Читать книгу DS-GVO/BDSG - David Klein - Страница 125

89

Aus der Definition des Art. 4 Nr. 5 lassen sich die folgenden drei Anforderungen an eine datenschutzkonforme Pseudonymisierung ableiten:[197]

–	Keine Pseudonymisierung liegt vor, wenn die vorhandenen Daten ohne weiteres, z.B. über einen Namen, eine Anschrift oder eine Personalnummer, einer identifizierbaren Person zugeordnet werden können. Erforderlich ist vielmehr, dass eine Identifizierung der betroffenen Person nur unter Hinzuziehung zusätzlicher Informationen möglich ist.[198]
–	Daten, mit denen die Zuordnung zu einer Person möglich wäre, müssen derart getrennt aufbewahrt werden, dass sie nicht ohne weiteres zusammengeführt werden können. Die Aufbewahrung der zusätzlichen Daten und Informationen muss dabei laut ErwG 29 S. 1 nicht bei einem anderen Verantwortlichen erfolgen. Andernfalls würde das Verfahren der Pseudonymisierung in der Praxis zu stark eingeschränkt und somit keinen Anreiz mehr für Unternehmen bieten, eine Pseudonymisierung vorzunehmen.[199] Eine getrennte Aufbewahrung der Daten ist bspw. dann gegeben, wenn ein Datensatz nur in Form von Kennziffern vorhanden ist, die übrigen Identifikationsdaten aber weiterhin verfügbar sind.[200] Dies kann z.B. durch eine logische Trennung mit unterschiedlichen Zugriffsberechtigungen erfolgen.[201] Beim Einsatz von Pseudonymisierungsverfahren ist daher stets festzulegen, wer über z.B. Zuordnungstabellen oder Verschlüsselungsverfahren verfügen soll, wer das Pseudonym generiert und unter welchen Voraussetzungen eine Zusammenführung mit den Identifikationsdaten möglich ist.[202] Die Fokusgruppe Datenschutz schlägt hierbei neben einem „Alles-in-einer-Hand“-Modell, bei dem der Verantwortliche sowohl über die personenbezogenen Daten als auch den Zuordnungsschlüssel verfügt ein „Treuhändermodell“ vor, bei dem ein Dritter außerhalb des Verantwortlichen den Schlüssel zur Re-Identifizierung aufbewahrt.[203] Darüber hinaus kommt im jeweiligen Verarbeitungskontext auch ein Mischmodell in Betracht.[204]
–	Die personenbezogenen Daten sind zudem besonderen TOM zu unterwerfen, die gewährleisten, dass die Daten nicht unmittelbar einer natürlichen Person zugewiesen werden können.[205] Diese Voraussetzung knüpft an die Kernaussagen der ErwG 26 und 28 an. So stellt ErwG 26 klar, dass personenbezogene Daten, die pseudonymisiert wurden, aber durch die Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person[206] betrachtet werden sollen und somit als „personenbeziehbare Daten“ weiterhin in den Anwendungsbereich der DS-GVO fallen.[207] Demzufolge kann eine Pseudonymisierung zwar bei demselben Verantwortlichen erfolgen, gleichwohl muss dieser die notwendigen technischen und organisatorischen Maßnahmen (vgl. Ausführungen zur getrennten Aufbewahrung) vorhalten, um eine unberechtigte Wiederherstellung des Personenbezugs zu verhindern.

90

Die Fokusgruppe Datenschutz hat in diesem Zusammenhang sowohl ein Arbeitspapier zu den Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen[208] als auch einen Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung[209] vorgelegt. Die Arbeitspapiere enthalten dabei insbesondere folgende Empfehlungen zur Gewährleistung einer DS-GVO konformen Pseudonymisierung:

–	Für die Überwachung der Pseudonymisierung ist in organisatorischer Hinsicht ein Fachverantwortlicher zu benennen, der das technische und organisatorische Fachwissen besitzt und den Prozess der Pseudonymisierung von Daten festlegt und überwacht.[210] Der Begriff des Fachverantwortlichen beinhaltet dabei nicht die datenschutzrechtliche Verantwortlichkeit für die Pseudonymisierung i.S.v. Art. 4 Nr. 7, sondern die interne Verantwortlichkeit für die Organisation und den ordnungsgemäßen Ablauf der Pseudonymisierung.
–	Um eine datenschutzkonforme Pseudonymisierung zu gewährleisten, ist es erforderlich die Art und Risikoklasse der verarbeiteten personenbezogenen Daten festzulegen.[211] Hierbei ist nicht nur entscheidend, ob es sich um personenbezogene Daten nach Art. 4 Nr. 1 oder Art. 9 handelt, sondern auch zu welchem Zweck bzw. zu welchen Zwecken und in welchem Kontext die Daten verarbeitet werden.[212] Dabei ist auch maßgeblich, ob eine Weitergabe der pseudonymisierten Daten seitens des oder der Verantwortlichen geplant ist.[213]
–	Die einzelnen Prozessschritte der Pseudonymisierung und deren Durchführung sind entsprechend Art. 5 Abs. 2 zu dokumentieren.[214] Dies betrifft insbesondere die Zuweisung der Fachverantwortlichkeiten, die Auswahl des geeigneten Pseudonymisierungsverfahrens, die beabsichtigten Verarbeitungszwecke inklusive einer möglicherweise geplanten Weiterverarbeitung, die Prüfung der Erforderlichkeit der Datenverarbeitung (mind. alle zwei Jahre), der Kontext der Pseudonymisierung, Voraussetzungen und Häufigkeit einer Re-Identifizierung sowie die Dokumentation sonstiger Abwägungsentscheidungen.[215]

91

Auch die von der Bundesregierung eingesetzte Datenethikkomission hat sich zum Begriff der Pseudonymisierung in ihrem Abschlussgutachten geäußert und die Notwendigkeit der Schaffung einheitlicher Standards zur rechtssicheren Anwendung der Pseudonymisierung betont.[216] Sie empfiehlt daher sowohl im Interesse der betroffenen Personen als auch der Rechtsanwender auf EU-Ebene die Entwicklung von Standards für DS-konforme Pseudonymisierungsmaßnahmen und verweist dabei auf den Entwurf eines Codes of Conducts der Fokusgruppe Datenschutz.[217]

92

Die Wirksamkeit der Pseudonymisierung hängt von verschiedenen Faktoren ab. Eine Rolle dabei spielen der Zeitpunkt[218], die Rücknahmefestigkeit, die Größe der Population, in der sich der Betroffene verbirgt, die Verkettungsmöglichkeit von einzelnen Transaktionen oder Datensätzen desselben Betroffenen und die Zufälligkeit und Vorhersagbarkeit sowie die Menge der möglichen Pseudonyme.[219]