Pseudonymisierung – Wie funktioniert das eigentlich?

Die Pseudonymisierung ist nach den Vorschriften der DSGVO eine von mehreren möglichen Maßnahmen, um das Risiko für die Betroffenen bei der Verarbeitung personenbezogener Daten zu verringern. Wie genau die Pseudonymisierung funktioniert und inwieweit sich diese von der Anonymisierung unterscheidet, wollen wir uns im folgenden Artikel näher ansehen.

Was ist Pseudonymisierung nach der DSGVO?

Die Datenschutz-Grundverordnung definiert den Begriff der Pseudonymisierung in Art. 4 Nr. 5 DSGVO als

Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Die gesetzliche Definition gibt damit sowohl Hinweise zur rechtlichen Einordnung von pseudonymisierten Daten als auch zu den Anforderungen an den Vorgang der Pseudonymisierung. Ziel dieser Maßnahme ist es, das Risiko für Betroffene zu minimieren, indem eine direkte Zuordnung der Daten zu einer bestimmten Person verhindert wird.

Was ist der Unterschied zwischen anonymisiert und pseudonymisiert?

Werden pseudonymisierte Daten verarbeitet, hat dies unter Berücksichtigung der Vorschriften der DSGVO zu erfolgen. Im Gegensatz zu anonymisierten Daten handelt es sich bei pseudonymierten Daten nämlich um personenbezogene Daten im Sinne der DSGVO.

Im Falle der Pseudonymisierung werden die Daten insoweit verändert, als dass eine Zuordnung zu einer natürlichen Person ohne Hinzuziehung weiterer Informationen nicht mehr möglich ist. Hierzu werden die direkten Identifikationsdaten, z.B. der Name, durch willkürlich gewählte Kennzeichen und damit Pseudonyme ersetzt. Dies erfolgt unter Berücksichtigung einer vorher festgelegten Zuordnung. Ziel dieses Verfahrens ist es, nur bei Bedarf und unter Einhaltung fest definierter Rahmenbedingungen den Personenbezug wiederherstellen zu können. Hierfür müssen die zur Re-Identifizierung dienenden zusätzlichen Informationen getrennt verarbeitet werden. Eine Aufteilung auf mehrere Verantwortliche ist nach dem Gesetzeswortlaut allerdings nicht erforderlich.

Anonymisierte Daten sind hingegen solche, die sich nicht mehr auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO definiert den Begriff der Anonymisierung zwar nicht, setzt diese Verarbeitungsform allerdings in unterschiedlichen Vorschriften (Art. 5 Abs. 1 lit. e, Art. 89 Abs. 1 S. 4 DSGVO, Erwägungsgrund 26 zur DSGVO) voraus.

Wann von einem vollständigen Verlust des Personenbezugs ausgegangen werden kann, wird dabei unterschiedlich beurteilt. Zu unterscheiden sind der absolute und der relative Anonymisierungsbegriff. Was unter diesen Begriffen zu verstehen ist und welcher Ansicht die Aufsichtsbehörden und die Rechtsprechung folgen, lesen Sie in unserem Artikel zur Anonymisierung.

Die Entscheidung des EuG zum relativen Personenbezug

Für besonderes Aufsehen sorgte eine Entscheidung des Gerichts der Europäischen Union (EuG) aus dem Jahr 2023. In dem Verfahren entschied das Gericht, dass die Vorschriften der DSGVO auch im Falle pseudonymisierter Daten keine Anwendung finden, sofern die Daten einen relativen Personenbezug aufweisen und der Datenempfänger keine Mittel zur Re-Identifizierung hat.

Entscheidend sei nach Ansicht des Gerichts, ob der Datenempfänger die betroffene Person identifizieren kann. Sollte der Empfänger keine rechtlichen oder tatsächlichen Mittel zur Re-Identifizierung besitzen, unterfallen die Daten als anonyme Daten nicht dem Anwendungsbereich der DSGVO. Im Ergebnis weicht dieses Urteil damit von den bisherigen Auslegungen ab, die pseudonymisierte Daten generell als personenbezogen qualifizieren, unabhängig von der Möglichkeit der Re-Identifizierung durch den Empfänger. Wir berichteten ebenfalls ausführlich über diese überraschende Entscheidung des EuG.

Beispiele für Pseudonymisierung: Welche Arten von Pseudonymen gibt es?

Üblicherweise werden zwei Arten von Verfahren zur Pseudonymisierung eingesetzt, die sich in ihrer Methodik unterscheiden.

Referenz-Pseudonyme

Bei dieser Art der Pseudonymisierung wird eine eindeutige, aber nicht direkt personenbezogene Kennung (Referenz-Pseudonym) erzeugt und verwendet, um eine Person systemübergreifend wiederzuerkennen. Die Identität bleibt in diesem Fall geschützt, da der Bezug zur echten Person nur über eine gesicherte Zuordnungstabelle (Referenzliste) hergestellt werden kann.

Einweg-Pseudonyme

Bei Einweg-Pseudonymen handelt es sich um Pseudonyme, die – zumeist auf der Grundlage eines asymmetrischen Verschlüsselungsverfahrens – so erzeugt werden, dass sie nicht wieder in die ursprünglichen personenbezogenen Daten zurückgeführt werden können. Das bedeutet, dass eine Entpseudonymisierung unmöglich oder zumindest nur unter sehr hohem Aufwand möglich ist. Anders als bei den Referenz-Pseudonymen wird der Zusammenhang zwischen Identitätsdaten und Pseudonym demnach nicht mehr durch eine Referenzliste hergestellt, sondern erfolgt durch eine explizit parametrisierte Vorschrift. Diese parametrisierte Vorschrift bezieht sich dabei auf eine regelbasierte Methode, die zur Erstellung der Pseudonyme verwendet wird. Dabei wird ein Algorithmus oder eine Funktion definiert, der mit bestimmten Parametern (Eingabewerten) arbeitet, um aus den Identitätsdaten eine Pseudonymisierung vorzunehmen. Die Sicherheit liegt in diesem Fall auf der Geheimhaltung dieser Parameter und nicht, wie bei den Referenz-Pseudonymen auf der Geheimhaltung der Referenzliste.

Wann müssen Daten pseudonymisiert werden?

Die DSGVO regelt keine Pflicht zur Pseudonymisierung bestimmter Daten. Vielmehr wird das Verfahren der Pseudonymisierung nach den Vorschriften der DSGVO als eine technisch-organisatorische Maßnahme (TOM) betrachtet, die das Risiko für Betroffene bei der Datenverarbeitung senken soll. Insbesondere stellt die eindeutige Erwähnung im Erwägungsgrund 28 klar, dass die Pseudonymisierung nicht die Möglichkeit ausschließt, weitere TOM zu ergreifen. Vielmehr hat der Verantwortliche im Rahmen seines Beurteilungsspielraums zu entscheiden, welches die geeigneten technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten sind.

Bei welchen Anforderungen der DSGVO kommt Pseudonymisierung in Betracht

Das Verfahren der Pseudonymisierung kann vom Verantwortlichen und vom Auftragsverarbeiter effektiv genutzt werden, um bestimmte Datenschutzanforderungen zu erfüllen. Idealerweise wird die Pseudonymisierung dabei durch zusätzliche Maßnahmen ergänzt.

Pseudonymisierung kann als eine von mehreren technischen und organisatorischen Maßnahmen verwendet werden, um die in Art. 25 Abs. 1 DSGVO genannten Datenschutzgrundsätze, insbesondere die Grundsätze der Datenminimierung und Vertraulichkeit, umsetzen. Zusätzlich kann die Pseudonymisierung dazu beitragen, die Grundsätze der Rechtmäßigkeit, Fairness, Zweckbindung und Richtigkeit zu wahren. Dies gilt sowohl für die Verarbeitung pseudonymisierter Daten innerhalb eines Unternehmens als auch für deren Übermittlung an Dritte. Im Rahmen der internen Verarbeitung kann die Pseudonymisierung demnach eine geeignete Maßnahme sein, wenn die Daten für einen bestimmten Zweck nicht bestimmten Personen zugeordnet werden müssen. In diesem Fall ist allerdings sicherzustellen, dass die Personen, die mit den pseudonymisierten Daten arbeiten, nicht in der Lage sind, die Daten zu depseudonymisieren.

Weiterhin können auch spezifische EU- oder Mitgliedstaatenregelungen verlangen, dass bestimmte Daten pseudonymisiert werden, um die Rechtmäßigkeit ihrer Verarbeitung sicherzustellen.

Im Fall der Verarbeitung auf der Grundlage eines berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO können Verantwortliche die durch Pseudonymisierung erzielte Risikominderung im Rahmen der erforderlichen Interessenabwägung berücksichtigen.

Depseudonymisierung als Datenschutzvorfall

Wirksam ist das Verfahren der Pseudonymisierung allerdings nur dann, wenn es mit vertretbarem Aufwand nicht möglich ist, die gewählte pseudonymisierende Transformation rückgängig zu machen. Nach Ansicht des Europäischen Datenschutzausschusses stellt jede unbefugte Rückgängigmachung der Pseudonymisierung einen Datenschutzvorfall dar. Dieser ist unter bestimmten Umständen meldepflichtig, sofern die Sicherheitsverletzung zu einer unbefugten Rückkehr der Pseudonymisierung und damit der Identifizierbarkeit der Daten führt, es sei denn, das Risiko für die Rechte und Freiheiten der betroffenen Personen ist als gering einzustufen. Sollte die unbefugte Rückkehr der Pseudonymisierung zusätzlich zu einem hohen Risiko für die betroffenen Personen führen, sind diese darüber hinaus über den Datenschutzvorfall zu informieren.

Pseudonymisierung zum Schutz personenbezogener Daten

Die Pseudonymisierung stellt eine wesentliche Maßnahme zum Schutz personenbezogener Daten dar, indem sie die Identifizierung betroffener Personen erschwert, ohne den Nutzen der Daten zu verlieren. Sie kann dabei helfen, die Anforderungen der DSGVO zu erfüllen, indem sie das Risiko für die Rechte und Freiheiten von betroffenen Personen minimiert. Damit die Pseudonymisierung jedoch effektiv ist, müssen strenge technische und organisatorische Sicherheitsvorkehrungen getroffen werden, um eine Depseudonymisierung zu verhindern. Darüber hinaus müssen Verantwortliche sicherstellen, dass alle beteiligten Personen ordnungsgemäß geschult sind und dass geeignete Maßnahmen zur Sicherstellung der Vertraulichkeit und Integrität der Daten implementiert werden. Nur so kann gewährleistet werden, dass die Pseudonymisierung ihre Schutzfunktion tatsächlich erfüllt und gleichzeitig die gesetzlichen Anforderungen gewahrt bleiben.