Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 152

128

Nach ErwG 26 Satz 2 sind einer Pseudonymisierung unterzogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person, also als personenbezogene Daten (siehe dazu oben Rn. 55), zu betrachten. Rechtlich gesehen bewirkt eine Pseudonymisierung unter der DSGVO somit keine umfassende Privilegierung für den Verantwortlichen in dem Sinne, dass – wie bei der Anonymisierung – das Verbotsprinzip auf die Verarbeitung der pseudonymen Daten keine Anwendung mehr findet. Insofern bedarf es zur Verarbeitung pseudonymer Daten weiterhin eines entsprechenden gesetzlichen Erlaubnistatbestands. Für andere Stellen, die die Zuordnungsregel nicht kennen, kann es sich bei einer Pseudonymisierung unterzogener Daten allerdings auch – dem (eingeschränkten) relativen Verständnis des Personenbezugs folgend (siehe dazu oben Rn. 34) – um anonyme Daten handeln, sofern kein anderweitiges wahrscheinlich von den Empfängern oder Dritten verwendetes Zusatzwissen verfügbar ist.260

129

Allerdings erkennt der europäische Gesetzgeber in ErwG 28 Satz 1 ausdrücklich an, dass ein Anreiz bestehen muss, personenbezogene Daten zu pseudonymisieren, dass pseudonymisierte Daten die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen können. Es ist beispielsweise möglich, durch den unternehmensinternen Einsatz von Pseudonymisierungen die Missbrauchsgefahr von personenbezogenen Daten zu begrenzen, indem Mitarbeitern lediglich Zugriff auf pseudonymisierte Datensätze, jedoch nicht auf die entsprechende Zuordnungsregel gewährt wird. So wird der Anreiz einer unberechtigten Datennutzung minimiert, da die Daten in der Regel weder für den Mitarbeiter noch für einen interessierten Dritten von Wert sein werden, da sie nicht über die nötige Zuordnungsregel verfügen, um die Daten in einem anderen Kontext fruchtbar zu machen.261 Wirtschaftlich gesehen bewahren pseudonymisierte Daten dem Verantwortlichen im Gegensatz zu anonymisierten Daten die Möglichkeit, Daten zusammenzuführen262 oder zu erweitern,263 da die jeweiligen Datensätze einer bestimmten Person – wenn auch unter einem Pseudonym – zugeordnet werden können. Die Pseudonymisierung gewährt somit nicht nur bessere Vertraulichkeit, sondern erhält auch ein gewisses Maß an Nutzbarkeit.264 Andererseits stellt die Zuordnung eines Pseudonyms für viele unterschiedliche Sachverhalte eine Gefahr dar, weil dadurch ein klares Profil der natürlichen Person geschaffen wird und der zu betreibende Aufwand für eine De-Anonymisierung sinkt.265 Es kann daher sinnvoll sein, für jedes Ereignis ein neues Pseudonym (dann auch „Transaktionspseudonym“ genannt)266 zu verwenden.267

130

Nicht ausdrücklich gesetzlich vorgesehen, aber dennoch wohl praktisch als Anreiz existierend, ist der Faktor, dass es eine Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO zugunsten des Verantwortlichen beeinflussen kann, wenn dieser die jeweils betroffenen Daten lediglich in pseudonymisierter Form verarbeitet.268 Generell dürfte eine Pseudonymisierung bei allen Pflichten in der DSGVO, die eine risikobasierte Prüfung vorsehen, sich positiv für denjenigen, der eine Pseudonymisierung vorgenommen hat, auswirken.269 Spiegelbildlich ist jedoch zu beachten, dass eine Aufhebung der Pseudonymisierung und damit womöglich eine einhergehende Re-Identifizierung eine besonders erhebliche Beeinträchtigung der Rechte der betroffenen Person darstellt, insbesondere wenn dieser die Aufhebung nicht erwarten durfte (vgl. auch die explizite Nennung der Aufhebung der Pseudonymisierung als möglicher Schaden in ErwG 75 und 85 Satz 1).270 Unter der DSGVO besteht hingegen keine generelle Pflicht des Verantwortlichen zur bzw. ein Recht der betroffenen Personen auf Pseudonymisierung (vgl. für Telemedien § 13 Abs. 6 TMG271).272 Dem steht auch schon die ausdrückliche Erwähnung in ErwG 28 Satz 2 entgegen, dass neben der Pseudonymisierung noch andere Möglichkeiten der grundrechtsschonenden Datenverarbeitung existieren. Im Einzelfall kann dem Verantwortlichen aber im Sinne des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und im Rahmen der Interessenabwägung der Einsatz der Pseudonymisierung angeraten sein, um z.B. bei einer Datenanalyse die nicht relevanten identifizierenden Merkmale zu schützen.273 Einige mitgliedstaatliche Vorschriften auferlegen ausdrücklich Pseudonymisierungspflichten, meist bereichsspezifisch (z.B. bei der Verarbeitung von besonderen Kategorien personenbezogener Daten zu Forschungszwecken und statistischen Zwecken, siehe dazu § 27 BDSG Rn. 16ff.).274

131

Die DSGVO gesteht der Pseudonymisierung eine Vielzahl von Erleichterungen bzw. positiven Anerkenntnissen zu. Die Pseudonymisierung ist wie auch die Verschlüsselung (zur Einstufung der Verschlüsselung als Pseudonymisierung siehe unten Rn. 143) etwa gemäß Art. 6 Abs. 4 lit. e DSGVO als begünstigender Faktor bei einer zweckändernden Verarbeitung zu berücksichtigen.275 Bei Verletzungen des Schutzes personenbezogener Daten kann bei vorher erfolgter Verschlüsselung der relevanten Daten die Benachrichtigungspflicht gegenüber betroffenen Personen gemäß Art. 34 Abs. 3 lit. a DSGVO entfallen. Die Pseudonymisierung ist ausdrücklich sowohl eine Maßnahme zur Gewährleistung des Datenschutzes durch Technikgestaltung bzw. des Datenschutzes durch datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 1 DSGVO276 als auch der Sicherheit der Verarbeitung nach Art. 32 Abs. 1 lit. a DSGVO.277 Die Frage, ob Daten pseudonymisiert wurden oder nicht, ist dementsprechend zumindest mittelbar ein Faktor bei der Bußgeldbemessung nach Art. 83 Abs. 2 lit. d DSGVO. Auch für die Verarbeitung von besonderen Kategorien personenbezogener Daten nach § 22 Abs. 1, 2 BDSG sind ausdrücklich die Pseudonymisierung oder Verschlüsselung in Betracht zu ziehen. Der Einsatz von Pseudonymisierung kann auch dazu führen, dass Pflichten zur Erfüllung der Betroffenenrechten, über Art. 11 DSGVO eingeschränkt werden.278 Sofern Mitgliedstaaten eine Privilegierung der Verarbeitung von personenbezogenen Daten zu im öffentlichen Interesse liegenden Archiv-, Forschungs- oder statistischen Zwecken vorsehen, kann gemäß Art. 89 Abs. 1 Satz 2 DSGVO eine Pseudonymisierung als Bedingung gefordert werden.

132

Im Nachgang an das Schrems II-Urteil des EuGH279 hat der EDSA die Relevanz der Pseudonymisierung von personenbezogenen Daten auch auf Drittlandtransfers erweitert. So geht der EDSA davon aus, dass die Pseudonymisierung von Daten als zusätzliche Sicherheitsmaßnahme (in der Regel also zusätzlich zum Abschluss von EU-Standardvertragsklauseln, vgl. hierzu Art. 46 Rn. 8ff.) in aller Regel ausreichend ist, um beim Datenimporteur im Drittland ein angemessenes Datenschutzniveau für den betroffenen Datentransfer zu etablieren, auch wenn das jeweilige Empfängerland grundsätzlich als unsicher zu klassifizieren wäre.280 Der EDSA setzt dabei jedoch insbesondere voraus, dass der Datenimporteur keine Kenntnis über die jeweils verwendete Zuordnungsregel erhält.