DS-GVO/BDSG. David Klein
anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist“.[171]
82
Der Pseudonymisierung kommt in der Praxis eine zentrale Bedeutung zu, weil sie eine technische Schutzmaßnahme darstellt, die eine betroffene Person vor einer unmittelbaren Identifikation schützt, aber gleichzeitig den Personenbezug von Daten lockert, um sie so für die wirtschaftliche Verwertung nutzbar zu machen.[172] Hierbei ist zu beachten, dass die Pseudonymisierung aus sich heraus nicht die Rechtmäßigkeit einer Datenverarbeitung begründen kann.[173] Sie ist vielmehr ein Baustein, um eine Datenverarbeitung im Einklang mit der DS-GVO und einen hinreichenden (technischen) Schutz personenbezogener Daten zu gewährleisten.[174]
83
Art. 4 Nr. 1[175], 6 Abs. 4[176], 25[177], 32[178], 40[179], 83 Abs. 2 lit. d[180] sowie Art. 89 Abs. 1[181] nehmen auf die Pseudonymisierung Bezug. Ausweislich ErwG 28 dient die Pseudonymisierung nach der Wertung der DS-GVO als technisches Verfahren der Risikominimierung und soll die Verantwortlichen und Auftragsverarbeiter bei der Einhaltung der Datenschutzpflichten unterstützen.[182] Folgerichtig unterstreicht auch Art. 32 Abs. 1 lit. a[183], dass die Pseudonymisierung eine technische Sicherungsmaßnahme (und keine Anonymisierung) darstellt.[184] Denn im Rahmen einer Pseudonymisierung kann die betroffene Person unter Hinzuziehung von gesondert aufbewahrten oder ggf. öffentlich zugänglichen Informationen wieder identifiziert werden, während dies im Falle einer Anonymisierung nicht oder nur mit unverhältnismäßigem Aufwand[185] möglich ist.[186]
84
Neben dieser Schutzfunktion trägt die Pseudonymisierung zudem dem Prinzip der Datenminimierung und Datensparsamkeit aus Art. 5 Abs. 1 lit. c[187] Rechnung. Nach dieser Vorschrift müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Insofern adressiert Art. 5 Abs. 1 lit. c die Pseudonymisierung zwar nicht unmittelbar, sie kommt aber insbesondere dann zum Tragen, wenn ein Personenbezug von Informationen nicht mehr notwendig ist, um die Zwecke der Verarbeitung zu realisieren. Sie ist damit eine konkrete Umsetzung und Ausdruck des Gebotes des sparsamen Umgangs mit personenbezogenen Daten.[188]
85
Darüber hinaus weist die Pseudonymisierung eine enge Verknüpfung mit dem Datenschutzprinzip des „Privacy by Design“ aus Art. 25[189] auf. Sie sorgt dafür, dass bereits in einem frühen Stadium durch TOM eine Entkoppelung persönlicher Informationen von anderen Daten erfolgen kann, was zu einem wirksamen Schutz für die Betroffenen führt.[190]
86
Im Rahmen eines risikobasierten Ansatzes wirkt sich die Pseudonymisierung auch zugunsten des Verantwortlichen aus. So kann sie Verarbeitungen zulässig machen, die ansonsten unzulässig wären. Dies ist insbesondere im Zeitalter von Big Data und Internet of Things von wesentlicher Bedeutung.[191] Ein wichtiges Anwendungsbeispiel ist dabei Art. 6 Abs. 4[192], der für eine Datenverarbeitung im Falle einer Zweckänderung gilt: Ob der neue (geänderte) Verarbeitungszweck mit dem ursprünglichen Zweck der Datenerhebung/-verarbeitung vereinbar ist, entscheidet eine Abwägung. Ein wichtiges Kriterium im Rahmen dieser Kompatibilitätsprüfung ist das Vorhandensein geeigneter Garantien, wozu auch die Pseudonymisierung zählt (vgl. Art. 6 Abs. 4 lit. e).[193]
87
Schließlich kommt der Pseudonymisierung auch auf der Rechtsfolgenseite eine große Bedeutung zu: Indem Art. 83 Abs. 2 lit. d[194] im Rahmen der Entscheidung über die Verhängung einer Geldbuße auf Art. 25 und die getroffenen TOM abstellt, ist die Pseudonymisierung ein wichtiges Kriterium hinsichtlich der Bemessung der Bußgeldhöhe.
88
Gemäß ErwG 26 fallen pseudonymisierte Daten in den Regelungsbereich der DS-GVO. Gegenüber sonstigen personenbezogenen Daten sind sie jedoch privilegiert. Dies hat seinen Grund darin, dass pseudonymisierte Daten ohne Kenntnis zusätzlicher, getrennt aufbewahrter Informationen einer identifizierten Person nicht zugeordnet werden können. Die Privilegierung pseudonymisierter Daten ergibt sich insbesondere aus dem oben dargestellten Zusammenspiel verschiedener Normen[195] der DS-GVO, eine ausdrückliche Benennung der Privilegierung pseudonymisierter Daten enthält die DS-GVO indes nicht.[196]
2. Anforderungen an die Pseudonymisierung
89
Aus der Definition des Art. 4 Nr. 5 lassen sich die folgenden drei Anforderungen an eine datenschutzkonforme Pseudonymisierung ableiten:[197]
| – | Keine Pseudonymisierung liegt vor, wenn die vorhandenen Daten ohne weiteres, z.B. über einen Namen, eine Anschrift oder eine Personalnummer, einer identifizierbaren Person zugeordnet werden können. Erforderlich ist vielmehr, dass eine Identifizierung der betroffenen Person nur unter Hinzuziehung zusätzlicher Informationen möglich ist.[198] |
| – | Daten, mit denen die Zuordnung zu einer Person möglich wäre, müssen derart getrennt aufbewahrt werden, dass sie nicht ohne weiteres zusammengeführt werden können. Die Aufbewahrung der zusätzlichen Daten und Informationen muss dabei laut ErwG 29 S. 1 nicht bei einem anderen Verantwortlichen erfolgen. Andernfalls würde das Verfahren der Pseudonymisierung in der Praxis zu stark eingeschränkt und somit keinen Anreiz mehr für Unternehmen bieten, eine Pseudonymisierung vorzunehmen.[199] Eine getrennte Aufbewahrung der Daten ist bspw. dann gegeben, wenn ein Datensatz nur in Form von Kennziffern vorhanden ist, die übrigen Identifikationsdaten aber weiterhin verfügbar sind.[200] Dies kann z.B. durch eine logische Trennung mit unterschiedlichen Zugriffsberechtigungen erfolgen.[201] Beim Einsatz von Pseudonymisierungsverfahren ist daher stets festzulegen, wer über z.B. Zuordnungstabellen oder Verschlüsselungsverfahren verfügen soll, wer das Pseudonym generiert und unter welchen Voraussetzungen eine Zusammenführung mit den Identifikationsdaten möglich ist.[202] Die Fokusgruppe Datenschutz schlägt hierbei neben einem „Alles-in-einer-Hand“-Modell, bei dem der Verantwortliche sowohl über die personenbezogenen Daten als auch den Zuordnungsschlüssel verfügt ein „Treuhändermodell“ vor, bei dem ein Dritter außerhalb des Verantwortlichen den Schlüssel zur Re-Identifizierung aufbewahrt.[203] Darüber hinaus kommt im jeweiligen Verarbeitungskontext auch ein Mischmodell in Betracht.[204] |
| – |
Die personenbezogenen Daten sind zudem besonderen TOM zu unterwerfen, die gewährleisten, dass die Daten nicht unmittelbar einer natürlichen Person zugewiesen werden können.[205] Diese Voraussetzung knüpft an die Kernaussagen der ErwG 26 und 28 an. So stellt ErwG 26 klar, dass personenbezogene Daten, die pseudonymisiert wurden, aber durch die Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person[206] betrachtet werden sollen und somit als „personenbeziehbare Daten“ weiterhin |