Welche Anforderungen an pseudonyme Daten nach DSGVO bestehen
Die Fokusgruppe Datenschutz hat Erläuterungen zur Pseudonymisierung nach Datenschutz-Grundverordnung veröffentlicht. Dies hilft Unternehmen bei der Umsetzung.
Im Rahmen des Digital-Gipfels 2018 hat die sogenannte „Fokusgruppe Datenschutz“ ein aktuelles Dokument veröffentlicht, das die Möglichkeiten der Pseudonymisierung im Rahmen der Datenschutz-Grundverordnung (DSGVO/GDPR) beleuchtet. Die Fokusgruppe Datenschutz, zu der unter anderem Vertreter der Aufsichtsbehörden gehören, hatte bereits 2017 ein erstes Whitepaper dazu vorgelegt. Gegenstand des Papers waren Leitlinien für eine rechtssichere Nutzung von Pseudonymisierungslösungen unter Berücksichtigung der DSGVO.
In 2018 setzte die Fokusgruppe ihre Arbeit fort und legte ein aktuelles Arbeitspapier vor. Es formuliert Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen. Das Ziel ist der Vorschlag für einen Pseudonymisierungsstandard, mit dem sich die Fokusgruppe Datenschutz im Jahr 2019 befassen will. Der Vorschlag für einen Pseudonymisierungsstandard soll auf dem Digital-Gipfel 2019 vorgelegt werden und der Wirtschaft zu mehr Investitionssicherheit verhelfen, so die Fokusgruppe Datenschutz.
Hinweise zur Pseudonymisierung
Pseudonymisierung bedeutet vereinfacht ausgedrückt, dass Daten durch entsprechende Verfahren von ihrem Personenbezug befreit werden, wie das Bundesinnenministerium (BMI) erläutert. Die Pseudonymisierung führt aus Sicht des BMI zu einer “Win-win”-Situation: Sie dient dem Schutz des Betroffenen, weil dieser dank Pseudonymisierung nicht mehr so leicht identifiziert werden kann. Die Unternehmen, die eine Pseudonymisierung durchführen, führen eine wichtige Maßnahmen für den Schutz der personenbezogenen Daten durch.
In der Datenschutz-Grundverordnung (DSGVO/GDPR) findet man zur Pseudonymisierung insbesondere:
- „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
- Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.
- Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.
- Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
- Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen.
- Durch die ausdrückliche Einführung der „Pseudonymisierung“ in der Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.
Kurz gesagt, bedeutet dies: Wenn sich eine Pseudonymisierung mit „nicht zu hohem” Aufwand umkehren lässt, muss man bei pseudonymen Daten trotzdem von einem möglichen Personenbezug ausgehen. Man muss also die unbefugte Aufhebung der Pseudonymisierung als möglichen Angriff auf den Datenschutz berücksichtigen.
Trotzdem ist die Pseudonymisierung eine zentrale Maßnahme für die Datensicherheit, die aber andere, weitere Maßnahmen nicht ausschließen soll.
Empfehlungen aus dem neuen Arbeitspapier
Wie die DSGVO darlegt, können zum Beispiel Verbände Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung der DSGVO beispielsweise zur Pseudonymisierung personenbezogener Daten präzisiert wird. Diese Verhaltensregeln müssen dann von der zuständigen Aufsichtsbehörde geprüft werden.
Unterstützung auf dem Weg hin zu solchen Verhaltensregeln oder einem Standard bietet das neue Arbeitspapier der Fokusgruppe Datenschutz. Wichtige Hinweise und Empfehlungen aus diesem Arbeitspapier sind zum Beispiel:
- Für die Überwachung des Pseudonymisierungsprozesses ist durch die verantwortliche Stelle eine Person, beispielsweise ein Fachverantwortlicher, zu bestimmen.
- Ob Pseudonymisierung als Maßnahme zur Realisierung eines angemessenen Schutzes personenbezogener Daten in Betracht kommt, wird sich in aller Regel aus einer Risikobetrachtung (nach Artikel 32 DSGVO) ergeben.
- Auch bei der Verarbeitung pseudonymer Daten muss an die Betroffenenrechte gedacht werden, darunter Widerspruchsrechte und Auskunftsrechte.
- Die Voraussetzungen für eine rechtssichere Pseudonymisierung sowie die Prozessschritte zur Durchführung einer Pseudonymisierung sind zu dokumentieren.
- Von einem Pseudonym soll, wenn überhaupt, nur unter fest definierten Bedingungen auf die Identitätsdaten geschlossen werden können.
- Ein Pseudonym heißt aufdeckbar, wenn es möglich ist, vom Pseudonym auf die Identitätsdaten der dazugehörigen Person zu schließen. Hierzu ist unter Umständen ein geheimer, nur bestimmten Stellen zugänglicher kryptographischer Schlüssel notwendig.
- Bei der Pseudonymisierung sind die Grundsätze des Datenschutzes einzuhalten, die es bei jedem Verfahren zu beachten gilt, zum Beispiel Löschen von Daten, sobald es möglich ist.
Das Arbeitspapier nennt zudem verschiedene Verfahren und gibt Best Practices für Pseudonymisierungsverfahren. Dazu gehört zum Beispiel die Einführung einer Vertrauensstelle zwischen Datensammelstelle und Datenauswerter sowie die Rollentrennung für Rollen mit Zugriffsberechtigung auf den Schlüssel zur Re-Identifizierung und Rollen mit Zugriff auf die pseudonymisierten Inhaltsdaten.
Zweifellos wird dieses Arbeitspapier (PDF) bei der Entwicklung eines Pseudonymisierungsstandards gute Dienste leisten.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!