Kommentar von Gary LaFever, Anonos, und Stefan Müller, IT-Novum

Pseudonymisierung vs. Anonymisierung gemäß der DSGVO

| Autor / Redakteur: Gary LaFever und Stefan Müller * / Nico Litzel

Obwohl kaum bekannt, ist Pseudonymisierung ebenso wichtig wie die Anonymisierung von personenbezogenen Daten. Das ist für fast alle Unternehmen relevant, nicht zuletzt im immer größer werdenden Big-Data-Bereich und bei Anwendungen der Künstlichen Intelligenz.
Obwohl kaum bekannt, ist Pseudonymisierung ebenso wichtig wie die Anonymisierung von personenbezogenen Daten. Das ist für fast alle Unternehmen relevant, nicht zuletzt im immer größer werdenden Big-Data-Bereich und bei Anwendungen der Künstlichen Intelligenz. (Bild: ©dbunn - stock.adobe.com)

Obwohl die DSGVO längst in Kraft getreten ist, gibt es weiterhin viel Klärungsbedarf. Ein Grund ist die mangelnde Wahrnehmung einiger grundlegender Konzepte der Datenschutzverordnung. Bei vielen Kunden fällt uns auf, dass zwar der Begriff der Anonymisierung häufig im Zusammenhang fällt, aber großes Unwissen über das Konzept der Pseudonymisierung herrscht. Letztere ist mindestens genauso wichtig wie erstere, denn nur wenn sie erfüllt ist, dürfen personenbezogene Daten weiterhin ausgewertet werden.

Anonymisierung gemäß der DSGVO verlangt, dass alle Verbindungen zwischen Daten und der betroffenen Person unwiderruflich getrennt werden. Im Gegensatz dazu bedeutet Pseudonymisierung (wie neu in DSGVO-Artikel 4 Absatz 5 definiert), dass diese Verbindungen (angemessen zugänglich durch verschlüsselte Schlüssel und dergleichen) nur in den Händen von berechtigten Parteien gehalten werden und der Zugang zu gesicherten Schlüsseln erforderlich ist, um die zugrunde liegenden Daten zu sehen oder Verknüpfungen mit den zugrunde liegenden Daten offenzulegen.

Stellen Sie sich zum Beispiel vor, dass die Gesundheitsdaten von jemandem mit einer unheilbaren Krankheit für weitere Erforschung der Arzneimittelentdeckung verwendet werden. Wird ein wirksames Medikament entdeckt, würde die von der DSGVO definierte Pseudonymisierung es ermöglichen, die Person zu kontaktieren, zu behandeln und zu heilen, während die Anonymisierung es theoretisch unmöglich machen würde, diese Person wiederzufinden.

Die Pseudonymisierung ist in der DSGVO nicht nur ein spezifisch aufgezähltes Mittel, um Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu erreichen (siehe DSGVO Artikel 25 Absatz 1). Sie wird zusätzlich auch mehr als zehn Mal als exemplarischer Schutz genannt (siehe DSGVO Erwägungsgründe 26, 28, 29, 75, 78, 85 und 156 sowie Artikel 4 Absatz 5, Artikel 6 Absatz 4 Buchstabe e, Artikel 25 Absatz 1, Artikel 32 Absatz 1 Buchstabe a, Artikel 40 Absatz 2 Buchstabe d und Artikel 89 Absatz 1), um „den Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen bei der Verarbeitung zu harmonisieren und den freien Fluss personenbezogener Daten zu gewährleisten“ (siehe DSGVO Erwägungsgrund 3) und gleichzeitig durch diesen freien Datenfluss legitime Geschäftsziele zu erreichen.

Datenminimierung und Funktionale Trennung

Ein langjähriger Grundsatz des EU-Datenschutzrechts, der in der DSGVO verankert ist, ist das Konzept der Datenminimierung. Dies beinhaltet die Offenlegung der kleinsten Datenmenge, die für die kleinste Anzahl von Personen, die diese Daten benötigen, erforderlich ist, und die Möglichkeit, verschiedene Daten an verschiedene Personen weiterzugeben, und zwar in Übereinstimmung mit dem tatsächlichen Bedarf und den tatsächlichen Anforderungen an die Verwendung der Daten durch diese Personen. Die Grundsätze der Datenminimierung stehen im Mittelpunkt des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Um Trends und Zusammenhänge unabhängig von der Anwendung der gewonnenen Erkenntnisse auf die betroffenen Personen erkennen zu können, ist es notwendig, den Informationswert von der Identität zu trennen. Das so genannte Prinzip der „Funktionalen Trennung“ besteht darin, durch technische und organisatorische Sicherheitsmaßnahmen eine solche Trennung zu realisieren. Gemäß der DSGVO ist die Funktionale Trennung innerhalb der Definitionsanforderungen für die DSGVO-konforme Pseudonymisierung verankert, dass der Informationswert von Daten von der Identität getrennt wird und dass zusätzliche gesicherte Informationen erforderlich sind, um den Informationswert mit der Identität zu verknüpfen, und das nur unter autorisierten Bedingungen.

Das Prinzip der Funktionalen Trennung existiert in anderen Datenschutzwerken unter unterschiedlichem Namen, z. B. „De-Identification“ im California Consumer Protection Act und im vorgeschlagenen indischen Datenschutzgesetz und „Anonymization“ im brasilianischen Datenschutzgesetz.

Was bedeutet Pseudonymisierung?

Pseudonymisierung ist ein häufig in der DSGVO auftauchender Begriff, der aber bei den meisten Unternehmen kaum bekannt ist. Das ist verhängnisvoll, helfen doch Pseudonymisierungs-Technologien die besonderen Datenschutzprobleme anzugehen, die aus (Big Data) Analytics und Künstlicher Intelligenz resultieren.

Artikel 4 Absatz 5 der DSGVO definiert die Pseudonymisierung als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Die statische Tokenisierung erfüllt nicht die Anforderungen der DSGVO-Definition. Dabei wird ein gemeinsames Token verwendet, um verschiedene Vorkommen desselben Wertes zu ersetzen – z. B. das Ersetzen aller Vorkommen „James Smith“ durch „ABCD“. Grund ist, dass die unbefugte Re-Identifizierung „trivial ist zwischen Datensätzen mit demselben pseudonymisierten Attribut, um auf dieselbe Person zu verweisen.“ Infolgedessen genügt die statische Tokenisierung nicht der Prüfung der „Ausgewogenheit der Interessen“, der für Artikel 6 Absatz 1 Buchstabe f) „Rechtmäßigkeit der Verarbeitung“ erforderlich ist. Sie ist auch nicht in die in Artikel 6 Absatz 4 aufgeführten technischen Garantien einbezogen, um sicherzustellen, dass Analytik- & KI-Verarbeitung ein rechtmäßiger Zweck ist.

Die Artikel-29-Datenschutzgruppe, welche die Datenschutzgrundverordnung maßgeblich mitentwickelt hat, hat die besondere Rolle von Schutzmaßnahmen hervorgehoben „bei der Abmilderung unangemessener Folgen für die betroffenen Personen und damit bei der Verschiebung des Rechte- und Interessengleichgewichts, jedoch ohne sich über das berechtigte Interesse des für die Verarbeitung der Daten Verantwortlichen hinwegzusetzen“. Mögliche Schutzmaßnahmen sind „funktionelle Datentrennung, angemessener Einsatz von Anonymisierungstechniken,

Verschlüsselung und weitere technische und organisatorische Maßnahmen“.

Was die Bedeutung der Pseudonymisierung betrifft, so „spielen die Pseudonymisierung und die Verschlüsselung so wie alle anderen technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Informationen eingeführt werden, bei der Bewertung der potenziellen Folgen der Verarbeitung für die betroffene Person eine Rolle und könnten damit in manchen Fällen auch eine Verschiebung des Gleichgewichts der Interessen zugunsten des für die Verarbeitung Verantwortlichen bewirken.“

Zudem hebt die Arbeitsgruppe hervor, dass die funktionale Trennung technische und organisatorische Maßnahmen umfassen kann, die eine sichere Schlüsselcodierung personenbezogener Daten beinhalten, die außerhalb eines Unternehmens übertragen werden, und Außenstehenden die erneute Identifizierung der betroffenen Person verbieten. Dabei sollen dynamische Technologien wie Salts oder zufällig zugewiesene Zahlen zum Einsatz kommen, statische, dauerhafte oder wiederkehrende Token sind dagegen nicht geeignet.

Die DSGVO-konforme Pseudonymisierung stellt somit ein einzigartiges Mittel zur Unterstützung einer rechtmäßigen analyse- und KI-gestützten Datenverarbeitung dar, indem sie den Schutz durch die Funktionale Trennung als Ergänzung zu anderen praktischen und vertraglichen Schutzmaßnahmen technisch durchsetzt, um die unbefugte Nutzung personenbezogener Daten aus der EU zu erschweren oder sogar unmöglich zu machen.

Pseudonymisierung erlaubt Big-Data-Analysen

Was heißt das jetzt für Unternehmen? Big-Data- und andere Auswertungen von personenbezogenen Daten sind rechtens, wenn sie die beschriebenen Anforderungen nach Pseudonymisierung erfüllen – und nur dann! Die Anonymisierung allein genügt nicht. Inzwischen gibt es auch ein EU-weit anerkanntes Zertifizierungssystem für Pseudonymisierungslösungen, welche die Anforderungen der DSGVO erfüllen. Das Zertifikat „Privacy Flag“ wird vom EuroPrivacy-Gremium verliehen. Es ist Ergebnis eines von der Europäischen Kommission und der Schweiz kofinanzierten Forschungsprojekts. Derzeit ist nur der Software-Hersteller Anonos zertifiziert, dessen Lösung im deutschsprachigen Raum von it-novum vertrieben wird.

* Gary LaFever ist Datenschutzexperte und Mitbegründer und CEO von Anonos. Stefan Müller ist Big-Data- und Analytics-Experte und leitet den gleichnamigen Bereich bei IT-Novum.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45941285 / Recht & Sicherheit)