Pseudonymisierung
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung gesondert aufbewahrter Zusatzinformationen nicht mehr einer betroffenen Person zugeordnet werden können.
Die Pseudonymisierung ist in Art. 4 Nr. 5 DSGVO legaldefiniert als die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Voraussetzung ist, dass diese Zusatzinformationen gesondert aufbewahrt werden und technischen sowie organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Kern der Pseudonymisierung ist also die Trennung von direkten Identifikatoren (etwa Name oder Kundennummer) vom übrigen Datenbestand und ihre Ersetzung durch ein Pseudonym, dessen Auflösungsschlüssel separat und geschützt vorgehalten wird.
Rechtlich ist entscheidend, dass pseudonymisierte Daten weiterhin personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO bleiben, solange die Re-Identifizierung mit vertretbarem Aufwand möglich ist (Erwägungsgrund 26). Die Pseudonymisierung beseitigt den Personenbezug nicht, anders als die Anonymisierung, sondern reduziert das Risiko für die betroffenen Personen. Sie ist damit kein Mittel, um sich der Anwendbarkeit der DSGVO zu entziehen, sondern eine Schutzmaßnahme innerhalb des Anwendungsbereichs. Wer den Auflösungsschlüssel besitzt, verarbeitet weiterhin vollumfänglich personenbezogene Daten; für Stellen ohne Zugriff auf die Zusatzinformationen kann sich die Risikolage hingegen anders darstellen.
Die DSGVO misst der Pseudonymisierung an mehreren Stellen rechtliche Wirkung bei. Sie wird in Art. 25 Abs. 1 DSGVO ausdrücklich als Beispiel für Privacy by Design genannt und zählt nach Art. 32 Abs. 1 lit. a DSGVO zu den geeigneten technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus. Zudem ist sie ein Kriterium bei der Vereinbarkeitsprüfung einer Zweckänderung (Art. 6 Abs. 4 lit. e DSGVO) und erleichtert die Verarbeitung zu wissenschaftlichen, statistischen oder historischen Zwecken (Art. 89 Abs. 1 DSGVO). Eine wirksame Pseudonymisierung kann das Verarbeitungsrisiko und damit die Haftungsexposition senken, ersetzt jedoch nicht die übrigen Pflichten wie Rechtsgrundlage, Transparenz und Wahrung der Betroffenenrechte.
Rechtliche Grundlage
Art. 4 Nr. 5, Art. 25 Abs. 1, Art. 32 Abs. 1 lit. a, Art. 6 Abs. 4 lit. e, Art. 89 Abs. 1 DSGVO; Erwägungsgrund 26 und 28 DSGVO
Praxisbeispiel
Ein Unternehmen möchte das Nutzungsverhalten seiner Kundinnen und Kunden auswerten, um Produkte zu verbessern. Die Datenschutzbeauftragte ordnet an, dass die Analyseabteilung nur mit einem Datensatz arbeitet, in dem Name, E-Mail-Adresse und Kundennummer durch eine zufällige Kennung ersetzt sind. Die Zuordnungstabelle, die Kennung und reale Identität verbindet, wird verschlüsselt auf einem separaten System gespeichert, auf das ausschließlich zwei autorisierte Administratoren Zugriff haben. So kann die Analyseabteilung statistisch arbeiten, ohne einzelne Personen zu erkennen, während im Bedarfsfall – etwa zur Erfüllung eines Auskunftsersuchens – die Re-Identifizierung kontrolliert möglich bleibt. Diese Trennung wird im Verarbeitungsverzeichnis und im TOM-Konzept dokumentiert.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren