Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 156

140

Art. 4 Nr. 5 DSGVO fordert, dass die Nichtzuordnung pseudonymisierter Daten durch technische und organisatorische Maßnahmen gewährleistet wird.290 Es geht mithin nicht um einen gänzlichen Ausschluss der Zuordnung i.S.v. „garantieren“ (dann würde es sich sowieso um eine Anonymisierung handeln), sondern die Gewährleistung soll nur eine Erschwerung erwirken, sodass auch innerhalb eines Unternehmens sowie erst recht einer Unternehmensgruppe eine Pseudonymisierung möglich ist (zur genauen Ausgestaltung sogleich Rn. 132ff.).291 Welchen Reifegrad die technische und organisatorische Trennung gewährleisten muss, stellt die DSGVO nicht klar. Im Einzelfall sollte jedoch nach einem objektiven Beurteilungsmaßstab eine Verknüpfungsmöglichkeit im Regelfall ausgeschlossen sein.292 Regelmäßig sicherer als die Eigenverwahrung dürfte jedenfalls die Einschaltung eines vertrauenswürdigen Dritten als Treuhänder sein.293

141

Nimmt der Verantwortliche ohne Zuhilfenahme eines Dritten selbst intern eine Pseudonymisierung vor, ist nach ErwG 29 Satz 2 vom Verantwortlichen organisatorisch zu gewährleisten, dass er die bezüglich der zusätzlichen, die Identifizierung ermöglichenden Daten zugriffsbefugten Personen ausdrücklich benennt. Dies unterstreicht, dass der einfache Nutzer der Daten keinen Zugriff auf dieses Referenzwissen haben sollte, sondern – um einen Missbrauch auszuschließen – nur eine begrenzte Anzahl Personen, z.B. bestimmte leitende Mitarbeiter des Verantwortlichen.294

142

Dass nur befugte Personen Zugriff auf die zusätzlichen Informationen haben, sollte durch sowohl technische (z.B. Wahl eines besonders sicheren Pseudonymisierungsverfahrens (dazu sogleich Rn. 141ff.), beschränkte Zugriffsrechte durch entsprechende Rechte- und Rollenkonzepte,295 verschlüsselte Übermittlung der pseudonymisierten Daten sowie insbesondere der Zuordnungsregel als auch organisatorische Maßnahmen (insbesondere klare Festlegung, wer über die Zuordnungsmöglichkeit verfügen soll, wer die Pseudonymisierung vornimmt und unter welchen Bedingungen eine Zuordnung erlaubt ist, was z.B. arbeitsvertraglich, durch Organisationsanweisungen und in der Datenschutz-Policy des Verantwortlichen geregelt werden kann) abgesichert werden.296 Wichtig ist auch, dass organisatorisch sichergestellt ist, dass zu Beginn der Pseudonymisierung, aber auch laufend aufgrund des sich stets ändernden Re-Identifizierungsrisikos (dazu oben Rn. 121) geprüft wird, dass ohne die zusätzlichen Informationen kein Re-Identifizierungsrisiko besteht.297 Generell entscheidend dafür, welche technischen und organisatorischen Maßnahmen konkret ergriffen werden sollten, ist der technische und organisatorische Aufbau des Datenmanagements, also insbesondere die Frage, ob der Verantwortliche jeweils die Datenhaltung und die Pseudonymisierung zentral oder dezentral vornimmt und ob er sich dabei eines Dritten bedient.298