Anonymisierung, Pseudonymisierung und Verschlüsselung von Daten

Geschrieben am: | Geschätzte Lesezeit: 6 Minuten

Die Verarbeitung von personenbezogenen Daten unterliegt zahlreichen Beschränkungen durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten (Anonymisierung) oder aber ein erhöhter Schutz durch Unkenntlichmachung der Daten (Pseudonymisierung oder Verschlüsselung) ein interessanter Weg. Doch wie sind diese Methoden aus datenschutzrechtlicher Sicht einzuordnen?

Was sind personenbezogene Daten?

Um die Bedeutung von Anonymisierung, Pseudonymisierung und Verschlüsselung verstehen zu können, ist es zunächst wichtig, sich mit dem Personenbezug von Daten auseinanderzusetzen. Die DSGVO hat hierzu in Art. 4 eine Legaldefinition parat. Demnach sind personenbezogene Daten

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“

Identifizierbarkeit im Sinne der DSGVO

Wenn also etwa im Rahmen einer vermeintlich anonymen Erfassung von Daten in einem Betrieb bekannt ist, dass es sich beispielsweise um eine weibliche Person handelt, die seit zehn Jahren im Betrieb beschäftigt und aktuell in der Personalabteilung angestellt ist, werden vermutlich keine weiteren Informationen notwendig sein, um darauf zu schließen, wer tatsächlich gemeint ist. Mit der Kombination bereits weniger Informationen kann die betroffene Person identifiziert werden. Die Daten sind damit personenbezogen.

Erschwerend kommt hinzu, dass es laut DSGVO nicht notwendig ist, die Person namentlich zu bestimmen. Es genügt, wenn diese anhand der Information zuverlässig als Individuum aus einer Gruppe heraus wiedererkannt werden kann. Außerdem ist nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) der Begriff der personenbezogenen Daten weit auszulegen („alle Informationen“).

Anonymisierung – Beseitigung des Personenbezugs von Daten

Handelt es sich hingegen nicht oder nicht mehr um personenbezogene Daten, so findet die DSGVO keine Anwendung und die Informationen können (zumindest aus Sicht des Datenschutzrechts) frei verarbeitet werden. Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung oder die Einhaltung von Löschpflichten entfallen. Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten ein interessanter Weg.

Der vollständige Entfall des Personenbezugs kann durch Anonymisierung der Daten bewirkt werden. Anonymisierung bedeutet das Verändern der Daten in solch einer Art und Weise, dass ein Rückschluss auf die Person gar nicht oder zumindest nur noch mit unverhältnismäßig hohem Aufwand möglich ist. Was einen unverhältnismäßigen Aufwand darstellt, ist jeweils im Einzelfall zu beurteilen.

Gemäß Erwägungsgrund 26 DSGVO sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Daher sollte im Zweifel immer die wirkungsvollste Anonymisierungsmethodik angewendet werden. Eine Anonymisierung ist beispielsweise das unwiederbringliche Löschen des letzten Oktetts einer IP-Adresse (beim Einsatz von Google Analytics geschieht dies durch die Einbindung von anonymizeIP). Es ist jedoch darauf zu achten, dass in den übrigen zu der jeweiligen IP-Adresse gespeicherten Daten keine eindeutigen Merkmale enthalten sind, die eine Identifikation ermöglichen.

Die Anonymisierung eines Datensatzes erfordert daher stets eine gründliche Analyse aller in einem zu anonymisierenden Datensatz enthaltenen Daten auf mögliche Alleinstellungsmerkmale eines Betroffenen; auch solcher, die erst durch Kombination zu einer Bestimmbarkeit führen. Zudem ist zu berücksichtigen, dass ein eingesetztes Anonymisierungsverfahren im Laufe der Zeit an Wirkung verliert, beispielsweise durch die Erlangung neuen Hintergrundwissens oder der Weiterentwicklung der technischen Analyseverfahren.

Mit einer wirksamen Anonymisierung geht außerdem oft ein nicht unwesentlicher Verlust von Informationen im Ergebnisdatensatz einher.

Pseudonymisierung – erhöhter Schutz von Daten

Pseudonymisierung ist gemäß Art. 4 Nr. 5 DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“.

Unter Pseudonymisierung versteht man also einfacher gesagt das Ersetzen des Namens und anderer direkter Identifikationsmerkmale durch ein eindeutiges Kennzeichen. Dies dient dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Statt des Betroffenen wird nunmehr der Datensatz eindeutig erkennbar gemacht. Das bedeutet, es gibt im Falle der Pseudonymisierung einen „Schlüssel“, um das Pseudonym den Originaldaten zuordnen zu können.

In dieser Form unterliegen die Informationen als personenbezogene Daten allerdings weiterhin dem Datenschutzrecht. Denn mit Hilfe des Schlüssels ist der Personenbezug wiederherstellbar. Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen nur senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen (Erwägungsgrund 28 DSGVO). In den Art. 6, 25 und 32 DSGVO wird ausdrücklich auf die Pseudonymisierung verwiesen.

Erfahren Sie mehr zur Pseudonymisierung von Daten in unserem speziellen Ratgeber zum Thema.

Verschlüsselung – stark erhöhter Schutz von Daten

Einen Mittelweg zwischen Anonymisierung und Pseudonymisierung bildet die Verschlüsselung von Daten, da hier zwar ein Schlüssel zur Wiederherstellung der Originaldaten besteht, jedoch keine Pseudonyme verwendet werden. Im Unterschied zur Pseudonymisierung wird bei der Verschlüsselung der gesamte Datensatz verschlüsselt und es werden nicht lediglich einzelne Identifikationsmerkmale durch Pseudonyme ersetzt.

Während pseudonymisierte Daten weiterhin Aussagekraft haben, ohne den Schlüssel aber keine Identifikation ermöglichen, so haben verschlüsselte Daten ohne den Schlüssel keine Aussagekraft mehr, da der „Klartext“ in unleserliche Zeichenfolgen umgewandelt wird.

Auch verschlüsselte Daten unterliegen jedoch weiterhin dem Anwendungsbereich der DSGVO. Die Information und damit der Personenbezug wird durch die Entschlüsselung wiederhergestellt. Es wird lediglich verhindert, dass ein Dritter – mangels Schlüssel – Missbrauch mit den Daten begehen kann. Wie auch die Pseudonymisierung stellt die Verschlüsselung damit (lediglich) eine Maßnahme dar, um die Sicherheit der Verarbeitung zu erhöhen. In den Art. 6, 32 und 34 DSGVO wird ausdrücklich auf die Verschlüsselung verwiesen.

Fazit: Wahl der Methoden hängt von der geplanten Nutzung der Daten ab

Während die Anonymisierung der Daten also den Personenbezug ganz beseitigt und damit die Verarbeitung dem Anwendungsbereich der DSGVO entzieht, stellen die Pseudonymisierung und die Verschlüsselung in der DSGVO vorgesehene Methoden dar, personenbezogene Daten vor Missbrauch zu schützen.

Will man also Daten außerhalb der Regeln der DSGVO verarbeiten, so muss man sie anonymisieren. Dies geschieht beispielsweise bei anonymen Umfragen zur Kundenzufriedenheit und zum Kundenverhalten. Eine so gewonnene Statistik behält Ihre Aussagekraft auch ohne den Personenbezug.

Will man besonders schützenswerte Daten nach den Regeln der DSGVO verarbeiten, so können Pseudonymisierung und Verschlüsselung Methoden zur sicheren Verarbeitung darstellen.

Eine Maßnahme bei der Speicherung von personenbezogenen Daten wäre etwa, Datensätze mit besonderen Arten personenbezogener Daten wie Gesundheitsdaten nur in pseudonymisierter Form aufzubewahren. Sollte nun unbefugt auf diese zugegriffen werden, bleibt eine Missbrauchsgefahr gering, da ohne den Schlüssel kein Personenbezug herstellbar ist.

Bei der Versendung oder dem Empfang von sensiblen Daten wie Bewerbungsunterlagen, ist als Maßnahme die Verschlüsselung zu empfehlen, so dass nur der vorgesehene Empfänger mit Hilfe des Schlüssels die Informationen wiederherstellen kann.

Je nachdem welche Verwendung für die Daten vorgesehen ist, können also eine dauerhafte Beseitigung des Personenbezugs durch Anonymisierung, oder ein erhöhter Schutz vor Missbrauch durch Pseudonymisierung oder Verschlüsselung die sinnvollste Methode sein.

Dieser aktualisierte Artikel wurde zuerst am 27. Oktober 2015 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Sie wollen ausführliche Informationen zum Datenschutz bei E-Mailmarketing und Newsletter? Dann laden Sie sich jetzt unser kostenloses Whitepaper herunter!

2 Kommentare

  1. Mohami Profilbild
    Mohami

    Sehr geehrter Herr Foitzick,

    eine Frage zu den Vorgaben der EU-DSGVO. Wie ich es verstanden habe, unterliegen verschlüsselte sowie pseudonymisierte Daten weiterhin den Vorgaben. Lediglich anonymisierte Daten müssen die Vorgaben nicht mehr beachten? Um welche Vorgaben der EU-DSVGO handelt es sich dabei?

    Vielen Dank im Voraus.

    Antworten
    1. Theresa Seipp Profilbild
      Theresa Seipp

      Lieber Herr Mohami,

      anders als bei anonymisierten Daten, greift bei pseudonymisierten und verschlüsselten personenbezogenen Daten noch immer die DSGVO, da die Bezugsperson mit dem entsprechenden Zusatzwissen bestimmt werden kann.

      Verschlüsselte und pseudonomisierte Daten finden beide insbesondere Anwendung in Artikel 5 DSGVO, welcher auf die Grundprinzipien des Datenschutzes hinweist. Insbesondere das Prinzip der Datenminimierung spielt eine erhebliche Rolle bei der Verschlüsselung und Pseudonymisierung von Daten, um möglichst viele personenbezogene Daten unleserlich zu machen.

      Durch die Verschlüsselung von personenbezogenen Daten, wie beispielsweise beim Versenden von E-Mails, wird lediglich das Risiko für eine Datenpanne und somit eines Bußgeldes verringert. Die personenbezogenen Daten bleiben allerdings für diejenigen mit einem Schlüssel leserlich und identifizierbar.

      Jedes Unternehmen, welches personenbezogene Daten verarbeitet, verpflichtet demnach den Verantwortlichen und den Auftragsverarbeiter in Artikel 32 DSGVO, entsprechend der Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten betroffener Personen, geeignete technische und organisatorische Maßnahmen zur Sicherung der personenbezogenen Daten zu treffen. Die Verschlüsselung dient somit in erster Linie als Sicherungsmaßnahme, welche explizit als eine solche in Artikel 32 DSGVO erwähnt wird.

      Artikel 34 DSGVO weist ebenfalls auf Verschlüsselung hin. Demnach muss der Verlust von mobilen Datenträgern nicht gemeldet werden, soweit es sich um Daten handelt, die nach dem neuesten Stand der Technik verschlüsselt sind. Des Weiteren wird laut Artikel 83(2)(c) DSGVO die Verschlüsselung von personenbezogenen Daten bei Aufsichtsbehörden ggf. als minimierender Faktor bei einer Entscheidung über Sanktionen betrachtet.

      Genauso wie die Verschlüsselung, ist die Pseudonymisierung eine Maßnahme, die eine temporäre Unlesbarkeit ermöglicht. Pseudonymisierte Daten können allerdings auch mit dem richtigen Zusatzwissen wieder einer spezifischen Person zugeordnet werden. Daher bleiben sie personenbezogene Daten, wobei die Pseudonymisierung ebenfalls als Sicherheitsmaßnahme gilt. In Erwägungsgrund 28 und 29 DSGVO wird die Pseudonymisierung konkret als Maßnahme anerkannt, um Risiken zu minimieren und um die Sicherheit der Datenverarbeitung zu erhöhen. Somit findet auch die Pseudonymisierung Anwendung in Artikel 32 DSGVO als technisch und organisatorische Maßnahme.

      Abschließend muss ich Sie darauf hinweisen, dass wir keine Rechtsberatung leisten und unsere Antwort demnach ohne Gewähr ist.

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.