Seite 2: Pseudonymisierung und Anonymisierung

Inhaltsverzeichnis

Auf den Begriff der Pseudonymisierung nimmt die DSGVO in der Begriffsdefinition in Art. 4 Nr. 5 DSGVO direkt Bezug. Unter Pseudonymisierung ist laut DSGVO "die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden" zu verstehen.

Voraussetzung der Pseudonymisierung ist damit zum einen, dass der Personenbezug der Daten entfernt wird und zum anderen, dass es mithilfe eines separat aufbewahrten Datensets möglich ist, den Personenbezug wiederherzustellen. Die Pseudonymisierung selbst kann mittels verschiedener Verfahren wie der Listenerstellung oder im Rahmen des Berechnungsverfahrens erfolgen. Um das stets mitzudenkende Restrisiko zu minimieren, dass der Personenbezug doch wiederhergestellt wird, sollten in den Pseudonymisierungsprozess verschiedene, voneinander unabhängige Stellen eingebunden werden.

Pseudonymisierung

In der Praxis wird bei der Pseudonymisierung häufig das Hashing-Verfahren eingesetzt, bei dem bestimmte Werte durch Zeichenketten ersetzt werden. Auch Verschlüsselungstechniken, die aus einem Klartext mittels eines kryptografischen Algorithmus‘ einen verschlüsselten Wert bilden, eignen sich. Alternativ lassen sich Pseudonyme zufallsgeneriert erstellen und in Tabellen speichern. Während bei der Verschlüsselung der Ursprungswert anhand des Schlüssels problemlos rückberechnet werden kann, ist das Verfahren des Hashings nicht ohne Weiteres umkehrbar. Mit Blick auf die Verfügbarkeit von Daten ist gerade im Gesundheitswesen ein umfassendes und technisch zuverlässiges Zugriffs- und Berechtigungskonzept wichtig. Die Pseudonymisierung kann in unterschiedlichen Abstufungen erfolgen, sodass das Ergebnis sowohl eine starke als auch eine schwache Pseudonymisierung sein kann. Eine starke Pseudonymisierung ist vor allem dann erforderlich, wenn besondere Datenkategorien nach Art. 9 DSGVO verarbeitet werden oder die Daten einem erhöhten Risiko ausgesetzt sind.

Das Verfahren der Pseudonymisierung befreit hingegen nicht von der Erfüllung der DSGVO-Vorgaben. So kann die Pseudonymisierung sich zugunsten der berechtigten Interessen des Verantwortlichen bei der Datenverarbeitung auswirken. Denn je sicherer die Pseudonymisierung, desto eher überwiegen die Interessen des Unternehmens bzw. des Verantwortlichen, da die betroffenen Personen datenschutzrechtlich besser geschützt sind. Des Weiteren sinkt die Bedrohung der Datenverarbeitungsprozesse durch Angriffe auf die IT-Infrastruktur der datenverarbeitenden Stellen, weil pseudonyme Daten nur noch durch Herausgreifen, Verknüpfen oder die sogenannte Inferenz nutzbar sind, bzw. nur durch zusätzlichen Aufwand für Angreifer von Wert sein können. Beim Herausgreifen isolieren Angreiferinnen und Angreifer Daten, die sich auf einzelne Personen beziehen, oder versuchen, mehrere Daten zu kombinieren und daraus Rückschlüsse zu ziehen. Bei der Verknüpfung werden mehrere Datensätze zu diesem Zwecke verknüpft, um Korrelationen aufzudecken. Die Inferenz beschreibt das Ermitteln personenbezogener Informationen durch logische Schlussfolgerungen, die sich aus der Kombination bestimmter Datensätze erheben. Sind diese Angriffsrisiken den Verantwortlichen bekannt, ist es leichter, das passende Pseudonymisierungsverfahren auszuwählen und so möglichst viele der Re-Identifizierungsrisiken auszuschließen.

Anonymisierung

Im Gesetzestext der DSGVO ist die Anonymisierung streng genommen gar nicht zu finden, nur in Erwägungsgrund 26 DSGVO wird sie einmal ausdrücklich genannt. Für eine rechtliche Definition muss daher die Open-Data-Richtlinie 2019/1024 herangezogen werden: "Anonyme Informationen sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person oder auf personenbezogene Daten beziehen, die in einer Weise anonymisiert wurden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist." Entscheidend ist, dass die konkrete Person, über die die Informationen Aufschluss geben, nicht mehr ermittelt werden kann beziehungsweise keine Rückschlüsse mehr auf ihre Identität mehr gezogen werden können. Insofern verlagert das Datenschutzrecht seinen Schutz auf den Moment vor, in dem die Identifizierung natürlicher Personen noch nicht stattgefunden hat, eine Wiederherstellung des Personenbezugs aber möglich wäre. Kann das Risiko einer Reidentifizierung ganz beseitigt werden, fällt das entsprechende Datum nicht mehr in den Anwendungsbereich der DSGVO, da es keine Person mehr gibt, die datenschutzrechtlich geschützt werden müsste.

Klärungsbedarf besteht allerdings weiterhin bezüglich der Frage, wann dieses Restrisiko der Reidentifizierung ausgeschlossen ist. Dabei ist eine Person nach Ansicht des Europäischen Gerichtshofs (EuGH, Urteil vom 19.10.2016, C-582-14) schon dann bestimmbar im Sinne der DSGVO, wenn nur indirekt Rückschlüsse auf ihre Identität gezogen werden können. In dem sogenannten Breyer-Fall urteilte der EuGH, dass sogar dynamische IP-Adressen, also solche, die keine unmittelbaren Informationen über denjenigen enthalten, der auf die Website zugreift, für einen Webseitenbetreiber ein personenbezogenes Datum sein können. Dabei ist unerheblich, dass die für die Herstellung des Personenbezugs erforderlichen Zusatzinformationen nicht beim Diensteanbieter selbst, sondern beim Internetzugangsanbieter vorliegen – denn Ersterer hat unter gewissen Umständen die Möglichkeit, die Verknüpfung mit den Daten beim Internetzugangsanbieter einzufordern.

Hierin besteht das nach Erwägungsgrund 26 DSGVO Maßgebliche: "Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren." Die Anonymisierung setzt folglich nicht voraus, dass die Identifizierung objektiv, für jedermann, unmöglich ist – ausreichend ist vielmehr die sogenannte "faktische Anonymität". Auch an diese werden jedoch hohe Anforderungen gestellt. Denn laut dem Urteil ist es für eine mögliche Re-Identifizierung nicht notwendig, "dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden".