Anonymisierung, Pseudonymisierung und Verschlüsselung von Daten

Die Verarbeitung von personenbezogenen Daten unterliegt zahlreichen Beschränkungen durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten (Anonymisierung) oder aber ein erhöhter Schutz durch Unkenntlichmachung der Daten (Pseudonymisierung oder Verschlüsselung) ein interessanter Weg. Doch wie sind diese Methoden aus datenschutzrechtlicher Sicht einzuordnen?

Was sind personenbezogene Daten?

Um die Bedeutung von Anonymisierung, Pseudonymisierung und Verschlüsselung verstehen zu können, ist es zunächst wichtig, sich mit dem Personenbezug von Daten auseinanderzusetzen. Die DSGVO hat hierzu in Art. 4 eine Legaldefinition parat. Demnach sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“

Identifizierbarkeit im Sinne der DSGVO

Wenn also etwa im Rahmen einer vermeintlich anonymen Erfassung von Daten in einem Betrieb bekannt ist, dass es sich beispielsweise um eine weibliche Person handelt, die seit zehn Jahren im Betrieb beschäftigt und aktuell in der Personalabteilung angestellt ist, werden vermutlich keine weiteren Informationen notwendig sein, um darauf zu schließen, wer tatsächlich gemeint ist. Mit der Kombination bereits weniger Informationen kann die betroffene Person identifiziert werden. Die Daten sind damit personenbezogen.

Erschwerend kommt hinzu, dass es laut DSGVO nicht notwendig ist, die Person namentlich zu bestimmen. Es genügt, wenn diese anhand der Information zuverlässig als Individuum aus einer Gruppe heraus wiedererkannt werden kann. Außerdem ist nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) der Begriff der personenbezogenen Daten weit auszulegen („alle Informationen“).

Anonymisierung – Beseitigung des Personenbezugs von Daten

Handelt es sich hingegen nicht oder nicht mehr um personenbezogene Daten, so findet die DSGVO keine Anwendung und die Informationen können (zumindest aus Sicht des Datenschutzrechts) frei verarbeitet werden. Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung oder die Einhaltung von Löschpflichten entfallen. Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten ein interessanter Weg.

Der vollständige Entfall des Personenbezugs kann durch Anonymisierung der Daten bewirkt werden. Anonymisierung bedeutet das Verändern der Daten in solch einer Art und Weise, dass ein Rückschluss auf die Person gar nicht oder zumindest nur noch mit unverhältnismäßig hohem Aufwand möglich ist. Was einen unverhältnismäßigen Aufwand darstellt, ist jeweils im Einzelfall zu beurteilen.

Gemäß Erwägungsgrund 26 DSGVO sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Daher sollte im Zweifel immer die wirkungsvollste Anonymisierungsmethodik angewendet werden. Eine Anonymisierung ist beispielsweise das unwiederbringliche Löschen des letzten Oktetts einer IP-Adresse (beim Einsatz von Google Analytics geschieht dies durch die Einbindung von anonymizeIP). Es ist jedoch darauf zu achten, dass in den übrigen zu der jeweiligen IP-Adresse gespeicherten Daten keine eindeutigen Merkmale enthalten sind, die eine Identifikation ermöglichen.

Die Anonymisierung eines Datensatzes erfordert daher stets eine gründliche Analyse aller in einem zu anonymisierenden Datensatz enthaltenen Daten auf mögliche Alleinstellungsmerkmale eines Betroffenen; auch solcher, die erst durch Kombination zu einer Bestimmbarkeit führen. Zudem ist zu berücksichtigen, dass ein eingesetztes Anonymisierungsverfahren im Laufe der Zeit an Wirkung verliert, beispielsweise durch die Erlangung neuen Hintergrundwissens oder der Weiterentwicklung der technischen Analyseverfahren.

Mit einer wirksamen Anonymisierung geht außerdem oft ein nicht unwesentlicher Verlust von Informationen im Ergebnisdatensatz einher.

Pseudonymisierung – erhöhter Schutz von Daten

Pseudonymisierung ist gemäß Art. 4 Nr. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“.

Unter Pseudonymisierung versteht man also einfacher gesagt das Ersetzen des Namens und anderer direkter Identifikationsmerkmale durch ein eindeutiges Kennzeichen. Dies dient dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Statt des Betroffenen wird nunmehr der Datensatz eindeutig erkennbar gemacht. Das bedeutet, es gibt im Falle der Pseudonymisierung einen „Schlüssel“, um das Pseudonym den Originaldaten zuordnen zu können.

In dieser Form unterliegen die Informationen als personenbezogene Daten allerdings weiterhin dem Datenschutzrecht. Denn mit Hilfe des Schlüssels ist der Personenbezug wiederherstellbar. Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen nur senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen (Erwägungsgrund 28 DSGVO). In den Art. 6, 25 und 32 DSGVO wird ausdrücklich auf die Pseudonymisierung verwiesen.

Verschlüsselung – stark erhöhter Schutz von Daten

Einen Mittelweg zwischen Anonymisierung und Pseudonymisierung bildet die Verschlüsselung von Daten, da hier zwar ein Schlüssel zur Wiederherstellung der Originaldaten besteht, jedoch keine Pseudonyme verwendet werden. Im Unterschied zur Pseudonymisierung wird bei der Verschlüsselung der gesamte Datensatz verschlüsselt und es werden nicht lediglich einzelne Identifikationsmerkmale durch Pseudonyme ersetzt.

Während pseudonymisierte Daten weiterhin Aussagekraft haben, ohne den Schlüssel aber keine Identifikation ermöglichen, so haben verschlüsselte Daten ohne den Schlüssel keine Aussagekraft mehr, da der „Klartext“ in unleserliche Zeichenfolgen umgewandelt wird.

Auch verschlüsselte Daten unterliegen jedoch weiterhin dem Anwendungsbereich der DSGVO. Die Information und damit der Personenbezug wird durch die Entschlüsselung wiederhergestellt. Es wird lediglich verhindert, dass ein Dritter – mangels Schlüssel – Missbrauch mit den Daten begehen kann. Wie auch die Pseudonymisierung stellt die Verschlüsselung damit (lediglich) eine Maßnahme dar, um die Sicherheit der Verarbeitung zu erhöhen. In den Art. 6, 32 und 34 DSGVO wird ausdrücklich auf die Verschlüsselung verwiesen.

Fazit: Wahl der Methoden hängt von der geplanten Nutzung der Daten ab

Während die Anonymisierung der Daten also den Personenbezug ganz beseitigt und damit die Verarbeitung dem Anwendungsbereich der DSGVO entzieht, stellen die Pseudonymisierung und die Verschlüsselung in der DSGVO vorgesehene Methoden dar, personenbezogene Daten vor Missbrauch zu schützen.

Will man also Daten außerhalb der Regeln der DSGVO verarbeiten, so muss man sie anonymisieren. Dies geschieht beispielsweise bei anonymen Umfragen zur Kundenzufriedenheit und zum Kundenverhalten. Eine so gewonnene Statistik behält Ihre Aussagekraft auch ohne den Personenbezug.

Will man besonders schützenswerte Daten nach den Regeln der DSGVO verarbeiten, so können Pseudonymisierung und Verschlüsselung Methoden zur sicheren Verarbeitung darstellen.

Eine Maßnahme bei der Speicherung von personenbezogenen Daten wäre etwa, Datensätze mit besonderen Arten personenbezogener Daten wie Gesundheitsdaten nur in pseudonymisierter Form aufzubewahren. Sollte nun unbefugt auf diese zugegriffen werden, bleibt eine Missbrauchsgefahr gering, da ohne den Schlüssel kein Personenbezug herstellbar ist.

Bei der Versendung oder dem Empfang von sensiblen Daten wie Bewerbungsunterlagen, ist als Maßnahme die Verschlüsselung zu empfehlen, so dass nur der vorgesehene Empfänger mit Hilfe des Schlüssels die Informationen wiederherstellen kann.

Je nachdem welche Verwendung für die Daten vorgesehen ist, können also eine dauerhafte Beseitigung des Personenbezugs durch Anonymisierung, oder ein erhöhter Schutz vor Missbrauch durch Pseudonymisierung oder Verschlüsselung die sinnvollste Methode sein.

Dieser aktualisierte Artikel wurde zuerst am 27. Oktober 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.