Logo der activeMind AG

Pseudonymisierung von Daten: Anforderungen, Verfahren, Risiken

Inhalt

Durch die Pseudonymisierung können personenbezogene Daten einer betroffenen Person nur noch unter Hinzuziehung weiterer Informationen identifiziert werden. Die Pseudonymisierung kann somit dazu beitragen, den Schutz der Rechte und Freiheiten betroffener Personen zu erhöhen und den datenschutzrechtlichen Grundsatz der Datenminimierung gem. Art. 5 DSGVO einzuhalten. Wie kann jedoch in der Praxis eine datenschutzkonforme Pseudonymisierung aussehen und welche Risiken bestehen?

Was versteht man unter Pseudonymisierung?

Den Begriff der Pseudonymisierung definiert die Datenschutz-Grundverordnung (DSGVO) in Art. 4 Nr. 5. Demnach bedeutet Pseudonymisierung, personenbezogene Daten in einer Weise zu verarbeiten, dass diese Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Die zusätzlichen Informationen müssen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Informationen nicht ohne weiteres mit den pseudonymisierten Daten zusammengeführt werden können.

Diese Definition setzt somit am Personenbezug von Daten an. Bei der Pseudonymisierung wird der Personenbezug entkoppelt und eine Zuordnung ist nur noch durch Hinzuziehung von weiteren Informationen möglich. Diese weiteren Informationen können z.B. eine Tabelle mit einer Zuordnung von Name und Pseudonym oder eine Funktion zur Berechnung der Zuordnung sein.

Abgrenzung der Pseudonymisierung zur Anonymisierung

In Abgrenzung dazu spricht man von Anonymisierung bei einem vollständigen Entfall des Personenbezuges. D.h. die Daten werden in einer Weise verändert, dass eine Zuordnung zu einer bestimmten Person nicht oder nur durch einen unverhältnismäßig hohen Aufwand möglich ist.

Macht etwa eine betroffene Person von ihrem Recht auf Löschung gem. Art. 17 DSGVO Gebrauch, ist eine Anonymisierung der personenbezogenen Daten eine geeignete Möglichkeit, um auswertungsrelevante Daten behalten zu können und nur den Personenbezug zu entfernen. Jedoch ist hierbei zu beachten, dass die Kombination von Merkmalen in der Summe wieder zu einem Personenbezug führen kann. Es ist somit vorab eine umfängliche Analyse der zu anonymisierenden Daten erforderlich.

Lesen Sie hierzu unseren Überblicksartikel zur Beseitigung des Personenbezugs von Daten durch Anonymisierung, Pseudonymisierung und Verschlüsselung.

Einsatz der und Anforderungen an die Pseudonymisierung

Anders als bei der Anonymisierung unterliegen die Daten bei der Pseudonymisierung weiterhin dem Datenschutzrecht. Deswegen ist die Pseudonymisierung von Daten auch kein Ersatz für eine Rechtsgrundlage, wie es im obigen Beispiel der Anonymisierung beim Entzug der Einwilligung zur Datenverarbeitung der Fall ist. Die Pseudonymisierung ist jedoch eine Möglichkeit, die Verarbeitung im Einklang der DSGVO zu gewährleisten, insbesondere in folgenden Fällen:

  • als technische Schutzmaßnahme zur Minimierung des Risikos (Art. 32 DSGVO);
  • durch eine frühe Entkoppelung von personenbezogenen Daten und anderen Daten kann die Umsetzung des Grundsatzes der Datenminimierung erreicht werden (Art. 25 DSGVO);
  • Pseudonymisierung als Ermöglichung der Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden (Art. 6 Abs. 4 DSGVO).

In diesen Anwendungsbereichen ist das Pseudonymisierungsverfahren als eine Maßnahme von mehreren zu sehen. Die Pseudonymisierung und deren Wirkung, insb. ob die Verarbeitung nun im Einklang mit der DSGVO durchzuführen ist, muss stets in Verbindung mit den anderen Maßnahmen bewertet werden.

Bei Einsatz des Pseudonymisierungsverfahrens muss der Stand der Technik berücksichtigt werden.  Das Verfahren ist regelmäßig daraufhin zu überprüfen. Hierfür sollte beim Verantwortlichen ein Fachverantwortlicher benannt werden, der das technische und rechtliche Verständnis zur Steuerung des Prozesses mitbringt.

Verfahren zur Pseudonymisierung

Bei der Wahl eines Pseudonymisierungsverfahrens ist zunächst darauf abzustellen, welches Schutzniveau erreicht werden soll und mit welchem Aufwand die Identifikation einer Person erfolgen kann.

Als Pseudonymisierungsverfahren stehen im Wesentlichen die Listenerstellung und die Berechnungsmethode zur Verfügung:

  • Beim Listenverfahren werden Datensätze anhand einer Tabelle bestimmten Pseudonymen zugeordnet. Hierbei ist darauf zu achten, dass kein direkter Bezug zu den Daten hergestellt wird. Auch ein schlichtes Durchnummerieren ist nicht zu empfehlen, da mittels dieses Verfahrens die zeitliche Reihenfolge oder die Reihung nach Alphabet ersichtlich sein kann. Somit sollte ein beliebiges Pseudonym verwendet werden und es sollte darauf geachtet werden, dass kein Pseudonym doppelt vergeben wird. Es ist folglich auch eine Prüfung erforderlich, dass ein neu vergebenes Pseudonym nicht bereits existiert.
  • Beim Berechnungsverfahren werden die Pseudonyme aus Identitätsdaten algorithmisch berechnet. Durch Anwendung eines kryptographischen Schlüssels kann gewährleistet werden, dass unbefugte Dritte aus den Identitätsdaten nicht das Pseudonym berechnen können. Hierbei ist unbedingt der Stand der Technik zu berücksichtigen, um Schwachstellen bei der Verschlüsselung ausschließen zu können. Durch regelmäßige Wechsel des kryptographischen Schlüssels kann die Sicherheit zudem erhöht werden. Auch sollte der Schlüssel mittels einem dokumentierten Berechtigungskonzeptes verwahrt und vor einer unbefugten Löschung oder Aufdeckung geschützt werden.

Risiken bei der Pseudonymisierung

Ein wesentlicher Effekt eines Pseudonymisierungsverfahrens ist die risikominimierende Wirkung. Ausschlaggebend ist hierbei die Aufbewahrung der „zusätzlichen Informationen“, so dass eine Zuordnung der betroffenen Person zunächst ausgeschlossen werden kann.

Gemäß Erwägungsgrund 29 DSGVO können die Pseudonymisierungsmaßnahmen vollständig in den Händen des Verantwortlichen sein, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen trifft, um „für die jeweilige Verarbeitung – die Umsetzung dieser Verordnung zu gewährleisten“.  Hierbei ist der Zugriff auf die Zuordnungsregeln auf nur wenige Befugte zu beschränken.

Die wesentlichen Risiken, die bei der Pseudonymisierung auftreten können, nennt die Art.-29-Datenschutzgruppe im WP 216, das allerdings schon 2014, also vor der DSGVO veröffentlicht wurde:

  1. Beim Herausgreifen können einzelne Personen noch identifiziert werden, weil die Kombination aus den Informationen so einmalig ist, dass ein Rückschluss möglich ist.
  2. Bei der Verknüpfung können einzelne Datensätze mit Weiteren verkettet werden, um auch so eine Person oder Personengruppe identifizieren zu können.
  3. Mit logischen Schlussfolgerungen (Inferenz) können Informationen aus einem Datensatz abgeleitet werden. Dies ist insbesondere der Fall, wenn Merkmale einen logischen Zusammenhang aufweisen.

Um diese Risiken zu minimieren sind entsprechende Gegenmaßnahmen, abhängig vom Verarbeitungszweck zu wählen (z.B. Randomisierung, Generalisierung). Auch die Zuweisung eines Pseudonyms an zwei unterschiedlichen Datensätzen ist zu vermeiden, da folglich eine genaue Identifizierung einer Person nicht mehr möglich ist und das Risiko besteht, ein Auskunftsersuchen nicht mehr oder nicht an die richtige Person beantworten zu können.

Grundsätzlich kann die Sicherheit des Verfahrens dadurch erhöht werden, dass verschiedene Stufen der Pseudonymisierung von unterschiedlichen, voneinander unabhängigen Stellen durchgeführt werden.

Fazit: Eine detaillierte Prüfung des Verfahrens und deren Risiken ist vor der Pseudonymisierung unerlässlich

Mit der Pseudonymisierung kann zunächst eine anonymisierte Wirkung herbeigeführt werden, wenn das Hinzuziehen weiterer Informationen ausgeschlossen werden kann. Dies muss für jedes Pseudonymisierungsverfahren im Einzelnen geprüft und gewährleistet werden. Auch die technische Entwicklung muss in diese Bewertung einfließen, indem zukünftige Technologien als Risiko bereits bei der Pseudonymisierung zu berücksichtigen sind.

Werden Daten über einen längeren Zeitraum verwendet, ist eine Risikobewertung regelmäßig durchzuführen. Auch eine Dokumentation des Pseudonymisierungsverfahrens gem. Art. 30 DSGVO hat zu erfolgen. Hierbei sind konkrete Informationen zum Verfahren sowie die befugten Personen zur Durchführung des Verfahrens zu erfassen, um der Rechenschaftspflicht nachzukommen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.