Die Begriffe nach BDSG [row][column size="1/3"]

Anonymisierung

BDSG Laut § 3 Abs. 6 BDSG ist Anonymisieren „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ Im Ergebnis wird ein personenbezogenes Datum so umgestaltet, dass kein Personenbezug mehr besteht und damit die Erhebung, Verarbeitung und Nutzung von Daten vermieden wird. DSGVO Der Begriff taucht in der DSGVO nur im Erwägungsgrund 26 Satz 6 DSGVO auf: "Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke." [/column][column size="1/3"]

Pseudonymisierung

BDSG Nach § 3 Abs. 6a BDSG ist Pseudonymisieren „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Die Pseudonymisierung stellt einen Kompromiss dar: Einerseits werden Daten relativ anonymisiert verarbeitet und so die Identifikation des Betroffenen ermöglicht. Andererseits werden die Daten zumindest im gewissen Rahmen geschützt. Während im ursprünglichen § 3a Satz 2 BDSG lediglich angeregt wurde, dass von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch gemacht werden soll, wird dieses Ziel nun seit 2009 sprachlich hervorgehoben und bekräftigt, dass von diesen Möglichkeiten Gebrauch zu machen ist, soweit nach dem Verwendungszweck möglich. Sofern der Zweck eine Anonymisierung etc. zulässt, ist diese also ohne Wenn und Aber durchzuführen. DSGVO Die Legaldefinition der „Pseudonymisierung“ bzw. von „pseudonyme Daten“ findet sich in Art. 4 Abs. 5 DS-GVO. Hiernach sind Daten dann als pseudonyme anzusehen, wenn sie a) „ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person“ zuordenbar und b) diese zusätzlichen Informationen gesondert aufbewahrt werden und c) technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. [/column][column size="1/3"]

Verschlüsselung

BDSG Eine Definition zum Begriff der Verschlüsselung enthält das BDSG nicht. Der BDSG-Kommentar von Simitis (§ 9, Rn. 166)interpretiert den Begriff wie folgt: „Technisch versteht man unter Verschlüsselung den Vorgang, bei dem ein klar lesbarer Text (Klartext) oder auch Informationen anderer Art wie Ton- oder Bildaufzeichnungen mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine „unleserliche“, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird. Als entscheidend wichtige Parameter der Verschlüsselung werden hierbei ein oder auch mehrere Schlüssel verwendet. Man unterscheidet deshalb zwischen symmetrischer und asymmetrischer Verschlüsselung. Bei der symmetrischen Verschlüsselung wird zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet; bei der asymmetrischen Verschlüsselung sind dies immer verschiedene Schlüssel, die aber zueinander passen müssen. Das Gesetz lässt allerdings offen, welche Art der Verschlüsselung Verwendung finden soll.“ DSGVO Die DSGVO liefert keine Begriffsdefinition für Verschlüsselung (mehr - wurde in der finalen Fassung gestrichen), erwähnt diese aber explizit als geeignete Maßnahme zur Erhöhung der Sicherheit der Datenverarbeitung (Art.32 – DSGVO – Sicherheit der Verarbeitung). [/column][/row]

Ein Beispiel

Nehmen wir folgende Tabelle als Ausgangssituation:
ID Vorname Nachname Krankheit Behandlung
0001 Susi Meyer Brustkrebs Operation
Diese Daten sind alle unverschlüsselt, personenbezogen und dazu noch hochsensibel (Gesundheitsdaten) und damit besonders schützenswert.

Wie sähe die Tabelle aus, wenn die Daten der Begriffsdefinition der „Anonymisierung“ nach BDSG entsprechen sollen?

ID Krankheit Behandlung
0001 Brustkrebs Operation
Die Angaben zur Personenidentifikation wären zu löschen – Vorname und Nachname komplett zu entfernen. Die Daten können immer noch statistische Zwecke erfüllen, jedoch sind sie nach BDSG anonymisiert und unterliegen in dieser Form nicht mehr dem Datenschutz.

Was wäre zu tun, um die ganz oben gezeigte Tabelle zu „pseudonymisieren“?

Tabelle 1
ID Krankheit Behandlung
0001 Brustkrebs Operation
Tabelle 2
ID Vorname Nachname
0001 Susi Meyer
Man speichert die anonymen Gesundheitsdaten in einer Tabelle und die personenbezogenen Daten Vorname, Nachname in einer zweiten Tabelle. Einziger Bezug zwischen diesen Tabellen ist das Datenfeld ID. Damit wird es z.B. möglich, bestimmten Personen Zugriff auf Tabelle 1 zu gewähren, ohne dass diese die personenbezogenen Daten aus Tabelle 2 sehen können. Dies kann erforderlich sein, weil z.B. die Betroffene selbst einen Anspruch auf die vollständigen Daten hat und diese aus beiden Tabellen für berechtigte Auskünfte oder Änderungen wieder zusammengeführt werden müssen. Die Pseudonymisierung erschwert also den Zugang zu den personenbezogenen Daten, es hängt jedoch sehr von den begleitenden Maßnahmen und Prozessen ab, wie schwer dieser tatsächlich im Einzelfall ist. Es müssen geeignete Maßnahmen und Kontrollprozesse zus Trennung der beiden Tabellen vorhanden sein.

Verschlüsselung – eine Methode der Zugriffsbeschränkung

Schlüssel
Klartext A B C D E F G H I K L M N O P R S T U V W
Verschlüsselung O Z 1 X 8 Y 4 D 5 A W 2 V 9 B 3 C & F M !
Verschlüsselte Tabelle
M93VO28 VO1DVO28 A3OVAD85& Z8DOVXWFV4
CFC5 28!83 Z3FC&A38ZC 9B83O&59V
Man erstellt einen Schlüssel, bei dem jedem Klartextzeichen ein anderes Zeichen zugeordnet wird. Dadurch werden die Einträge für den menschlichen Betrachter unlesbar verfremdet. Nur wer den Schlüssel besitzt und sich die Mühe macht die Zeichenfolgen wieder zu entschlüsseln, kommt an die geschützten Daten heran. Hinweis: Das gezeigte Beispiel stellt eine äußerst simple Form der Verschlüsselung dar, die von moderner Software binnen Sekunden geknackt werden würde (also ohne den eigentlich erforderlichen Schlüssel in der Lage wäre, die Zeichenketten wieder in Klartext umzustellen). Komplexe Kryptographieverfahren existieren, die nahezu unknackbar sind – diese machen jedoch das Arbeiten mit den Daten auch mit korrektem Schlüssel äußerst umständlich und damit auch wieder unsicher (man vermeidet grundsätzlich alles, was als Hindernis empfunden wird und werden äußerst kreativ diese zu umgehen oder schlicht und einfach nachlässig). Verschlüsselung ist eher ein Mittel der Zugriffsbeschänkung und verschlüsselte Daten an sich stellen nicht wirklich einen Zustand der Pseudonymisierung oder gar Anonymisierung her. Aus rechtlicher Sicht handelt es sich bei pseudonymisierten Daten für die verantwortliche Stelle weiter um personenbezogene Daten, für die das Datenschutzrecht Vorgaben trifft.]]>

English EN Deutsch DE