So gelingt die Pseudonymisierung personenbezogener Daten
Pseudonymisierung kann im Datenschutz eine wichtige Rolle übernehmen. Damit Daten aber als pseudonym eingestuft werden können, müssen genaue Vorgaben eingehalten werden.
Pseudonymisierung personenbezogener Daten kann viele Funktionen im Datenschutz übernehmen, wenn sie richtig gemacht wird. Zum Beispiel kann Pseudonymisierung eine ergänzende technische Maßnahme sein, um bei einer Datenübermittlung in ein Drittland ein angemessenes Datenschutzniveau zu erreichen.
Der Europäische Datenschutzausschuss (EDSA) gibt dazu folgendes Beispiel: Ein Datenexporteur pseudonymisiert die von ihm gehaltenen Daten, bevor er sie zur Analyse ins Drittland übermittelt, zum Beispiel zu Forschungszwecken.
Die Pseudonymsierung stellt dann eine effektive, ergänzende Maßnahme dar, wenn
- der Datenexporteur die personenbezogenen Daten in solcher Weise übermittelt, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen weder einer spezifischen betroffenen Person zugeordnet noch dazu verwendet werden können, die betroffene Person in einer größeren Gruppe zu identifizieren,
- die zusätzlichen Informationen allein vom Datenexporteur und separat gehalten werden, und zwar in einem Mitgliedstaat oder in einem Drittland, in einem Gebiet oder in einem oder mehreren bestimmten Sektoren eines Drittlands oder bei einer internationalen Organisation, wobei die Kommission durch einen Angemessenheitsbeschluss gemäß Artikel 45 DSGVO festgestellt hat, dass dort ein angemessenes Schutzniveau gewährleistet ist,
- die Offenlegung oder die unerlaubte Verwendung der zusätzlichen Informationen durch geeignete technische und organisatorische Garantien verhindert wird und sichergestellt ist, dass die Kontrolle über den Algorithmus oder den Datenspeicher, der die Re-Identifizierung anhand der zusätzlichen Informationen ermöglicht, allein beim Datenexporteur liegt, und
- der Verantwortliche durch gründliche Analyse der betreffenden Daten, unter Berücksichtigung sämtlicher Informationen, die den Behörden im Empfängerland zur Verfügung stehen mögen, festgestellt hat, dass die pseudonymisierten personenbezogenen Daten keiner identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können, selbst wenn sie mit derartigen Informationen abgeglichen werden sollten.
Offensichtlich sind dies zahlreiche Punkte, die erfüllt sein müssen, damit eine Pseudonymisierung für den Datenschutz wirksam ist.
Doch es lohnt sich ausdrücklich, sich mit Pseudonymisierung genauer zu befassen, denn sie kann noch mehr ermöglichen.
Was Pseudonymisierung alles leisten kann
Betrachtet man die Bedeutung von Pseudonymisierung in der Datenschutz-Grundverordnung (DSGVO), findet man darin insbesondere eine Schutzfunktionen (nach Artikel 32 DSGVO), eine Funktion für die Datenminimierung (früher Datensparsamkeit) und eine Funktion zur Minderung der Risiken.
Auch die EU-Agentur für Cybersicherheit ENISA hat sich zur Bedeutung der Pseudonymisierung geäußert: Die Pseudonymisierung ist zwar kein neues Verfahren, sie wurde jedoch 2018 mit der Durchsetzung der DSGVO ins Rampenlicht gerückt, in der die Pseudonymisierung als Sicherheits- und Datenschutzmechanismus bezeichnet wird, so ENISA. Allerdings sollte die Pseudonymisierung mit einer gründlichen Bewertung des Sicherheits- und Datenschutzrisikos kombiniert werden.
Da es keine einheitliche Pseudonymisierungstechnik gibt, ist ein hohes Maß an Kompetenz erforderlich, um Bedrohungen zu reduzieren und die Effizienz bei der Verarbeitung pseudonymisierter Daten in verschiedenen Szenarien aufrechtzuerhalten, wie ENISA betont.
Ein neuer ENISA-Bericht soll deshalb Datenverantwortliche und -verarbeiter bei der Implementierung der Pseudonymisierung unterstützen, indem mögliche Techniken und Anwendungsfälle dargestellt werden, die für verschiedene Szenarien geeignet sind.
Empfehlungen zur Pseudonymisierung von ENISA
ENISA empfiehlt folgendes Vorgehen, um eine wirksame Pseudonymisierung zu erreichen, die die in der DSGVO vorgesehenen Funktionen übernehmen kann:
- Jeder Fall der Verarbeitung personenbezogener Daten muss analysiert werden, um die am besten geeignete technische Option in Bezug auf die Pseudonymisierung zu ermitteln.
- Ein eingehender Blick auf den Kontext der Verarbeitung personenbezogener Daten ist erforderlich, bevor die Datenpseudonymisierung angewendet wird.
- Die kontinuierliche Analyse des Standes der Technik im Bereich der Datenpseudonymisierung ist Pflicht, da neue Forschungs- und Geschäftsmodelle neue Wege beschreiten.
- Die Entwicklung fortschrittlicher Pseudonymisierungsszenarien für komplexere Fälle ist notwendig, beispielsweise wenn das Risiko der Verarbeitung personenbezogener Daten als hoch eingeschätzt wird.
Der Report Data Pseudonymisation: Advanced Techniques and Use Cases baut auf den früheren ENISA-Arbeiten Pseudonymisation Techniques and Best Practices auf. Als Verfahren einer Pseudonymisierung stellt der Bericht insbesondere Asymmetric Encryption, Ring Signatures und Group Pseudonyms, Chaining Mode, Pseudonyms based on Multiple Identifiers, Pseudonyms with Proof of Knowledge und Secure Multi-Party Computation vor.
Wertvoll ist auch, dass jeweils Anwendungsfälle zum Beispiel aus Gesundheitswesen und Cybersicherheit vorgestellt werden. Der ENISA-Bericht schließt mit wichtigen Hinweisen an die Unternehmen als Verantwortliche für den Datenschutz:
Datenverantwortliche und Verarbeiter sollten sich auf der Grundlage einer Sicherheits- und Datenschutzrisikobewertung und unter gebührender Berücksichtigung des Gesamtkontexts und der Merkmale der Verarbeitung personenbezogener Daten mit der Pseudonymisierung von Daten befassen. Dies kann auch Verfahren für betroffene Personen umfassen, um persönliche Daten auf ihrer Seite zu pseudonymisieren (zum Beispiel bevor Daten an den Controller / Prozessor übermittelt werden), um die Kontrolle über ihre eigenen persönlichen Daten zu verbessern (sprich: die Pseudonymisierung wird den Betroffenen selbst ermöglicht).
Datencontroller und Prozessoren sollten mögliche Szenarien berücksichtigen, die fortgeschrittene Pseudonymisierungstechniken unterstützen können, die unter anderem auf dem Prinzip der Datenminimierung basieren (sprich: die Datenminimierung kann bei der Aufgabe der Pseudonymisierung wesentlich helfen und umgekehrt).
Es zeigt sich: Pseudonymisierung ist wichtig und anspruchsvoll, aber Unternehmen erhalten zunehmend wertvolle Unterstützung von den Datenschützern und IT-Sicherheitsbehörden. Dies sollte man nutzen.