Icon für Compliance - weißes Paragrafenzeichen auf orangenen Grund –
Compliance

Anonymisierung und Pseudonymisierung personenbezogener Daten – ein kurzer Vergleich

Verfasst von: Urban Zimber

Beide Maßnahmen werden verwendet, um es Dritten zu erschweren, aus einem Datensatz Personenbezüge abzuleiten, durch beide Maßnahmen kann das Datenschutzniveau mit vergleichsweise geringem Aufwand erhöht werden – wo also liegt genau der Unterschied?

Was bedeutet Anonymisierung?

Personenbezogene Daten werden derart verändert, dass diese nicht mehr (oder nur sehr schwer) einer natürlichen Person zugeordnet werden können. Die DSGVO findet dann keine Anwendung mehr, da kein Personenbezug mehr vorliegt.  

Eine wirkliche Anonymisierung ist aber praktisch kaum möglich, denn die Re-Identifizierung der natürlichen Person hängt oft lediglich von dem betriebenen Aufwand ab. Es darf deshalb nicht vorschnell davon ausgegangen werden, dass eine Anonymisierung vorliegt.

Für die Einordnung als anonym wird deshalb auf die Schwelle zur Wiederherstellung abgestellt und ein unverhältnismäßig hoher Aufwand verlangt. Ist eine Re-Identifizierung mit vertretbarem Aufwand möglich, dann liegt keine Anonymisierung vor. Eine Identifizierbarkeit – und somit keine Anonymisierung – liegt auch dann noch vor, wenn die natürliche Person mittels zusätzlicher Informationen von Dritten oder des Verantwortlichen bestimmt werden kann.

Es gibt mehrere Methoden, um Daten zu anonymisieren. Beispielsweise die kryptografische Methode, bei der mittels verschlüsselungs- und oder Hash-Algorithmen die Daten automatisiert anonymisiert werden. Technisch werden dabei durch Algorithmen beispielsweise Namen mittels Zufallsmechanismus in Codes umgewandelt.

Was ist Pseudonymisierung?

Zur Pseudonymisierung findet sich in Art. 4 Nr. 5 DSGVO eine Legaldefinition: „Pseudonymisierung – die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;“

Personenbezogene Daten werden also durch ein Pseudonym ersetzt. Der Personenbezug bleibt bestehen, da eine Zuordnung über einen Abgleich mit dem Schlüssel und damit die Wiederherstellung des Personenbezuges möglich ist. Die DSGVO ist weiterhin anwendbar, da mit den pseudonymisierten Daten weiterhin personenbezogene – beziehungsweise personenbeziehbare –Daten vorliegen.

Beispiel: Bei Tests wird anstatt eines Namens eine Nummer als Pseudonym vergeben. Anhand der Nummer kann das Testergebnis abgefragt werden, denn der Anbieter hat eine weitere Liste, anhand derer sich die Nummer dem Namen zuordnen lässt. Wichtig ist, dass die Zusatzinformationen (der Schlüssel) gesondert und geschützt aufbewahrt werden.

Welche Vorteile hat die Pseudonymisierung?

Datenschutzrechtlich wird die Pseudonymisierung privilegiert, indem einige Vorteile gewährt werden:

  • Die Pseudonymisierung wird in Art. 32 Abs. 1 DSGVO als technische Maßnahme zum Schutz personenbezogener Daten ausdrücklich erwähnt. Die weiteren Anforderungen an TOMs zum Schutze der Datenverarbeitungsprozesse sinken.
  • Erwägungsgrund 29 stellt klar, dass die Datensätze für allgemeine Analysen bei demselben Verantwortlichen verwertbar bleiben, sofern die TOMs getroffen wurden und eine gesonderte Aufbewahrung der Schlüssel stattfindet.
  • Sie entspricht zudem dem Gedanken der Datenminimierung (Art. 5) und wird als Methode in Art. 25 DSGVO genannt.
  • Der Datenverlust ohne die Zusatzinformationen (Datenpanne) führt in der Regel nur zu einem geringen Risiko für die Rechte der betroffenen Personen, so dass die Wahrscheinlichkeit einer Meldepflicht geringer beurteilt werden kann (minimiert das Risiko bei einer Datenpanne). In Erwägungsgrund 28 heißt es: „Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen.“
  • Zudem kann eine Berücksichtigung bei der Interessenabwägung im Rahmen der Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO stattfinden. Beruft sich ein Verantwortlicher auf diese Rechtsgrundlage, dann spricht eine stärkere Pseudonymisierung für ein eher überwiegendes Interesse des Verantwortlichen, da ein besserer Schutz der betroffenen Personen gegeben ist.

Fazit

Die Implementierung einer Pseudonymisierung ist empfehlenswert, wenn Namen vertraulich bleiben sollen oder überhaupt keine Rolle spielen – datenschutzrechtliche Risiken bei Verantwortlichen und Auftragsverarbeitern können so minimiert werden. Je nach Kontext der Verarbeitung wird zur Herstellung eines angemessenen Schutzniveaus beigetragen. Dementsprechend werden vom Verordnungsgeber einige Vorteile bei Anwendung dieser Maßnahme gewährt.

 

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.