Der Europäische Datenschutzausschuss (EDSA) hat am 16. Januar 2025 einen Vorschlag für Leitlinien zur Pseudonymisierung personenbezogener Daten veröffentlicht (hier in englischer Sprache abrufbar), an dessen Erarbeitung auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) federführend beteiligt war (siehe Pressemitteilung der BlnBDI, hier abrufbar). Derzeit läuft die Konsultationsphase. Stellungnahmen zum Leitlinien-Entwurf können noch bis zum 28. Februar 2025 über das vom EDSA bereitgestellte Formular eingereicht werden (hier aufrufbar).
Definition von „Pseudonymisierung“ und Abgrenzung zur Anonymisierung
Neben umfassenden Anleitungen zu einzelnen Pseudonymisierungstechniken bieten die vorgeschlagenen Leitlinien einen Überblick über die Vorteile der Pseudonymisierung in der unternehmerischen Praxis. Die Datenschutz-Grundverordnung (DSGVO) definiert Pseudonymisierung als die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer konkreten Person zugeordnet werden können. Insofern unterscheidet sich die Pseudonymisierung von der Anonymisierung. In letzterem Fall ist eine Zuordnung der Daten zu einer konkreten Person auch unter Hinzuziehung zusätzlicher Informationen nicht mehr möglich. Die Verarbeitung anonymisierter Daten unterfällt daher nicht dem Anwendungsbereich der DSGVO, während pseudonyme Daten nach wie vor als „personenbezogene Daten“ gelten und daher der DSGVO unterliegen.
Vorteile der Pseudonymisierung
Die Leitlinien betonen, dass die DSGVO keine generelle Pflicht zur Pseudonymisierung vorsieht. Dennoch biete der Einsatz von Pseudonymisierungstechniken Unternehmen die Möglichkeit, ihre DSGVO-Compliance zu verbessern und Risiken von Datenschutzverletzungen zu verringern. Darüber hinaus könne eine Pseudonymisierung die Nutzung berechtigter Interessen als Rechtsgrundlage erleichtern (Art. 6 Abs. 1 lit. f DSGVO)und dazu beitragen, die Vereinbarkeit der Datennutzung mit dem ursprünglichen Zweck, zu dem die Daten erhoben wurden, zu gewährleisten (Art. 6 Abs. 4 DSGVO). Somit können Unternehmen mithilfe der Pseudonymisierung datenschutzfreundliche Anwendungen zur Nutzung und Analyse von Daten entwickeln, die die Rechte der betroffenen Personen angemessen berücksichtigen. Dies sei insbesondere in datenintensiven Branchen wie der Finanzindustrie, dem Personal- und Gesundheitswesen von Relevanz.
Verfahren zur Pseudonymisierung
Ein zentraler Aspekt zur Gewährleistung einer wirksamen Pseudonymisierung ist laut der Leitlinien das korrekte Verfahren zur Pseudonymisierung, das in drei aufeinanderfolgenden Schritten erfolgt:
- Zunächst müssen personenbezogene Daten durch die Entfernung oder Ersetzung von Identifikatoren transformiert werden. Hierbei kommen verschiedene Verfahren zum Einsatz, darunter kryptografische Algorithmen wie Message Authentication Codes oder Verschlüsselungsmechanismen sowie die Erstellung von Zuordnungstabellen, in denen Pseudonyme den ursprünglichen Klardaten zugeordnet werden.
- Anschließend ist sicherzustellen, dass alle zusätzlichen Informationen zur späteren Re-Identifikation – sogenannte Pseudonymisierungs-Geheimnisse wie kryptografische Schlüssel oder Zuordnungstabellen – getrennt und geschützt aufbewahrt werden. Die Leitlinien betonen, dass auch Informationen außerhalb der unmittelbaren Kontrolle des Verantwortlichen, auf die dieser mit angemessenen Mitteln zugreifen kann, bei der Beurteilung der Wirksamkeit der Pseudonymisierung zu berücksichtigen sind.
- Abschließend sind geeignete technische und organisatorische Maßnahmen (TOMs) zu implementieren, um eine unbefugte Re-Identifikation zu verhindern. Dazu gehören unter anderem der Einsatz von Zugangsbeschränkungen, die Speicherung von Pseudonymisierungs-Geheimnissen an unterschiedlichen Orten und die Zufallsgenerierung von Pseudonymen.
Die Leitlinien betonen, dass die wirksame Umsetzung dieser Maßnahmen wesentlich zur Erhöhung der Datensicherheit beitrage und das Risiko von Datenschutzverletzungen minimiere. Hierzu enthalten die Leitlinien praktische Anwendungsfälle, die verschiedene, in der Praxis oft auftretende Szenarien veranschaulichen.
Ausblick
Obwohl die Leitlinien des EDSA keinen rechtlich bindenden Charakter haben, zeigen praktische Erfahrungen, dass sie von Gerichten und Aufsichtsbehörden häufig als maßgebliche Orientierungshilfe herangezogen werden. In der Praxis dienen sie als wertvolle Interpretationshilfe zur Auslegung der DSGVO und bieten Unternehmen eine verlässliche Grundlage für die Entwicklung datenschutzkonformer Prozesse. Unternehmen sollten daher die in den Leitlinien formulierten Empfehlungen nicht nur als unverbindliche Hinweise betrachten, sondern als wichtige Orientierung für die Gestaltung ihrer Datenschutzmaßnahmen. Dies trägt nicht nur zur Minimierung rechtlicher Risiken bei, sondern stärkt auch die Argumentationsbasis im Falle behördlicher Prüfungen oder gerichtlicher Auseinandersetzungen.
Die Leitlinien bieten Unternehmen insoweit konkrete Hilfestellungen, eine Balance zwischen dem Schutz und der Nutzung von Daten für Geschäftszwecke zu finden. Unternehmen können die Pseudonymisierung insbesondere für die Schaffung von Wettbewerbsvorteilen einsetzen, beispielsweise indem durch eine datenschutzfreundliche Gestaltung der Unternehmenspraxis Kundendaten bestmöglich geschützt und in der Folge ein gesteigertes Vertrauen der Kunden in den Umgang mit Daten geschaffen wird.