Europäischer Datenschutzausschuss: Neue Leitlinien zur Pseudonymisierung
Pseudonymisierung soll Datenschutz gewährleisten. Eine neue Leitlinie der europäischen Datenschützer zeigt, wie sich das genau umsetzen lässt.
(Bild: BABAROGA/Shutterstock.com)
Der Europäische Datenschutzausschuss (EDSA) hat auf seiner Plenarsitzung vom 16. Januar neue Leitlinien zur Pseudonymisierung angenommen. Darin erklärt der EDSA die Definition von Pseudonymisierung und pseudonymisierten Daten und geht darauf ein, wie sie angewandt werden können. Der EDSA ist die Dachorganisation der nationalen europäischen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten.
Hintergrund: Die Datenschutz-Grundverordnung (DSGVO) nennt Pseudonymisierung als mögliche Maßnahme, um den Datenschutz zu gewährleisten. Für eine Pseudonymisierung werden vorhandene Daten verändert – so lassen sich etwa Namen und andere identifizierende Angaben durch Pseudonyme ersetzen. Dadurch wird die Privatsphäre geschützt, während sich die Daten weiterhin analysieren oder nutzen lassen.
Videos by heise
Eine Pseudonymisierung lässt sich auch wieder aufheben: So wird etwa eine Tabelle mit den echten Daten und den zugehörigen Pseudonymen erstellt – diese Tabelle gilt dann als zusätzliche Information, um die Identität einer Person festzustellen. Verantwortliche in Unternehmen und Behörden schützen diese Tabelle daher in der Regel besonders und kontrollieren den Zugriff darauf.
Die Leitlinie
Laut der EDSA enthalten die Leitlinien zwei wichtige rechtliche Klarstellungen:
- Pseudonymisierte Daten sind noch immer personenbezogene Daten. Denn die Daten können mit zusätzlichen Informationen einer identifizierbaren natürlichen Person zugeordnet werden.
- Die Pseudonymisierung kann Risiken reduzieren und die Nutzung berechtigter Interessen als Rechtsgrundlage erleichtern, wenn alle anderen Anforderungen der DSGVO erfüllt sind. Zudem kann die Pseudonymisierung dazu beitragen, die Vereinbarkeit mit dem ursprünglichen Zweck zu gewährleisten.
Die Leitlinien zeigen auch, wie die Pseudonymisierung Organisationen dabei helfen kann, bestimmte Anforderungen der DSGVO umzusetzen. Außerdem werden in den Leitlinien technische Maßnahmen und Garantien analysiert, damit Personen nicht von Unbefugten identifiziert werden können. Ein Anhang zeigt anhand von Beispielen die Verwendung und die Vorteile der Pseudonymisierung.
Zustimmung aus Berlin
Zustimmung zur Leitlinie kommt aus Berlin: Die Berliner Beauftragte fĂĽr Datenschutz und Informationsfreiheit, Meike Kamp, begrĂĽĂźt die Leitlinien zur Pseudonymisierung des EDSA. Das kommt wenig ĂĽberraschend, denn Kamp war an der Erarbeitung der Leitlinien federfĂĽhrend beteiligt.
"Pseudonymisierung bietet einen effektiven Weg, die Vertraulichkeit personenbezogener Daten zu bewahren", sagt Kamp. "Gleichzeitig ermöglicht es Weiterverarbeitungen von Daten, die ansonsten wegen der mit ihnen verbundenen Risiken nicht durchgeführt werden dürften. In Zeiten der Digitalisierung kann effektive Pseudonymisierung dabei helfen, die Risiken von Datenverarbeitungen zu minimieren und das Vertrauen der Menschen in den Schutz ihrer Daten zu stärken. Daher freue ich mich sehr, dass der Europäische Datenschutzausschuss nun Leitlinien zur Anwendung dieser wichtigen technischen und organisatorischen Maßnahme erlassen hat. Ich verspreche mir davon mehr Rechtssicherheit für Unternehmen und andere Organisationen, die auf Pseudonymisierung setzen."
Die Leitlinien lassen sich auf der Website des EDSA herunterladen. Bis zum 28. Februar können Interessierte sie noch öffentlich kommentieren.
(str)
