Was ist Pseudonymisierung?

26.10.2020
Von 
Stefan Müller kommentiert Themen und Trends zu Datenintegration, Datenmanagement und Analytics. Er leitet den Bereich Big Data Analytics bei it-novum und betreut Datenprojekte bei Bundesbehörden und Unternehmen. Daneben ist er ein gefragter Autor und Referent auf Fachveranstaltungen und Workshops.
Lesen Sie hier, warum die Pseudonymisierung als zentraler Begriff der EU-DSGVO viel wichtiger ist als die Anonymisierung.
Die DSGVO erlaubt es sehr wohl, personenbezogene Daten zu sammeln und auszuwerten - jedoch nur in pseudonymisierter Form
Die DSGVO erlaubt es sehr wohl, personenbezogene Daten zu sammeln und auszuwerten - jedoch nur in pseudonymisierter Form
Foto: metamorworks - shutterstock.com

Auch wenn es sich bei der Anonymisierung um den vermutlich bekannteren Begriff handelt, ist die Pseudonymisierung im Datenschutzkontext fast noch wichtiger. Das gilt ganz sicher für Unternehmen: Nach der EU-DSGVO dürfen nämlich personenbezogene Daten sehr wohl weiter gesammelt und ausgewertet werden - aber eben nur, wenn sie vorher sauber pseudonymisiert wurden. Da viele Unternehmen zunehmend Künstliche Intelligenz und Machine Learning nutzen, ist das richtige Verständnis des Konzepts von grundlegender Bedeutung.

Pseudonymisierung - Definiton

Der wohl wichtigste Aspekt bei der Pseudonymisierung ist, dass die Verbindungen zwischen personenbezogenen Daten und der betroffenen Person bestehen bleiben. Gemäß EU-DSGVO-Artikel 4, Absatz 5 werden die Daten aber so verarbeitet, dass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Die Informationen liegen in den Händen von berechtigten Personenkreisen und der Zugriff darauf darf ausschließlich mit Hilfe gesicherter Schlüssel erfolgen. Pseudonymisierung stellt damit das Gegenstück zur Anonymisierung dar, wo alle Verbindungen zwischen den Daten und der betroffenen Person unwiderruflich getrennt werden.

Ein Beispiel aus der gegenwärtigen Corona-Pandemie macht diesen Unterschied verständlicher: Mobilfunkdaten dürfen nur datenschutzkonform erhoben und ausgewertet werden. Wenn jedoch ein Mobilfunknutzer an COVID-19 erkrankt, sollten alle Personen, die zu ihm Kontakt hatten, ermittelt werden können. Die Pseudonymisierung erlaubt es nun, diese Personen zu kontaktieren, zu informieren und wenn nötig unter Quarantäne zu stellen. Die Anonymisierung würde es dagegen unmöglich machen, diese Menschen zu identifizieren.

Was viele ebenfalls nicht wissen: Die EU-Datenschutzgrundverordnung bezeichnet die Pseudonymisierung nicht nur als das probate Mittel zu Erreichung des gewünschten Datenschutz-Niveaus. Mehr als zehn Mal im gesamten Regelwerk wird sie auch als exemplarischer Schutz genannt, um "den Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen bei der Verarbeitung zu harmonisieren und den freien Fluss personenbezogener Daten zu gewährleisten". Gleichzeitig dürfen Unternehmen dabei durch diesen freien Datenfluss legitime Geschäftsziele erreichen.

Pseudonymisierung - Grundprinzipien

Das Prinzip der Pseudonymisierung in der EU-DSGVO ist allerdings unvollständig ohne die Begriffe "Datenminimierung" und "Funktionale Trennung". Die in Artikel 5, Absatz 1(a) erwähnte Datenminimierung kennt das Datenschutzrecht der Europäischen Union schon seit vielen Jahren. Auch andere Datenschutzgesetze, z.B. das kalifornische oder das brasilianische, kennen den Begriff unter "De-Identification". Es geht dabei darum, die kleinste Datenmenge offenzulegen, die für die kleinste Anzahl von Personen, welche diese Daten benötigen, erforderlich ist. Sie umfasst daneben die Möglichkeit, verschiedene Daten an verschiedene Personen weiterzugeben, und zwar in Übereinstimmung mit dem tatsächlichen Bedarf und den tatsächlichen Anforderungen, wie diese Daten von ihnen verwendet werden sollen.

Der Begriff der "Funktionalen Trennung" wiederum besagt, dass Identität und Informationswert voneinander getrennt werden müssen. Das geschieht durch technische und organisatorische Sicherheitsmaßnahmen. Damit können Zusammenhänge unabhängig von der Anwendung der gewonnenen Erkenntnisse auf die betroffenen Personen erkannt werden.

Im Zusammenhang mit der in der EU-DSGVO genannten Pseudonymisierung trägt die Funktionale Trennung dem Umstand Rechnung, dass der Informationswert von Daten von der Identität separiert wird und dass zusätzliche gesicherte Informationen erforderlich sind, um beides wieder miteinander zu verknüpfen - wohlgemerkt nur unter autorisierten Bedingungen.

Pseudonymisierung vs. Tokenisierung

Die Definition von Pseudonymisierung in der EU-DSGVO bedeutet aber auch, dass die statische Tokenisierung diese Anforderungen nicht erfüllt. Bei der statischen Tokenisierung wird nämlich ein gemeinsames Token verwendet, um verschiedene Vorkommen desselben Wertes zu ersetzen, beispielsweise werden alle Vorkommen von "Reinhard Maier" durch "ABCD" ersetzt. Der Grund dafür ist, dass die unbefugte Re-Identifizierung bei dieser Methode relativ trivial ist.

Folglich genügt die statische Tokenisierung nicht einem weiteren zentralen Punkt der EU-DSGVO, der Prüfung der "Ausgewogenheit der Interessen". Um den rechtmäßigen Zweck der Datenverarbeitung mittels Analyse- und KI-Verfahren zu garantieren, zählt sie auch nicht zu den in Artikel 6 Absatz 4 aufgeführten technischen Garantien.

Auch die Artikel-29-Datenschutzgruppe, welche die EU-DSGVO maßgeblich erstellt hat, hat hervorgehoben, dass statische, dauerhafte oder wiederkehrende Token nicht geeignet seien. Stattdessen sollten für die sichere Schlüsselcodierung personenbezogener Daten, die außerhalb eines Unternehmens übertragen werden, dynamische Technologien wie Salts oder zufällig zugewiesene Zahlen zum Einsatz kommen. Diese würden Außenstehenden die erneute Identifizierung der betroffenen Person verbieten.

Pseudonymisierung in der Praxis

Die Pseudonymisierung gemäß EU-DSGVO ist somit die einzige Möglichkeit, um rechtskonforme Analyse- und KI-gestützte Datenverarbeitungen umzusetzen. Sie setzt nämlich den geforderten Schutz mit Hilfe der Funktionalen Trennung als Ergänzung zu anderen praktischen und vertraglichen Schutzmaßnahmen durch, sodass es ausreichend erschwert, beziehungsweise unmöglich ist, personenbezogene Daten aus der EU unbefugt zu nutzen.

Für die Unternehmenspraxis bedeutet das konkret, dass Big-Data- und andere Analysen personenbezogener Daten nur dann DSGVO-konform sind, wenn sie die beschriebenen Anforderungen an die Pseudonymisierung erfüllen. Anonymisierung allein genügt nicht. (mb)