Pseudonymisierung

Definition

Pseudonymisierung ist gemäß Art. 4 Nr. 5 der Datenschutz-Grundverordnung (DSGVO) die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Voraussetzung ist, dass diese zusätzlichen Informationen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden.

Im Gegensatz zur Anonymisierung, bei der die Zuordnung zu einer Person irreversibel aufgehoben wird, ist die Pseudonymisierung umkehrbar: Durch Zusammenführung der pseudonymisierten Daten mit den separat gespeicherten Zuordnungsinformationen können die Daten wieder einer bestimmten Person zugeordnet werden. Deshalb gelten pseudonymisierte Daten weiterhin als personenbezogene Daten und unterliegen den Regelungen der DSGVO. Art. 25 und Art. 32 DSGVO nennen die Pseudonymisierung ausdrücklich als empfohlene Schutzmaßnahme.

Einfach erklärt

Stellen Sie sich eine medizinische Studie vor: Anstatt die echten Namen der Teilnehmer zu verwenden, erhält jeder eine Nummer: Patient 4721, Patient 4722 und so weiter. Die Ärzte arbeiten nur mit diesen Nummern. Die Liste, die verrät, welche Nummer zu welchem Namen gehört, wird in einem separaten, verschlossenen Tresor aufbewahrt.

So funktioniert Pseudonymisierung: Die eigentlichen Identifikationsmerkmale (Name, Adresse, Geburtsdatum) werden durch Pseudonyme (Nummern, Codes, Token) ersetzt. Die Verknüpfung zwischen Pseudonym und echter Identität wird an einem separaten, besonders geschützten Ort gespeichert. Wer nur die pseudonymisierten Daten sieht, kann die Person nicht identifizieren. Erst wenn beide Teile zusammengeführt werden, ist die Zuordnung möglich.

Warum ist das wichtig?

Pseudonymisierung ist eine der wichtigsten Datenschutztechniken und bietet erhebliche Vorteile:

• Von der DSGVO empfohlen: Art. 25 und Art. 32 DSGVO nennen Pseudonymisierung explizit als geeignete Schutzmaßnahme. Ihre Implementierung wird von Aufsichtsbehörden positiv bewertet.
• Risikominimierung: Pseudonymisierte Daten sind für Angreifer erheblich weniger wert, da sie ohne die Zuordnungsinformationen nicht einer bestimmten Person zugeordnet werden können. Bei einer Datenpanne ist das Risiko für die Betroffenen deutlich geringer.
• Erleichterte Verarbeitung: In bestimmten Fällen kann Pseudonymisierung die Verarbeitung erleichtern, etwa wenn das berechtigte Interesse des Unternehmens gegen die Interessen der betroffenen Personen abgewogen wird (Art. 6 Abs. 1 lit. f DSGVO).
• Forschung und Analyse: Pseudonymisierte Daten können für statistische Auswertungen und Forschungszwecke verwendet werden, ohne dass die Identität der Betroffenen offengelegt wird.
• Kombination mit anderen Maßnahmen: Pseudonymisierung ergänzt andere Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrolle und Datensparsamkeit zu einem umfassenden Schutzkonzept.

Praxisbeispiel

Ein Unternehmen für Personalvermittlung sammelt Bewerbungsunterlagen über eine Upload-Plattform. Die Unterlagen werden zunächst von einer Vorauswahl-Abteilung gesichtet, bevor sie an die zuständigen Personalberater weitergeleitet werden. Die Geschäftsführung möchte sicherstellen, dass die Vorauswahl möglichst unvoreingenommen erfolgt.

Das Unternehmen implementiert ein Pseudonymisierungsverfahren: Die Bewerbungsunterlagen werden nach dem Upload automatisch pseudonymisiert. Namen, Fotos, Adressen und Geburtsdaten werden entfernt und durch interne Kennungen ersetzt. Die Vorauswahl-Abteilung sieht nur die fachlichen Qualifikationen, Berufserfahrung und Zeugnisse, ohne die Identität der Bewerber zu kennen.

Erst wenn ein Bewerber in die engere Auswahl kommt, werden die vollständigen Daten an den zuständigen Personalberater freigegeben. Die Zuordnungstabelle wird getrennt und zugriffsbeschränkt gespeichert. Das Ergebnis: Eine fairere Vorauswahl, weniger Diskriminierungsrisiko und besserer Datenschutz.

So setzt SendMeSafe das um

SendMeSafe unterstützt das Prinzip der Pseudonymisierung durch verschiedene Funktionen:

• Token-basierte Links: Upload-Links und Share-Links verwenden zufällig generierte Token anstelle identifizierender Informationen. Die URL enthält keine Hinweise auf die Organisation, den Kunden oder den Inhalt.
• Minimale Identifikation: Hochladende Personen müssen kein Konto erstellen und keine personenbezogenen Daten angeben. Die Zuordnung der hochgeladenen Dateien erfolgt über den Link-Token, nicht über persönliche Identifikatoren.
• Getrennte Datenhaltung: Dateiinhalte werden im S3-Speicher abgelegt, während Metadaten (Zuordnung zu Kunden und Organisationen) in der Datenbank gespeichert werden. Diese Trennung erschwert die Zuordnung bei unbefugtem Zugriff auf nur eines der Systeme.
• Rollenbasierte Zugriffskontrolle: Innerhalb einer Organisation können verschiedene Rollen mit unterschiedlichen Zugriffsrechten vergeben werden. Nicht jeder Mitarbeiter muss Zugriff auf alle Kundendaten haben.
• Verschlüsselung: Die AES-256-Verschlüsselung aller gespeicherten Dateien bildet zusammen mit der Pseudonymisierung ein mehrschichtiges Schutzkonzept.
• Audit-Trail: Alle Zugriffe auf Daten werden protokolliert, sodass nachvollziehbar ist, wer wann die Zuordnung zwischen pseudonymisierten und identifizierenden Daten hergestellt hat.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?

Der entscheidende Unterschied: Pseudonymisierung ist umkehrbar, Anonymisierung nicht. Bei pseudonymisierten Daten kann die Zuordnung zu einer Person wiederhergestellt werden, wenn die separat gespeicherten Zuordnungsinformationen hinzugezogen werden. Anonymisierte Daten können auch mit zusätzlichen Informationen nicht mehr einer Person zugeordnet werden. Deshalb gelten pseudonymisierte Daten weiterhin als personenbezogene Daten unter der DSGVO, anonymisierte Daten hingegen nicht.

Müssen pseudonymisierte Daten gelöscht werden?

Ja, da pseudonymisierte Daten weiterhin personenbezogene Daten sind, gelten alle DSGVO-Regelungen, einschließlich des Grundsatzes der Speicherbegrenzung und des Rechts auf Löschung. Ein Löschkonzept muss auch pseudonymisierte Daten und die zugehörigen Zuordnungsinformationen berücksichtigen. Die Löschung der Zuordnungsinformationen allein reicht nicht aus, wenn die pseudonymisierten Daten durch andere Mittel wieder einer Person zugeordnet werden könnten.

Welche Pseudonymisierungstechniken gibt es?

Gängige Techniken sind: Ersetzung durch zufällig generierte Codes oder Token, kryptographische Hashfunktionen, Verschlüsselung mit getrennter Schlüsselaufbewahrung und Tokenisierung. Die Wahl der Technik hängt vom Anwendungsfall ab. Wichtig ist, dass die Zuordnungsinformationen durch technische und organisatorische Maßnahmen besonders geschützt werden.

Schützt Pseudonymisierung vor Bußgeldern?

Pseudonymisierung kann das Risiko von Bußgeldern indirekt reduzieren. Wenn bei einer Datenpanne nur pseudonymisierte Daten betroffen sind und die Zuordnungsinformationen nicht kompromittiert wurden, ist das Risiko für die betroffenen Personen deutlich geringer. Dies kann sich positiv auf die Bewertung durch die Aufsichtsbehörde auswirken und zu einem niedrigeren Bußgeld führen. Zudem erfüllt die Pseudonymisierung die Anforderung des Art. 32 DSGVO an angemessene Schutzmaßnahmen.