TechArtTrends - stock.adobe.com
Was bei der Pseudonymisierung von Daten zu beachten ist
Der Europäische Datenschutzausschutz (EDSA) hat eine Leitlinie zur Umsetzung von Pseudonymisierung nach DSGVO (Datenschutz-Grundverordnung) veröffentlicht.
Wenn es darum geht, die Vertraulichkeit von personenbezogenen Daten zu schützen, ist der erste Gedanke: Verschlüsselung. Doch es gibt weitere Schutzmöglichkeiten für vertrauliche Daten, insbesondere die Pseudonymisierung. Die Pseudonymisierung hat sogar noch einen wichtigen Vorteil, wie zum Beispiel die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Meike Kamp erklärt: „Pseudonymisierung bietet einen effektiven Weg, die Vertraulichkeit personenbezogener Daten zu bewahren. Gleichzeitig ermöglicht es Weiterverarbeitungen von Daten, die ansonsten wegen der mit ihnen verbundenen Risiken nicht durchgeführt werden dürften“.
In Zeiten der Digitalisierung könne effektive Pseudonymisierung dabei helfen, die Risiken von Datenverarbeitungen zu minimieren und das Vertrauen der Menschen in den Schutz ihrer Daten zu stärken. Doch wie funktioniert eine solche, effektive Pseudonymisierung? Was fordert der Datenschutz dafür? Viele Unternehmen sind sich nicht sicher, wie sie eine Pseudonymisierung konkret umsetzen können und welche rechtliche Wirkung sie entfaltet.
Dazu nochmals Meike Kamp, BlnBDI: „Daher freue ich mich sehr, dass der Europäische Datenschutzausschuss (EDSA) nun Leitlinien zur Anwendung dieser wichtigen technischen und organisatorischen Maßnahme erlassen hat. Ich verspreche mir davon mehr Rechtssicherheit für Unternehmen und andere Organisationen, die auf Pseudonymisierung setzen.“
Der EDSA stellt die Leitlinien bis zum 28. Februar 2025 zur öffentlichen Konsultation, um Interessengruppen die Möglichkeit zur Stellungnahme zu geben und die Einbeziehung aktueller Entwicklungen in der Rechtsprechung zu ermöglichen.
Welche Wirkung die Pseudonymisierung hat und welche nicht
Gerade in Zeiten von Data Act, Data Governance Act, AI Act und dem steigenden Bedarf an Daten durch KI-Dienste (künstliche Intelligenz) sind effektive Technologien zur Anonymisierung und Pseudonymisierung von personenbezogenen Daten wichtig, die den Vorgaben der Datenschutz-Grundverordnung entsprechen.
Pseudonymisierung ist nach Datenschutz-Grundverordnung (DSGVO) die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Die Identität der betroffenen Personen soll denjenigen verborgen bleiben, die keinen Zugang zu solchen zusätzlichen Informationen haben.
Bei einer Pseudonymisierung werden die Daten so umgestaltet, dass die Namen und andere identifizierende Angaben entfernt und durch Pseudonyme ersetzt werden. Um ein Pseudonym wieder aufzulösen, gibt es zum Beispiel eine Tabelle, die die Pseudonyme den Daten gegenüberstellt, die sie ersetzt haben. Wichtig ist nun, dass diese Tabelle gegen unbefugte Zugriffe und Einsichtnahme geschützt sein muss, sonst könnten unbefugte Dritte die Pseudonyme aufdecken.
Es stellt sich jedoch die Frage, ob Pseudonymisierung von Daten ausreicht, um dem Datenschutz zu genügen, oder anders gesagt, ob man nach der Pseudonymisierung aus dem Datenschutz „heraus“ ist. Sind also pseudonyme Daten noch ein Fall für den Datenschutz?
Pseudonymisierung ist nicht der Weg aus dem Datenschutz, sondern in den Datenschutz
Die neuen Leitlinien zur Pseudonymisierung (PDF) des Europäischen Datenschutzausschusses (EDSA) beantworten auch die Frage, ob pseudonyme Daten noch unter den Datenschutz fallen: Pseudonymisierte Daten, die durch die Verwendung zusätzlicher Informationen einer Einzelperson zugeordnet werden könnten, bleiben demnach Informationen, die sich auf eine identifizierbare natürliche Person beziehen und sind daher immer noch personenbezogene Daten. Wenn die Daten vom für die Verarbeitung Verantwortlichen oder einer anderen Person einer Einzelperson zugeordnet werden können, bleiben sie personenbezogene Daten.
Die Pseudonymisierung macht also weiteren Datenschutz nicht unnötig, doch sie vereinfacht den Datenschutz, wie der EDSA ebenfalls erklärt: Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Rechtsgrundlage erleichtern (Artikel 6 DSGVO), sofern alle anderen Anforderungen der DSGVO erfüllt sind. Ebenso kann die Pseudonymisierung dazu beitragen, die Vereinbarkeit mit dem ursprünglichen Zweck sicherzustellen (ebenfalls Artikel 6 DSGVO).
Die Leitlinien des EDSA erläutern auch, wie die Pseudonymisierung Organisationen dabei helfen kann, ihren Verpflichtungen in Bezug auf die Umsetzung von Datenschutzgrundsätzen, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen und Sicherheit der Verarbeitung personenbezogener Daten (Artikel 32 DSGVO) nachzukommen.
Nicht zuletzt analysieren die Leitlinien technische Maßnahmen und Sicherheitsvorkehrungen bei der Verwendung von Pseudonymisierung, um Vertraulichkeit zu gewährleisten und die unbefugte Identifizierung von Einzelpersonen zu verhindern.
Unternehmen tun also gut daran, die neuen Leitlinien zur Weiterentwicklung des eigenen Datenschutzkonzepts zu nutzen. Auch die Bundesdatenschutzbeauftragte Prof. Dr. Louisa Specht-Riemenschneider bekräftigt den Wert der Pseudonymisierung: „Die Pseudonymisierung kann es für Verantwortliche einfacher machen, sich auf ein berechtigtes Interesse als Rechtsgrundlage bei der Datenverarbeitung zu berufen. Dies kann insbesondere in der wissenschaftlichen Forschung helfen, mehr daten- und damit evidenzbasierte Erkenntnisse zu erzielen“.
