bei anonymer Aktivität nutzt man manchmal Aliasnamen oder Rollenbezeichnungen.
Das ist hilfreich, wird aber gefährlich, wenn es sich mit Klarnamen vermischt.
Wenn im Profil eines anonymen Kontos ein Alias steht, die Kontaktmail aber eine Klarnamenadresse ist, entsteht Korrelation.
Auch ein anonymer Beitrag verbindet sich, wenn der Dateiname eines Bildes den Klarnamen enthält.
Vermischung
Was passiert
Alias + Klarnamenmail
Konto nähert sich der Person
Anonymer Beitrag + Klarname im Dateinamen
Datei zeigt die Person
Anonymes Profil + alter Handle
verbindet sich mit früherem Konto
Anonymer Kontakt + Klarnamentelefonnummer
Kontakt zeigt die Person
Anonyme Unterlage + Erstellername
Herkunft des Dokuments wird sichtbar
Wenn man einen Alias nutzt, trennt man auch Kontaktwege, Dateien, Browser und Beitragsinhalte.
Nur den Namen zu ändern, ist schwach, wenn die Umgebung weiter zur Klarnamenumgebung gehört.
Hinweise beim Entfernen direkter Identifikatoren
Direkte Identifikatoren sollte man manchmal schlicht entfernen.
Je nach Kontext ist aber auch die Ersatzformulierung wichtig.
Ausgangsinformation
Ersatzbeispiel
Hinweis
Taro Yamada
Person A, zuständige Person, eine Person
Rolle nicht zu erkennbar machen
Shibuya-ku X
in Tokio, in der Kanto-Region
Genauigkeit senken
Firmenname
ein Unternehmen, eine zugehörige Organisation
nicht durch Branche und Größe wieder eingrenzen
Telefonnummer
entfernen
besser nicht ersetzen
Breiten- und Längengrad
Regionsangabe
genaue Position nicht herausgeben
Auch die Ersatzformulierung kann ein neuer Hinweis werden.
Eine Formulierung wie „ein kleines medizinisches Startup in Tokio mit der einzigen Buchhaltungsperson“ grenzt Kandidaten trotz entfernten Klarnamens ein.
Prüfung vor Veröffentlichung
Direkte Identifikatoren prüft man in dieser Reihenfolge.
Reihenfolge
Zu prüfen
Grund
1
Text lesen
Namen, Adresse und Kontakt suchen
2
Bilder und Videos ansehen
Gesicht, Namensschild, Dokumente und Reflexion prüfen
3
Dateinamen ansehen
prüfen, ob Klarname oder Vorgangsname bleibt
4
Metadaten ansehen
Ersteller, GPS und Gerätename prüfen
5
URL ansehen
prüfen, ob Suchbegriffe, E-Mail oder Einzel-ID bleibt
6
Audio anhören
Namensrufe oder Gespräche prüfen
Schon ein einzelner verbleibender direkter Identifikator ist ein starker Hinweis.
Vor Veröffentlichung prüft man auch Orte außerhalb des Haupttexts.
Bei hohem Risiko
Bei Quellenschutz, internem Hinweisgeben, Kontakten von Aktivistinnen und Aktivisten oder Beratungen mit Bezug auf Familie und Arbeitsplatz behandelt man direkte Identifikatoren besonders vorsichtig.
Nicht nur die eigene Person, sondern auch Namen, Gesichter, Stimmen, Zugehörigkeiten und Kontakte Beteiligter müssen geschützt werden.
Auch wenn man direkte Identifikatoren entfernt hat, können Beteiligte aus Zeitlinie oder Arbeitsinhalt erschlossen werden.
Bei hohem Risiko sollte man nicht allein anhand eines Artikels entscheiden, sondern Beratung durch vertrauenswürdige Unterstützungsstellen oder Fachleute erwägen.
Häufige übersehene Stellen
Direkte Identifikatoren bleiben nicht nur dort, wo die Person sie selbst eingegeben hat.
Übersehen
Was passiert
Benachrichtigung im Screenshot
E-Mail, Kontakt oder Kontoname erscheint
Bildhintergrund
Namensschild, Versandetikett oder Schulname erscheint
PDF-Ersteller
Klarname bleibt in Dokumenteigenschaften
URL-Parameter
email, user, token und Ähnliches bleibt
Namensruf im Audio
Menschen in der Umgebung nennen einen Namen
Direkte Identifikatoren sind manchmal gefährlicher, wenn sie durch Aufnahme oder automatische Speicherung bleiben, als wenn sie bewusst geschrieben wurden.
Man prüft nicht nur „im Text steht es nicht“, sondern „im gesamten Veröffentlichungsobjekt bleibt es nicht“.
Unterschied zwischen Entfernen und Ersetzen
Bei direkten Identifikatoren gibt es Informationen, die besser entfernt werden, und Informationen, die besser ersetzt werden.
Telefonnummern und E-Mail-Adressen werden grundsätzlich entfernt.
Wenn für die Bedeutung des Textes eine Person nötig ist, ersetzt man sie durch eine Rollenbezeichnung.
Auch Rollenbezeichnungen können aber zu eng und damit Identifikatoren werden.
„Die damals anwesende zuständige Person“ kann mehr Kontext erhalten als „Person A“, grenzt aber bei wenigen Beteiligten weiterhin Kandidaten ein.
Nach dem Ersetzen prüft man, wie der Text für Menschen wirkt, die die Umstände kennen.
Auch Identifikatoren Beteiligter prüfen
Direkte Identifikatoren gehören nicht nur einem selbst.
Auch Namen, Gesichter, Stimmen und Kontakte von Familie, Freunden, Kolleginnen und Kollegen, Quellen und Teilnehmenden werden geprüft.
Auch wenn man selbst anonym bleiben will, kann ein Identifikator Beteiligter über diese Person zur eigenen Person führen.
Anonymität ist nicht nur die Arbeit, sich selbst zu verbergen.
Um Beteiligte nicht hineinzuziehen, prüft man am Ende, ob im Veröffentlichungsobjekt direkte Identifikatoren anderer Menschen bleiben.
Zusammenfassung
Direkte Identifikatoren sind Informationen, die direkt zu einer Person oder Beteiligten führen können.
Dazu gehören Name, E-Mail-Adresse, Telefonnummer, Adresse, Gesicht, Stimme, Koordinaten, Personalnummer, Matrikelnummer und SNS-Handle.
Direkte Identifikatoren bleiben nicht nur im Haupttext, sondern auch in Bildern, Dateinamen, Metadaten, URLs und Audio.
Wenn Anonymität nötig ist, reicht es nicht, nur den Namen zu entfernen.
Man betrachtet das gesamte Veröffentlichungsobjekt und prüft, ob Klarnamenumgebung und anonyme Umgebung vermischt sind.
Wenn direkte Identifikatoren bleiben, entscheidet man sich für Entfernen, Verallgemeinern, Verschieben der Veröffentlichung oder Nicht-Veröffentlichen.
Verwandte Werkzeuge
Breach check
Have I Been Pwned
Eine externe Ressource zu diesem Artikel. Öffne sie nur, wenn sie zu deiner Situation und deinem Bedrohungsmodell passt.
Warum es hier aufgeführt ist: Sie kann beim Thema des Artikels helfen, liegt aber außerhalb von Anonymity Sense und sollte vor der Nutzung geprüft werden.
Direkte Identifikatoren personenbezogener Informationen
Direkte Identifikatoren wie Name, Kontakt, Adresse, Gesicht, Stimme, Koordinaten, Nummern, Dateinamen, Metadaten und URLs müssen vor Veröffentlichung geprüft werden.