Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 162

152

In der Praxis bieten sich verschiedene Pseudonymisierungsverfahren an, die allerdings weder in der DSGVO benannt noch näher beleuchtet werden. Die Art.-29-Datenschutzgruppe313 hat sich allerdings mit eben diesen befasst, wie auch die Datenschutzbeauftragten des Bundes und der Länder.314 Die Wirksamkeit der gewählten Pseudonymisierungsverfahren hängt nach der Art.-29-Datenschutzgruppe vom Zeitpunkt der Pseudonymisierung, von der Rücknahmefestigkeit der Pseudonymisierungsprozedur, von der Größe der Population, in der sich die betroffene Person verbirgt, von der Verkettungsmöglichkeit von einzelnen Transaktionen oder Datensätzen derselben betroffenen Person, von der Zufälligkeit und Vorhersehbarkeit sowie der Menge der möglichen Pseudonyme ab.315

153

Ein gängiges Verfahren der Pseudonymisierung ist zunächst die Erstellung einer Referenzliste, in der die extrahierten identifizierenden Daten dem Pseudonym gegenübergestellt werden, um eine klare Zuordnung mit Hilfe dieser Liste zu ermöglichen.316 Dies bietet sich für Situationen an, bei denen eine Zuordnung nur in Ausnahmefällen notwendig ist, wie z.B. für fehlerhafte Zahlungsvorgänge.317 Die Referenzlisten können dabei auch von einem oder mehreren Dritten verwahrt werden (siehe dazu bereits oben Rn. 138).

154

Auch die Verschlüsselung von personenbezogenen Daten, eines der sog. kryptografischen Verfahren, kann ein Werkzeug zur Pseudonymisierung sein.318 Eine Verschlüsselung ist eine Maßnahme, durch die ein Datensatz (oder im Falle der Pseudonymisierung u.U. auch nur der Teil des Datensatzes, der sich auf natürliche Personen bezieht) mit kryptografischen Verfahren so unkenntlich gemacht wird, dass er nur durch einen oder mehrere Schlüssel (z.B. ein Passwort oder ein mathematischer Algorithmus) wieder lesbar gemacht werden kann.319 Unterschieden wird insofern zwischen der symmetrischen Verschlüsselung, d.h. ein Schlüsseltausch zwischen berechtigtem Sender und Empfänger, und der asymmetrischen Verschlüsselung, mithin eine Ver- und Entschlüsselung mittels eines öffentlichen und eines privaten Schlüssels.320 Die DSGVO unterscheidet zwar zwischen der Pseudonymisierung und der Verschlüsselung, eine Verschlüsselung dürfte aber jedenfalls dann als Pseudonymisierung anzusehen sein, wenn der Schlüssel getrennt und nicht für die Nutzer der Daten aufbewahrt wird und diese Trennung mit technisch-organisatorischen Maßnahmen gewährleistet wird.321 Unabhängig davon, ob die Verschlüsselung im konkreten Fall eine Pseudonymisierung erwirkt, gelten jedenfalls viele der Quasi-Privilegierungen (siehe oben Rn. 119) auch allgemein für Verschlüsselungen. Im Einzelfall wird nach erfolgter Verschlüsselung auch für einen Nicht-Schlüsselinhaber von einer Anonymisierung auszugehen sein (vgl. dazu bereits oben Rn. 54).322 Die Stärke der kryptografischen Verfahren richtet sich nach verschiedenen Faktoren, z.B. dem Einsatzgebiet, der Verschlüsselungsebene, dem Verschlüsselungsverfahren, dem Verschlüsselungsalgorithmus (bspw. AES oder RSA), der Schlüssellänge (bspw. 128 oder 256 Bit) und dem Einweg- oder Zweiweg-Charakter.323

155

Der gerade im Rahmen von Blockchains prävalente Einsatz von Hash-Funktionen (Streuwertfunktionen), die ebenfalls den kryptografischen Verfahren zugeordnet werden, kann je nach Ausgestaltung durch „Verhashung“ von identifizierenden Informationen auch zu einer wirksamen Pseudonymisierung führen. Mittels einer Hash-Funktion werden Eingabedaten auf Grundlage eines Algorithmus in einen Schlüsseltext (Hashwert) transformiert, der jedenfalls nicht mit verhältnismäßigem Aufwand reversibel ist und bei denselben Eingabedaten stets derselbe ist.324 Um eine Zusammenführung von unter Pseudonymen gespeicherten Einzelinformationen zu einem Profil zu verhindern, werden häufig vor der „Verhashung“ die Hashes gesalzen, also die identifizierenden Merkmale mit einem Zufallswert – dem „Salt“ – versehen.325

156

Bei all diesen Pseudonymisierungsverfahren ist zu beachten, dass es sich um anonyme (nicht nur pseudonyme) Daten handelt, wenn der jeweils verarbeitenden Stelle keine Mittel zur Verfügung stehen, um die Pseudonymisierung mit einem verhältnismäßigen Aufwand zu revidieren (siehe allgemein zur Voraussetzung der Anonymität oben Rn. 47ff.). Insofern sind verschlüsselte bzw. verhashte Daten in der Theorie rückrechenbar, etwa durch sog. Brute-Force-Attacken, bei denen alle möglichen Eingabewerte durchprobiert werden, bis das gesuchte Ergebnis erzielt wird und den unverschleierten Eingabewert preisgibt. Dieser Aufwand wird in der Regel jedoch unverhältnismäßig sein. Insofern werden den allermeisten Stellen die hierfür erforderlichen Ressourcen bereits nicht zur Verfügung stehen.