Zum Inhalt

ADR-003: Differential Privacy statt reiner k-Anonymitaet

Status: Accepted Datum: 2026-03-21 Entscheider: Tarek, Strategic Claude

Kontext

Cross-Tenant Benchmarks aggregieren Daten ueber Mandantengrenzen hinweg. Der Datenschutz dieser Aggregation musste konzipiert werden.

Entscheidung

Cross-Tenant Benchmarks nutzen k-Anonymitaet (k>=5) + Laplace-Noise (Differential Privacy) + l-Diversity + dynamisches Kohorten-Merging.

Begruendung

k-Anonymitaet allein ist bei hochdimensionalen Daten angreifbar (Downcoding Attack, Hintergrundwissen). Laplace-Noise fuegt Randomisierung hinzu, die auch bei Hintergrundwissen schuetzt. l-Diversity verhindert Homogenitaets-Angriffe. Dynamisches Merging loest das Problem zu kleiner Kohorten (z.B. "Villen in Flensburg").

Konsequenzen

  • SystemBenchmark-Aggregation muss alle vier Mechanismen implementieren
  • Benchmarks sind statistisch leicht ungenau, dafuer datenschutzrechtlich robust
  • Kohorten werden automatisch zusammengefasst wenn n < k