Pseudonymisierung personenbezogener Daten - was ist das?

« NACHRICHTEN 02 Juli 2019

Die Datenschutz-Grundverordnung ("DSGVO") führte ein neues Konzept ein, d. h. "Pseudonymisierung", das den früheren Bestimmungen zum Schutz personenbezogener Daten unbekannt war. Unsere Erfahrung zeigt, dass trotz der Definition dieses Konzepts in der Art. 4 Punkt 5 der DSGVO weiß eine bedeutende Gruppe von Unternehmern nicht genau, was es in der Praxis bedeutet. In diesem Artikel versuchen wir, Zweifel in Bezug auf Pseudonymisierung so einfach wie möglich zu erklären.

zdjęcie_25

Nach der in der DSGVO enthaltenen Definition ist die Pseudonymisierung:

  1. eine Verarbeitung personenbezogener Daten,
  2. so, dass sie ohne zusätzliche Informationen keiner bestimmten natürlichen Person zugeordnet werden können,
  3. wenn zusätzliche Informationen getrennt von pseudonymisierten Daten gespeichert werden und durch technische und organisatorische Maßnahmen abgedeckt sind, die die Zuordnung dieser Informationen zu einer bestimmten oder bestimmbaren natürlichen Person verhindern.

Was bedeutet die obige Definition in der Praxis? Kurz gesagt, spezifische Informationen werden durch andere Zeichen ersetzt.

Das einfachste und typischste Beispiel: Ersetzen wir den Namen einer bestimmten Person durch eine Identifikationsnummer oder ein Pseudonym. Gleichzeitig speichern wir nur Nummern (d.h. pseudonymisierte Daten) und den "Schlüssel zum Entschlüsseln", d.h. eine Liste mit Vor- und Nachnamen und ihnen zugeordneten Nummern. Ohne eine Liste mit einem Schlüssel können wir pseudonymisierte Daten (in diesem Fall Zahlen) nicht "entschlüsseln", d. h. sie bestimmten natürlichen Personen zuordnen. Wie aus dem Vorstehenden hervorgeht, ist die Pseudonymisierung ein reversibler Vorgang (im Gegensatz zur Anonymisierung personenbezogener Daten).

Warum wird Pseudonymisierung angewendet? Um es schwierig zu machen, eine bestimmte natürliche Person zu identifizieren.

Die DSGVO sieht ausdrücklich vor, dass die Pseudonymisierung einer der Datenschutzmechanismen sein kann. Aufgrund der Tatsache, dass es sich um ein Mittel zur Sicherung personenbezogener Daten handelt, sollte berücksichtigt werden, dass pseudonymisierte Daten und Informationen, mit denen sie entschlüsselt werden können, nicht an einem Ort gespeichert oder zusammen an andere Unternehmen übertragen werden können. Im Prozess der Datenpseudonymisierung sollten die Rollen und Aufgaben entsprechend aufgeteilt werden - das heißt, es sollte festgelegt werden, wer zum Beispiel ID-Nummern generiert, wer Daten speichert, um die Pseudonymisierung umzukehren, usw.

Pseudonymisierung personenbezogener Daten und Abschluss eines Vertrages zur Beauftragung der Verarbeitung personenbezogener Daten.

Gehen wir nun zu dem Thema über, das in der Praxis die meisten Zweifel bei Unternehmern aufkommen lässt: Wenn wir unserem Unterauftragnehmer pseudonymisierte personenbezogene Daten (z. B. nur ID-Nummern) zur Verfügung stellen, müssen wir dann einen Vertrag zur Beauftragung der Verarbeitung personenbezogener Daten mit diesem Unternehmen aufzuschließen? Unsere Erfahrung zeigt, dass die Antwort lautet: "Wir müssen nicht". Dann lautet das Argument: "Nachdem der Unterauftragnehmer nur Nummern erhalten hat, kann er diese nicht bestimmten physischen Personen zuordnen, d. h. in diesem Fall gibt es keine Beauftragung für die Verarbeitung personenbezogener Daten."

Leider ist die obige Antwort nicht korrekt. In Erwägungsgrund 26 der DSGVO heißt es eindeutig, dass einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Im Gegenzug sieht Erwägungsgrund 75 der DSGVO vor, dass das Risiko einer Verletzung der Rechte oder Freiheiten von Personen mit unterschiedlichen Wahrscheinlichkeiten und Schweregraden aus der Verarbeitung personenbezogener Daten resultieren kann, die zu Sach- oder Sachschäden führen können, einschließlich wenn die Verarbeitung zu einer unbefugten Umkehrung der Pseudonymisierung führen kann.

Was sind die Konsequenzen?

Alle Bestimmungen zum Schutz personenbezogener Daten sollten für pseudonymisierte personenbezogene Daten gelten. Insbesondere wenn die pseudonymisierten Daten an einen Unterauftragnehmer übertragen werden, sollten sie als die Person betrachtet werden, die personenbezogene Daten verarbeitet, und mit ihm einen Vertrag abschließen, um die Beauftragung der Verarbeitung personenbezogener Daten. Aus der Rechtslehre geht hervor, dass der Mangel an Informationen, die zur Identifizierung einer bestimmten Person erforderlich sind, nicht bedeutet, dass die pseudonymisierten Daten keine personenbezogenen Daten mehr sind. Anders verhält es sich bei der Anonymisierung - durch diesen irreversiblen Vorgang haben wir keine personenbezogenen Daten mehr.

Welche Schlussfolgerungen ziehen Sie aus den obigen Kommentaren?

  1. Pseudonymisierte personenbezogene Daten sind auch dann personenbezogene Daten, wenn wir sie ohne Informationen erhalten haben, die eine "Entschlüsselung" ermöglichen. Wir wenden die Bestimmungen der DSGVO und anderer Rechtsakte zum Schutz personenbezogener Daten auf pseudonymisierte Daten an. Insbesondere schließen keine Bestimmungen der DSGVO in diesem Fall die Verpflichtung aus, einen Vertrag mit dem Verarbeiter abzuschließen, der diese Daten verarbeitet.
  2. Die Pseudonymisierung ist eine der Möglichkeiten, Ihre Daten zu schützen. Es kann jedoch nicht von vornherein festgestellt werden, dass dies eine ausreichende Maßnahme ist. Es sollte in einer bestimmten Situation geprüft werden, ob es einen angemessenen Schutz bietet. Der Prozess der Datenpseudonymisierung wird jedoch mit Sicherheit dazu beitragen, deren Schutz zu erhöhen.

02/07/2019, Rechtsanwältin Agnieszka Rapcewicz

   Unsere Website verwendet Cookies. Wir verwenden Cookies, um den ordnungsgemäßen Betrieb unserer Website zu ermöglichen und anonyme Statistiken und andere analytische Aktivitäten zu führen, aus denen hervorgeht, wie Benutzer die Website nutzen. Durch die weitere Nutzung der Website stimmen Sie deren Aufnahme oder Verwendung zu. Der Benutzer kann die Bedingungen für das Speichern von Cookies in dem von ihm verwendeten Webbrowser unabhängig ändern.

Weitere Informationen, insbesondere zur Verarbeitung personenbezogener Daten, finden Sie in der hier verfügbaren Datenschutzerklärung.