Die Anonymisierung von Personendaten in PDF-Dateien ist anspruchsvoll. Ein Beispiel dafür liefert unfreiwillig das schweizerische Bundesamt für Gesundheit (BAG).
Der bekannte Datenschutz-Aktivist Paul-Olivier Dehaye hatte das BAG ersucht, ihm sämtliche Anfragen gemäss Öffentlichkeitsgesetz seit März 2020 im Zusammenhang mit der COVID-19-Pandemie zukommen zu lassen.
Das BAG lieferte ihm eine PDF-Datei mit 134 Anfragen im Umfang von 184 Seiten. Im Text der Anfragen sind viele Daten, insbesondere die Daten der anfragenden Personen, geschwärzt.
Das BAG schrieb unter anderem: «Y sont noircis […] toutes les données personnelles, en particulier l’identité du demandeur […].»
Allerdings scheiterte die Anonymisierung am Inhaltsverzeichnis der PDF-Datei. Dort ist für fast jede Anfrage ersichtlich, von wem sie stammt.
In der «Sammelmappe Gesuche 2020» findet sich entsprechend unter anderem meine eigene BGÖ-Anfrage vom 1. Juli 2020.
Was für BGÖ-Anfragen erhält das BAG?
Gemäss der «Sammelmappe» stammen die meisten Anfragen – nicht überraschend – von Journalistinnen und Journalisten.
Aber auch Corona-Leugner nutzen die Möglichkeit, gemäss dem Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) das BAG um die Herausgabe von Dokumenten zu ersuchen.
So ersuchte beispielsweise am 31. März 2020 eine Person, die sich als «Medienschaffende/r» bezeichnete, um Zugang zum «Drehbuch» der COVID-19-Pandemie …
«Bitte gewähren Sie mir Zugang zum ‹Drehbuch› der Corona-Krise, respektive einem Ablauf- und Pandemieplan, wann was zu geschehen hat. Es kann sein, dass dieses Dokument von der WHO oder vom Bundesrat vorgegeben wurde und auch Schritte enthält, wann welche Opferzahlen und wann welche erfundenen Fakten der Öffentlichkeit vermittelt werden sollen.»
… und eine andere Person ersuchte am 14. September 2020 um Daten, um seinen Facebook-Freunden deutlich machen zu können, «dass weder in der Schweiz noch in einigen Kantonen einen ‹zweite Welle› unterwegs» sei.
Im Gesamtbild ging es bei den meisten Anfragen um Daten zur Pandemie oder um Protokolle zum Handeln von Behörden. Dazu kamen zahlreiche Anfragen zur Rolle von Kindern sowie zu den Impfungen.
Was ist das BGÖ?
Öffentlichkeitsgesetz.ch beantwortet die Frage wie folgt:
«Das Öffentlichkeitsgesetz räumt jeder Person das Recht ein, Einsicht in Dokumente der Bundesverwaltung zu nehmen. Das Gesetz sowie die Verordnung regeln diese Einsicht im Detail und zählen die Ausnahmen auf, in denen eine Behörde die Einsicht verweigern kann.»
Öffentlichkeitsgesetz.ch ermöglicht ausserdem mt einem Online-Antrag, mit wenigen Klicks eigene BGÖ-Anfragen zu erstellen und an den richtigen Empfänger zu senden. Auf diesem Weg könnten beispielsweise die Antworten auf die Anfragen aus der «Sammelmappe» angefordert werden.
Der Wortlaut der gesammelten BGÖ-Anfragen an das BAG deuten darauf hin, dass viele Gesuchsteller diesen Online-Antrag verwendet haben.
Siehe auch: Open Source Intelligence – Private Ermittlungen im digitalen Raum.
Und deshalb gibt es in Foxit eine «Sanitze Document» Button (und in Adobe das äquivalent) um gerade solche Informationen rauszulöschen.
@Michael Cartier:
Sind Sie sicher, dass damit auch das Inhaltsverzeichnis gelöscht wird?
Mit Adobe Acrobat 11 kaum. (Mit Foxit schon gar nicht.) Man kann das Inhaltsverzeichnis löschen, den Text anschliessend schwärzen und schlussendlich für Aenderungen (ab Vers. 11) stark verschlüsseln. Nicht vergessen, Metadata zu entfernen («sanitize»).
Oder noch einfacher: Schwärzen und als Tiff speichern.😂
Das «Inhaltsverzeichnis» wird damit nicht gelöscht (aber das war hier ja nicht das Thema), die «Bookmarks» (die automatisch aus den Titeln des Word Dokuments generiert wurden) aber schon. Hier waren die Bookmarks insofern perfid, da jemand die Absatznummerierung via Word-Titel gemacht hat (was auf eine schlecht gemachte Word-Vorlage hinweist, und generell kann man die automatische Generierung von Bookmarks aus den Word-Titeln ausschalten).
Sanitize in Foxit entfernt (nach eigenen Angaben): metadata, embedded content and attached files, scripts, hidden layers, embedded search indexes, stored form data, review and comment data, hidden data from previous document saves, obscured text and images, comments hidden within the body of the PDF file, unreferenced data, links actions and Javascripts, overlapping objects. Und wie ich bestätigen kann, eben auch Bookmarks.
Wenn jemand das sichtbare Inhaltsverzeichnis nicht schwärzt, dem kann auch nicht geholfen werden (na ja, vielleicht gibt es eine KI-unterstützte Lösung, die so etwas anbietet im Sinne von «if you redacted this, do you also want to redact that»).