Grenzen der Pseudonymisierung

Sogar statistische Auswertungen und wissenschaftliche Studien sind als personenbezogene Daten zu behandeln, wenn der Bezug zu natürlichen Personen herstellbar ist. [...]

Pseudonymisierung alleine genügt nicht (c) CW
Pseudonymisierung alleine genügt nicht (c) CW

Pseudonymisierung ist eine technische Maßnahme, um die Sensibilität für Personen-bezogene Daten zu entschärfen. Insbesondere bei statistischen Auswertungen und wissenschaftlichen Studien steht zB die identifizierbare Person nicht im Vordergrund. Solange aber prinzipiell die Möglichkeit besteht, dass der Bezug zu natürlichen Personen herstellbar ist, sind laut DSGVO auch pseudonymisierte Daten als personenbezogene Daten zu behandeln – selbst wenn der Bezug nur über Dritte erfolgen kann.

"Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt, um die Feststellung der Identität des Betroffenen auszuschließen oder wesentlich zu erschweren." (siehe § 3 Abs. 6a BDSG bzw. entsprechendes Landesrecht).

Im Gegensatz zur Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, erhalten.

Die Pseudonymisierung ermöglicht also – unter Zuhilfenahme eines Schlüssels – die Zuordnung von Daten zu einer Person, was ohne diesen Schlüssel nicht oder nur schwer möglich ist, da Daten und Identifikationsmerkmale getrennt sind. Entscheidend ist also, dass eine Zusammenführung von P...

Um diese Inhalte abzurufen, registrieren Sie sich bitte für den kostenlosen Business Account.


Mehr Artikel

News

Heikler Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit

Wenn Mitarbeiter die Wahl zwischen Komplexität und Komfort haben, entscheiden sie sich in der Regel für Letzteres. Werden Security-Policies und -Prozesse umgangen, haben Cyber-Kriminelle allerdings leichtes Spiel. Anstatt die IT-Nutzung durch komplizierte Maßnahmen „einzuschränken“, sollten Unternehmen die Angreifer vielmehr mit Hilfe von Applikations-Isolation ins Leere laufen lassen. […]