Anonymisierung
Sensible Daten werden durch reversible Token ersetzt, bevor sie Ihren Perimeter verlassen. Die Engine ist StellarGate; diese Seite beleuchtet das Gesamtbild — wann Sie sie einsetzen, wie sie sich integriert und welche Compliance-Implikationen bestehen.
Wann anonymisieren
Zwei Hauptszenarien:
Aufruf externer LLMs
Sie möchten GPT-4, Claude oder Gemini nutzen. Sie dürfen keine echten Kunden-/Patienten-/Mandantendaten senden. Leiten Sie die Anfrage über StellarGate — das LLM erhält Token statt PII, die Antwort wird aufgelöst, bevor Ihre Anwendung sie sieht.
Aufnahme sensibler Dokumente
Forschungsinterviews, Patientenakten, juristische Zeugenaussagen. Anonymisieren Sie bei der Aufnahme, damit selbst interne Suchen und Agenten auf tokenisierten Inhalten operieren. In Kombination mit einem separaten Token-Tresor, der nur autorisierten Benutzern zugänglich ist, ergibt das eine starke interne Kompartimentierung.
Zwei Nutzungsmodi
Reversible Tokenisierung (Standard)
Entitäten werden durch Token ersetzt. Eine Zuordnung zwischen Token und Originalen liegt in einem verschlüsselten Tresor. Autorisierte Benutzer (oder Workflows) können Token wieder zu den Originalen auflösen. Die meisten Anwendungsfälle erfordern dies — letztlich müssen Sie Endbenutzern echte Daten anzeigen.
Irreversible Anonymisierung
Für Forschungsdatensätze, die das „Recht auf Vergessenwerden“ der DSGVO unbegrenzt überstehen müssen, ersetzt die irreversible Anonymisierung PII durch generische Platzhalter und vernichtet die Zuordnung. Einmal erledigt, gibt es keinen Weg zurück. Mit Vorsicht verwenden — dies ist dauerhaft.
Was erkannt wird
Über 15 Entitätskategorien out of the box. Siehe StellarGate-Erkennung für die vollständige Liste.
Deterministisch vs. probabilistisch
Eine entscheidende Eigenschaft: Deterministische Regeln (Wörterbücher, Regex) laufen vor der ML-Erkennung. Steht ein Begriff in einem Wörterbuch, wird er in 100 % der Fälle ersetzt. ML deckt den Long Tail ab.
Für die Compliance sind die Wörterbücher das, wonach Ihr Auditor fragen wird. Mit ML erreichen wir eine breite Abdeckung.
Integrationspunkte
Innerhalb von StellarBase
Die Anonymisierung ist ein integrierter Workflow-Knoten. Platzieren Sie ihn vor jedem externen LLM-Aufruf; platzieren Sie ihn bei der Aufnahme für sensible Quellen. Die Plattform bietet sinnvolle Standardwerte — die meisten Kunden konfigurieren die Anonymisierung nicht pro Workflow.
Als eigenständiger Proxy
Leiten Sie Ihre OpenAI-/Anthropic-/Gemini-SDK-Aufrufe über StellarGate. Keine Workflow-Konfiguration erforderlich; eine URL-Änderung in Ihrer Anwendung. Siehe Betriebsmodi.
In Ihrem eigenen Code
Rufen Sie StellarGate direkt über das SDK für maßgeschneiderte Integrationen auf. Nützlich, wenn Sie StellarBase nicht verwenden, aber die Anonymisierungsschicht wünschen.
DSGVO-Implikationen
Pseudonymisierung (reversible Tokenisierung mit einem separat aufbewahrten Schlüssel) wird in Artikel 32 der DSGVO ausdrücklich als geeignete technische Maßnahme empfohlen. Die (irreversible) Anonymisierung nimmt Daten vollständig aus dem Geltungsbereich der DSGVO heraus — die Hürde ist jedoch hoch („sodass die natürliche Person nicht oder nicht mehr identifizierbar ist“).
StellarGate führt standardmäßig eine Pseudonymisierung durch. Für eine DSGVO-„Anonymisierung“ im strengen Sinn kombinieren Sie die Token-Ersetzung mit:
- Generalisierung von Quasi-Identifikatoren (Altersbereiche statt exakter Altersangaben)
- Durchsetzung von k-Anonymität über den gesamten Datensatz
- Dauerhafter Vernichtung der Zuordnung
Wir unterstützen diese als Erweiterungen auf Anfrage.
HIPAA-Äquivalent
Für US-Healthcare-Partner werden sowohl die Safe-Harbor-Methode (Entfernung von 18 spezifischen Identifikatoren) als auch Expert Determination über eine individuelle Konfiguration unterstützt. Die 18 Identifikatoren lassen sich direkt auf die integrierten Kategorien von StellarGate plus einige zusätzliche Muster abbilden.
Was die Anonymisierung nicht löst
- Quasi-Identifikatoren — Alter + Geschlecht + Postleitzahl können eine Person auch ohne Namen re-identifizieren. Verwenden Sie k-Anonymität für Datensätze, bei denen dies relevant ist.
- Linkage-Angriffe — ein sorgfältig formulierter Prompt mit einzigartigem Kontext kann eine Person identifizieren. Für maximale Sicherheit kombinieren Sie ihn mit On-Premise-Inferenz.
- Metadaten-Lecks — Dokument-Zeitstempel, Autorenfelder und Dateipfade können die Identität verraten. Anonymisieren Sie auch die Metadaten.
- Seitenkanal-Lecks — eine abgelehnte Anfrage, ein sichtbarer Fehler oder ein Zeitunterschied können Informationen preisgeben. StellarGate mildert dies ab, eliminiert es aber nicht.
