DS-GVO/BDSG. David Klein
Verantwortlichen erfolgen, gleichwohl muss dieser die notwendigen technischen und organisatorischen Maßnahmen (vgl. Ausführungen zur getrennten Aufbewahrung) vorhalten, um eine unberechtigte Wiederherstellung des Personenbezugs zu verhindern.
90
Die Fokusgruppe Datenschutz hat in diesem Zusammenhang sowohl ein Arbeitspapier zu den Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen[208] als auch einen Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung[209] vorgelegt. Die Arbeitspapiere enthalten dabei insbesondere folgende Empfehlungen zur Gewährleistung einer DS-GVO konformen Pseudonymisierung:
| – | Für die Überwachung der Pseudonymisierung ist in organisatorischer Hinsicht ein Fachverantwortlicher zu benennen, der das technische und organisatorische Fachwissen besitzt und den Prozess der Pseudonymisierung von Daten festlegt und überwacht.[210] Der Begriff des Fachverantwortlichen beinhaltet dabei nicht die datenschutzrechtliche Verantwortlichkeit für die Pseudonymisierung i.S.v. Art. 4 Nr. 7, sondern die interne Verantwortlichkeit für die Organisation und den ordnungsgemäßen Ablauf der Pseudonymisierung. |
| – | Um eine datenschutzkonforme Pseudonymisierung zu gewährleisten, ist es erforderlich die Art und Risikoklasse der verarbeiteten personenbezogenen Daten festzulegen.[211] Hierbei ist nicht nur entscheidend, ob es sich um personenbezogene Daten nach Art. 4 Nr. 1 oder Art. 9 handelt, sondern auch zu welchem Zweck bzw. zu welchen Zwecken und in welchem Kontext die Daten verarbeitet werden.[212] Dabei ist auch maßgeblich, ob eine Weitergabe der pseudonymisierten Daten seitens des oder der Verantwortlichen geplant ist.[213] |
| – | Die einzelnen Prozessschritte der Pseudonymisierung und deren Durchführung sind entsprechend Art. 5 Abs. 2 zu dokumentieren.[214] Dies betrifft insbesondere die Zuweisung der Fachverantwortlichkeiten, die Auswahl des geeigneten Pseudonymisierungsverfahrens, die beabsichtigten Verarbeitungszwecke inklusive einer möglicherweise geplanten Weiterverarbeitung, die Prüfung der Erforderlichkeit der Datenverarbeitung (mind. alle zwei Jahre), der Kontext der Pseudonymisierung, Voraussetzungen und Häufigkeit einer Re-Identifizierung sowie die Dokumentation sonstiger Abwägungsentscheidungen.[215] |
91
Auch die von der Bundesregierung eingesetzte Datenethikkomission hat sich zum Begriff der Pseudonymisierung in ihrem Abschlussgutachten geäußert und die Notwendigkeit der Schaffung einheitlicher Standards zur rechtssicheren Anwendung der Pseudonymisierung betont.[216] Sie empfiehlt daher sowohl im Interesse der betroffenen Personen als auch der Rechtsanwender auf EU-Ebene die Entwicklung von Standards für DS-konforme Pseudonymisierungsmaßnahmen und verweist dabei auf den Entwurf eines Codes of Conducts der Fokusgruppe Datenschutz.[217]
92
Die Wirksamkeit der Pseudonymisierung hängt von verschiedenen Faktoren ab. Eine Rolle dabei spielen der Zeitpunkt[218], die Rücknahmefestigkeit, die Größe der Population, in der sich der Betroffene verbirgt, die Verkettungsmöglichkeit von einzelnen Transaktionen oder Datensätzen desselben Betroffenen und die Zufälligkeit und Vorhersagbarkeit sowie die Menge der möglichen Pseudonyme.[219]
3. Abgrenzung zur Anonymisierung
93
Die Pseudonymisierung ist von der Anonymisierung abzugrenzen. Im Grundsatz sind anonymisierte Daten vom Anwendungsbereich der DS-GVO nicht erfasst.[220] Während die DSRL sich lediglich in ErwG 26 zur Frage der Anonymisierung und Pseudonymisierung äußerte, schafft die DS-GVO in Art. 4 Nr. 5 durch ihre Definition und ErwG 26 klarere Verhältnisse. Eine eigene Definition der Anonymisierung ist indes auch in der DS-GVO nicht enthalten. Sie ergibt sich vielmehr aus einem Umkehrschluss aus der Definition der „personenbezogenen Daten“ aus Art. 4 Nr. 1[221] sowie aus ErwG 26: Danach sind anonyme Informationen „personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.
94
Der Unterschied zwischen pseudonymisierten Daten und anonymisierten Daten liegt demzufolge darin, dass pseudonymisierte Daten der betroffenen Person unter Hinzuziehung der gesondert aufbewahrten oder ggf. öffentlich zugänglicher Informationen wieder entschlüsselt und damit die betroffene Person identifiziert werden kann, während dies bei anonymisierten Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.[222] Hierbei ist die Frage, wann ein unverhältnismäßiger Aufwand anzunehmen ist, eng mit der Abgrenzung zwischen Anonymisierung und Pseudonymisierung (insbesondere mit der Frage einer Identifizierbarkeit[223]) verknüpft. Insofern ist die durch ErwG 26 vorgegebene und bereits im Rahmen von Art. 4 Nr. 1 angesprochene Verhältnismäßigkeitsprüfung[224] auch im Rahmen von Art. 4 Nr. 5 maßgeblich. Im BDSG a.F. war der Maßstab hierfür noch in § 3 Abs. 6 BDSG a.F. ausgeführt und besagte, dass eine Anonymisierung jedenfalls dann erreicht war, wenn die Zuordnung der Angaben zu der betroffenen Person nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitsaufwand zu erreichen war. ErwG 26 der DS-GVO bezieht sich demgegenüber auf „alle Mittel (…) die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person (…) zu identifizieren. [Hierbei] sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologischen Entwicklungen zu berücksichtigen sind.“ Entscheidend sind also die Kosten der Identifizierung, der erforderliche Zeitaufwand, die verfügbaren Technologien sowie technologischen Entwicklungen.[225] Insofern ist hinsichtlich der Frage eines unverhältnismäßigen Aufwands im Rahmen von Art. 4 Nr. 5 wie schon bei Art. 4 Nr. 1 eine Verhältnismäßigkeitsprüfung anhand der genannten Gesichtspunkte im Einzelfall erforderlich.
95
Findet bspw. eine Trennung von Zuordnungsregeln und Daten nur innerhalb einer Unternehmensgruppe oder durch TOM bei dem Verantwortlichen selbst statt, ist davon auszugehen, dass es sich bei dem Datenbestand im Rahmen der internen Verarbeitung um pseudonymisierte, nicht aber um anonymisierte Daten handelt.[226] In einem solchen Fall ist das Missbrauchsrisiko durch die vorgenommene Maßnahme durchaus minimiert, jedoch nach allgemeiner Lebenserfahrung nicht vollkommen auszuschließen. Nach Ansicht der Datenethikkommission liegt darüber hinaus eine Anonymisierung jedenfalls dann vor, wenn der Personenbezug von Daten unwiederbringlich entfernt wird.[227] Dies sei insbesondere durch eine Randomisierung oder durch eine Generalisierung von Daten möglich. Während eine Randomisierung eine Veränderung von Daten dergestalt ist, dass eine Zuordnung nicht mehr möglich ist (etwa durch eine Verfälschung von Daten), beinhaltet die Generalisierung die Vergröberung von Daten, etwa durch Aggregation.[228]