Читать книгу DS-GVO/BDSG - David Klein - Страница 128

97

Eine Pseudonymisierung von Daten erfolgt in der Regel dadurch, dass in einem Datenbestand das Identifizierungsmerkmal einer betroffenen Person (etwa der Name) durch ein Pseudonym ersetzt wird, das keinen Rückschluss auf den Betroffenen zulässt. Pseudonyme können eine Kennzahl oder auch eine Fantasiebezeichnung sein. Von einer Pseudonymisierung ist aber etwa auch dann auszugehen, wenn eine Datensammlung durch die Anwendung eines Algorithmus nur für denjenigen einen Personenbezug erkennbar macht, der über den dazu erforderlichen Algorithmus verfügt.[231]

98

Zur Umsetzung einer Pseudonymisierung können verschiedene Verfahren zum Einsatz kommen. So können bspw. Zuordnungstabellen bzw. Pseudonymisierungslisten verwendet werden, in der jedem Klartextdatum ein Pseudonym zugeordnet wird.[232] Alternativ können auch kryptographische (Berechnungs-)Verfahren eingesetzt werden, die jeweils ein Klartextdatum in ein Pseudonym umwandeln.[233] Die Sicherheit des Pseudonymisierungsverfahrens kann ferner dadurch erhöht werden, dass Mischverfahren zum Einsatz kommen, bei denen die Bildung von Pseudonymen durch mehrere unabhängige Stellen durchgeführt wird.[234]

99

Hinsichtlich der Anforderungen an Pseudonyme kann es bei der Verarbeitung erforderlich sein, dass die erzeugten pseudonymisierten Daten bestimmte Eigenschaften der zugrundliegenden Klartextdaten enthalten. Diese werden als Verfügbarkeitsanforderungen an eine Pseudonymisierung bezeichnet. Mögliche Verfügbarkeitsoptionen sind etwa die Aufdeckbarkeit des dem Pseudonym zugrundeliegenden Klartextes unter bestimmten Voraussetzungen sowie eine Verkettbarkeit hinsichtlich einer bestimmten Relation.[235] So kann z.B. für zwei Pseudonyme bestimmt werden, ob die zugrundeliegenden Klartexte in einem spezifischen Zusammenhang stehen. Darüber hinaus kommen eine Rollenbindung oder eine Zweckbindung als Verfügbarkeitsoption in Betracht.[236]

100

Die Pseudonymisierung kann auf rücknehmbare Weise anhand von Referenzlisten für Identitäten und ihren Pseudonymen oder sog. Zweiwege-Verschlüsselungsalgorithmen für die Pseudonymisierung erfolgen. Identitäten können auch so verschleiert werden, dass eine Reidentifizierung nicht mehr möglich ist, d.h. durch Einweg-Verschlüsselungen, wodurch gewöhnlich anonymisierte Daten entstehen.[237] Entscheidend ist stets, dass das gewählte Pseudonymisierungsverfahren dem gegenwärtigen Stand der Technik entspricht.[238]