Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 151

124

Die Pseudonymisierung spielt als Schutzmechanismus für personenbezogene Daten unter der DSGVO eine prominentere Rolle als noch unter der alten Rechtslage. In Art. 4 Nr. 5 DSGVO ist die Pseudonymisierung definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

125

Die Pseudonymisierung ist mithin ein Werkzeug, durch das die Identität einer betroffenen Person verschleiert bzw. die Identifizierung erschwert werden kann, indem die direkt identifizierenden Merkmale von den anderen Informationen getrennt und durch ein Ersatzkennzeichen, das Pseudonym,251 ersetzt werden. Im Gegensatz zur Anonymisierung (zur Abgrenzung siehe bereits oben Rn. 54) behält sich der Verantwortliche jedoch eine separate Zuordnungsmöglichkeit bei (z.B. eine Zuordnungstabelle oder einen Schlüssel). Beispiele für Pseudonyme können Nutzerkennungen, E-Mail-Adressen, öffentliche bzw. private Schlüssel (z.B. in Blockchains) und Künstler- oder Decknamen sein,252 wobei stets gesondert geprüft werden muss, ob tatsächlich eine wirksame Pseudonymisierung i.S.v. Art. 4 Nr. 5 DSGVO vorliegt (dazu unten Rn. 124ff.). Die Pseudonymisierung ist ein wichtiger Bestandteil vieler neuer Technologien, wie z.B. Datenanalyse im Rahmen von Augmented Reality,253 Big Data,254 Car-to-Car-Communication,255 HealthTech,256 InsurTech257 und Blockchains.258

126

Pseudonyme Daten werden selbst nicht ausdrücklich definiert, aus der Definition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO lässt sich jedoch schließen, dass pseudonyme Daten personenbezogene Daten sind, die „ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

127

Neben der Definition in Art. 4 Nr. 5 DSGVO und den begleitenden Erwägungen in ErwG 26 Satz 2, 28, 29, 78 Satz 3 hält die DSGVO keine Erläuterungen vor, wie genau eine Pseudonymisierung erreicht werden kann. Hierfür sind wiederum die noch zur DSRl getätigten Ausführungen der Art.-29-Datenschutzgruppe hilfreich.259 Die DSRl sah keine Definition der Pseudonymisierung vor; auf deutscher Gesetzesebene existierte eine entsprechende Begriffsbestimmung in § 46 Nr. 5 BDSG, die jedoch lediglich für die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen Anwendung findet und – mit marginalen Abweichungen – den Wortlaut von Art. 4 Nr. 4 DSGVO wiedergibt.