Definition

Was ist Pseudonymisierung?

| Autor / Redakteur: Stefan Luber / Nico Litzel

(Bild: © aga7ta - stock.adobe.com)

Die Pseudonymisierung ersetzt Identifikationsmerkmale wie etwa Namen mit anderen Kennzeichen wie Schlüsseln oder Pseudonymen. Dadurch wird die eindeutige Feststellung der Identität einer Person im pseudonymisierten Datensatz zwar verhindert, doch ist der Vorgang grundsätzlich umkehrbar, da die ursprüngliche Zuordnungsvorschrift in einer externen Datensammlung erhalten bleibt.

Pseudonymisierung ist ein Vorgang der Datenverarbeitung und soll verhindern, dass Personen in einer Datensammlung durch Merkmale eindeutig identifizierbar sind. Hierfür ersetzt die Pseudonymisierung Identifikationsmerkmale wie Namen mit anderen Kennzeichen wie Schlüsseln oder Pseudonymen. Die grundsätzliche Zuordnungsvorschrift bleibt in den pseudonymen Daten nach der Pseudonymisierung erhalten, ist aber ausgelagert. Beispielsweise wird eine externe Datei gepflegt, in der die jeweiligen Schlüssel oder Pseudonyme und die zugehörigen Namen gespeichert sind. Auf diese Daten kann nur unter bestimmten Voraussetzungen und nur von einem definierten Personenkreis zugegriffen werden. So kann es zur Erfüllung gesetzlicher Verpflichtungen notwendig werden, auf Verlangen die Zuordnung zu einer bestimmten Person vorzunehmen.

Der Vorgang der Pseudonymisierung ist also grundsätzlich umkehrbar. Der Begriff Pseudonymisierung ist sowohl im alten Bundesdatenschutzgesetz (BDSG) als auch in der Datenschutzgrundverordnung (DSGVO) (Art. 4 Abs. 5 DSGVO) beschrieben und definiert. Die Pseudonymisierung unterscheidet sich deutlich von der Anonymisierung. Pseudonyme Daten gelten weiterhin als personenbezogene Daten. Zahlreiche Vorgaben im Umgang mit den Daten sind zu beachten. Im Gegensatz zu nicht pseudonymisierten Daten ist der technisch-organisatorische Schutzbedarf jedoch geringer. Das Pseudonymisieren der Daten selbst ist ein Verarbeitungsvorgang personenbezogener Daten und hat alle gesetzlichen und datenschutzrechtlichen Vorgaben zu erfüllen.

Abgrenzung zwischen Anonymisierung und Pseudonymisierung

Im Umfeld der Pseudonymisierung fällt häufig der Begriff Anonymisierung. Beides sind Verfahren zum Schutz der Privatsphäre und der personenbezogenen Daten. Je nach Situation und Ziel der Datenverarbeitung sind Anonymisierung oder Pseudonymisierung geeignete Techniken, um bestimmte Anforderungen des Datenschutzes zu erfüllen. Die Anonymisierung unterscheidet sich von der Pseudonymisierung und erzeugt vollständig anonymen Daten.

Der Unterschied zwischen der Anonymisierung und der Pseudonymisierung besteht darin, dass bei der Pseudonymisierung eine grundsätzliche Zuordnungsmöglichkeit der Daten zu bestimmten Personen bestehen bleibt. Allerdings ist diese ausgelagert und auf konkrete Verantwortungsbereiche beschränkt. Bei anonymen Daten ist keinerlei Zuordnungsmöglichkeit mehr gegeben. In pseudonymen Daten bleiben die Bezüge der Datensätze grundsätzlich bestehen, allerdings werden sie durch Schlüssel oder Pseudonyme für die eigentlichen Nutzer der Daten anonymisiert. Die Identifikationsmerkmale und Daten sind praktisch voneinander getrennt und nur unter definierten Voraussetzung zugänglich.

Während der Vorgang der Pseudonymisierung umkehrbar ist und eindeutige Identifikationsmerkmale der Personen wieder herstellbar sind, verlieren anonymisierte Daten diese eindeutigen Identifikationsmerkmale und der Vorgang der Anonymisierung ist nicht umkehrbar oder nur mit unverhältnismäßig großen Aufwand realisierbar. Viele Grundsätze des Datenschutzes gelten für vollständig anonyme Daten nicht mehr.

Was sind pseudonyme Daten?

Die Pseudonymisierung generiert pseudonyme Daten. Pseudonyme Daten lassen sich keiner spezifischen Person mehr zuordnen. Um Personen eindeutig zu identifizieren, sind externe Zuordnungsvorschriften hinzuzuziehen, die ausgelagert gespeichert sind. Die grundsätzliche Möglichkeit der Zuordnung besteht nur durch Zuhilfenahme dieser Zuordnungsregeln.

Verfahren zur Pseudonymisierung personenbezogener Daten

Die Pseudonymisierung personenbezogener Daten wird mithilfe verschiedener Verfahren vorgenommen. In der Regel werden eindeutige Identifikationsmerkmale wie Namen durch Pseudonyme, eindeutige Codes, IDs oder Schlüssel ersetzt. Die Zuordnung der Pseudonyme, Codes, IDs oder Schlüssel zum Namen wird in einer zusätzlichen Tabelle gepflegt und technisch oder organisatorisch getrennt von den pseudonymisierten Daten aufbewahrt.

Beispiele für die Pseudonymisierung

Beispiel für die Pseudonymisierung ist das Ersetzen der Namen der Mitarbeiter in Unternehmensdaten durch eine Personalnummer. Im Datensatz selbst besteht keine eindeutige Zuordnungsmöglichkeit mehr zur Identität des Mitarbeiters. Nur unter Zuhilfenahme einer Zuordnungstabelle mit Personalnummer und Name, auf die bestimmte Personen im Unternehmen Zugriff haben, kann der Mitarbeiter eindeutig identifiziert werden.

Weitere Beispiele sind die Verwendung von Nicknames oder E-Mail-Adressen ohne Bezug auf den realen Namen. Für Außenstehende ist nicht erkennbar, welche Person sich hinter einem Nickname oder einer E-Mailadresse verbirgt. Für den Betreiber der Webseite oder des E-Mail-Services lassen sich die Bezüge zu realen Personen durch Zuhilfenahme der dort vorhandenen Registrierungsinformationen wieder herstellen.

Im medizinischen Umfeld wird ebenfalls häufig mit pseudonymisierten Daten gearbeitet. So bleiben Personen bei statistischen Auswertungen geschützt, lassen sich aber bei Vorliegen eines wichtigen Grundes durch einen definierten Verantwortungskreis wieder identifizieren. Ein weiteres Beispiel ist die öffentliche Bekanntgabe von Prüfungsergebnissen mit Zuordnung zu einem Pseudonym. Nur wer das Pseudonym kennt, in der Regel die prüfende Organisation oder der Prüfling, kann nachvollziehen, für welche konkrete Person das Prüfungsergebnis Gültigkeit hat.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

IT-Novum lädt zum Pentaho User Meeting 2020

Zum siebten Mal in Frankfurt

IT-Novum lädt zum Pentaho User Meeting 2020

Am 11. März veranstaltet IT-Novum bereits zum siebten Mal das Pentaho User Meeting in Frankfurt am Main. Auf dem Programm stehen diesmal unter anderem Themen wie agiles Data Warehousing und Geodatenanalysen. lesen

Qlik setzt auf Augmented Intelligence und die Multi-Cloud

Nachbericht Qlik Data Revolution Tour 2019

Qlik setzt auf Augmented Intelligence und die Multi-Cloud

Auf der Kundenveranstaltung „Data Revolution Tour 2019“ zeigte der BI-Anbieter Qlik die breite Palette seiner Angebote in einer Multi-Cloud-Plattform. Sie werden u. a. bei Porsche AG genutzt. An Neuheiten stellte die Forschungsleitern Elif Tutuk „Qlik Insight Bot“ und „Qlik Insight Advisor“ mit Sprachunterstützung vor. lesen

So gelingt eine DSGVO-konforme Data Analytics

Kommentar von Sebastian Weyer, Statice

So gelingt eine DSGVO-konforme Data Analytics

Die Datenschutzgrundverordnung stellt viele Unternehmen vor die Herausforderung, den Spagat zwischen Datenschutz und der Notwendigkeit, Daten-getriebene Innovationen auf den Weg zu bringen, zu meistern. Wie vertragen sich Datenschutz und Datennutzung in einem auf Fortschritt bedachten Unternehmen? lesen

Pseudonymisierung vs. Anonymisierung gemäß der DSGVO

Kommentar von Gary LaFever, Anonos, und Stefan Müller, IT-Novum

Pseudonymisierung vs. Anonymisierung gemäß der DSGVO

Obwohl die DSGVO längst in Kraft getreten ist, gibt es weiterhin viel Klärungsbedarf. Ein Grund ist die mangelnde Wahrnehmung einiger grundlegender Konzepte der Datenschutzverordnung. Bei vielen Kunden fällt uns auf, dass zwar der Begriff der Anonymisierung häufig im Zusammenhang fällt, aber großes Unwissen über das Konzept der Pseudonymisierung herrscht. Letztere ist mindestens genauso wichtig wie erstere, denn nur wenn sie erfüllt ist, dürfen personenbezogene Daten weiterhin ausgewertet werden. lesen

Wie man Maschinenidentitäten schützen kann

Digitalisierung braucht maschinelle Identitäten

Wie man Maschinenidentitäten schützen kann

Nicht nur die Industrie setzt massiv auf Digitalisierung. Die Kommunikation von Systemen untereinander soll Effizienz, Wirtschaftlichkeit und Produktivität erhöhen und sogar gänzlich neue Geschäftsfelder eröffnen. Für eine erfolgreiche Digitalisierung müssen Geräte sicher miteinander kommunizieren können und zu diesem Zweck braucht es auch sichere maschinelle Identitäten. lesen

Braucht das Marketing neue Methoden durch die DSGVO?

Nachbericht b.telligent BI-Kongress 2018

Braucht das Marketing neue Methoden durch die DSGVO?

Rund 400 Gäste kamen nach München zum BI-Kongress 2018 der auf dieses Thema spezialisierten Beratungsfirma b.telligent. Im Mittelpunkt der Tagung standen die Anwendung von Big Data, Data Science, Cloud-Technologien und IoT sowie die demnächst gültige DSGVO (Datenschutz-Grundverordnung) der EU. lesen

Omnichannel geht nur mit zentraler Steuerung

Kommentar von Andreas Heiz, SAS, zu Datenanalysen im Marketing

Omnichannel geht nur mit zentraler Steuerung

Omnichannel möchte jeder, macht aber noch längst nicht jeder. Die Technologie ist jedoch selten der Grund dafür. Zunächst gilt es, eine Umorientierung jenseits von Silodenken im Unternehmen zu etablieren – und das Ganze auch noch DSGVO-konform. Doch es gibt schon Erfolgsgeschichten. lesen

Wem gehören die Daten im Connected Car?

Datenschutz

Wem gehören die Daten im Connected Car?

Das Auto ist längst ein Big-Data-Lieferant, in dem mehrere Gigabyte Daten pro Stunde zusammenkommen. Das Interesse an diesen Daten ist riesig. Die Fokusgruppe Connected Mobility greift diese Diskussion auf und erörtert in einer Stellungnahme die Notwendigkeit der Schaffung eines Rechts auf Dateneigentum. lesen

Das Recht auf Vergessenwerden und Künstliche Intelligenz

Kommentar von Thomas Ehrlich, Varonis Systems

Das Recht auf Vergessenwerden und Künstliche Intelligenz

Eine der größten Herausforderungen bei der Einführung der DSGVO stellt für viele Unternehmen das Recht auf Vergessenwerden dar. So räumten bei einer repräsentativen Umfrage 57 Prozent der deutschen Unternehmen Schwierigkeiten in diesem Bereich ein. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46354614 / Definitionen)