Welche Anforderungen an pseudonyme Daten nach DSGVO bestehen

Hinweise zur Pseudonymisierung

Pseudonymisierung bedeutet vereinfacht ausgedrückt, dass Daten durch entsprechende Verfahren von ihrem Personenbezug befreit werden, wie das Bundesinnenministerium (BMI) erläutert. Die Pseudonymisierung führt aus Sicht des BMI zu einer “Win-win”-Situation: Sie dient dem Schutz des Betroffenen, weil dieser dank Pseudonymisierung nicht mehr so leicht identifiziert werden kann. Die Unternehmen, die eine Pseudonymisierung durchführen, führen eine wichtige Maßnahmen für den Schutz der personenbezogenen Daten durch.

In der Datenschutz-Grundverordnung (DSGVO/GDPR) findet man zur Pseudonymisierung insbesondere:

• „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
• Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
• Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.
• Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
• Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen.
• Durch die ausdrückliche Einführung der „Pseudonymisierung“ in der Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.

Kurz gesagt, bedeutet dies: Wenn sich eine Pseudonymisierung mit „nicht zu hohem” Aufwand umkehren lässt, muss man bei pseudonymen Daten trotzdem von einem möglichen Personenbezug ausgehen. Man muss also die unbefugte Aufhebung der Pseudonymisierung als möglichen Angriff auf den Datenschutz berücksichtigen.

Trotzdem ist die Pseudonymisierung eine zentrale Maßnahme für die Datensicherheit, die aber andere, weitere Maßnahmen nicht ausschließen soll.

Empfehlungen aus dem neuen Arbeitspapier

Wie die DSGVO darlegt, können zum Beispiel Verbände Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der DSGVO beispielsweise zur Pseudonymisierung personenbezogener Daten präzisiert wird. Diese Verhaltensregeln müssen dann von der zuständigen Aufsichtsbehörde geprüft werden.

Unterstützung auf dem Weg hin zu solchen Verhaltensregeln oder einem Standard bietet das neue Arbeitspapier der Fokusgruppe Datenschutz. Wichtige Hinweise und Empfehlungen aus diesem Arbeitspapier sind zum Beispiel:

• Für die Überwachung des Pseudonymisierungsprozesses ist durch die verantwortliche Stelle eine Person, beispielsweise ein Fachverantwortlicher, zu bestimmen.
• Ob Pseudonymisierung als Maßnahme zur Realisierung eines angemessenen Schutzes personenbezogener Daten in Betracht kommt, wird sich in aller Regel aus einer Risikobetrachtung (nach Artikel 32 DSGVO) ergeben.
• Auch bei der Verarbeitung pseudonymer Daten muss an die Betroffenenrechte gedacht werden, darunter Widerspruchsrechte und Auskunftsrechte.
• Die Voraussetzungen für eine rechtssichere Pseudonymisierung sowie die Prozessschritte zur Durchführung einer Pseudonymisierung sind zu dokumentieren.
• Von einem Pseudonym soll, wenn überhaupt, nur unter fest definierten Bedingungen auf die Identitätsdaten geschlossen werden können.
• Ein Pseudonym heißt aufdeckbar, wenn es möglich ist, vom Pseudonym auf die Identitätsdaten der dazugehörigen Person zu schließen. Hierzu ist unter Umständen ein geheimer, nur bestimmten Stellen zugänglicher kryptographischer Schlüssel notwendig.
• Bei der Pseudonymisierung sind die Grundsätze des Datenschutzes einzuhalten, die es bei jedem Verfahren zu beachten gilt, zum Beispiel Löschen von Daten, sobald es möglich ist.

Das Arbeitspapier nennt zudem verschiedene Verfahren und gibt Best Practices für Pseudonymisierungsverfahren. Dazu gehört zum Beispiel die Einführung einer Vertrauensstelle zwischen Datensammelstelle und Datenauswerter sowie die Rollentrennung für Rollen mit Zugriffsberechtigung auf den Schlüssel zur Re-Identifizierung und Rollen mit Zugriff auf die pseudonymisierten Inhaltsdaten.

Zweifellos wird dieses Arbeitspapier (PDF) bei der Entwicklung eines Pseudonymisierungsstandards gute Dienste leisten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!