Pseudonymisierung

Die Wahl, welche Datenfelder pseudonymisiert werden sollen, ist teilweise subjektiv. Weniger selektive Felder wie Geburtsdatum oder Postleitzahl sind häufig ebenfalls enthalten, da sie normalerweise aus anderen Quellen verfügbar sind und daher die Identifizierung eines Datensatzes erleichtern. Die Pseudonymisierung dieser weniger identifizierenden Felder entfernt den größten Teil ihres analytischen Wertes und geht daher normalerweise mit der Einführung neuer abgeleiteter und weniger identifizierender Formen einher, wie Geburtsjahr oder eine größere Postleitzahlregion.

Datenfelder, die weniger identifizierend sind, wie z. B. das Datum der Teilnahme, werden in der Regel nicht pseudonymisiert. Es ist wichtig zu erkennen, dass dies daran liegt, dass zu viel statistischer Nutzen dabei verloren geht, nicht weil die Daten nicht identifiziert werden können. Zum Beispiel ist es angesichts der Vorkenntnisse einiger Anwesenheitstermine einfach, die Daten einer Person in einem pseudonymisierten Datensatz zu identifizieren, indem nur die Personen mit diesem Datumsmuster ausgewählt werden. Dies ist ein Beispiel für einen Inferenzangriff.

Die Schwäche pseudonymisierter Daten vor der DSGVO für Inferenzangriffe wird häufig übersehen. Ein bekanntes Beispiel ist der AOL Search Datenskandal. Das AOL-Beispiel der nicht autorisierten erneuten Identifizierung erforderte keinen Zugriff auf separat aufbewahrte „zusätzliche Informationen“, die unter der Kontrolle des Datenverantwortlichen standen, wie dies jetzt für die DSGVO-konforme Pseudonymisierung erforderlich ist. Siehe neue Definition von Pseudonymisierung unter DSGVO unten.

Der Schutz statistisch nützlicher pseudonymisierter Daten vor einer erneuten Identifizierung erfordert:

  1. eine solide Informationssicherheitsbasis
  2. Kontrolle des Risikos, dass Analysten, Forscher oder andere Datenarbeiter eine Datenschutzverletzung verursachen

Das Pseudonym ermöglicht die Rückverfolgung von Daten bis zu ihrem Ursprung, was die Pseudonymisierung von der Anonymisierung unterscheidet, bei der alle personenbezogenen Daten, die eine Rückverfolgung ermöglichen könnten, gelöscht wurden. Pseudonymisierung ist beispielsweise ein Problem bei patientenbezogenen Daten, die sicher zwischen klinischen Zentren weitergegeben werden müssen.

Die Anwendung der Pseudonymisierung auf E-Health zielt darauf ab, die Privatsphäre und die Vertraulichkeit der Daten des Patienten zu wahren. Es ermöglicht die primäre Verwendung von Krankenakten durch autorisierte Gesundheitsdienstleister und die Wahrung der Privatsphäre durch Forscher. In den USA bietet HIPAA Richtlinien, wie Gesundheitsdaten behandelt werden müssen, und die Anonymisierung oder Pseudonymisierung von Daten ist eine Möglichkeit, die HIPAA-Compliance zu vereinfachen. Die reine Pseudonymisierung zur Wahrung der Privatsphäre stößt jedoch häufig an ihre Grenzen, wenn es um genetische Daten geht (siehe auch genetische Privatsphäre). Aufgrund des identifizierenden Charakters genetischer Daten reicht die Depersonalisierung oft nicht aus, um die entsprechende Person zu verbergen. Mögliche Lösungen sind die Kombination von Pseudonymisierung mit Fragmentierung und Verschlüsselung.

Ein Beispiel für die Anwendung des Pseudonymisierungsverfahrens ist die Erstellung von Datensätzen für die De-Identifikationsforschung, indem identifizierende Wörter durch Wörter derselben Kategorie ersetzt werden (z. B. Ersetzen eines Namens durch einen zufälligen Namen aus dem Namenswörterbuch).

Neue Definition für Pseudonymisierung unter GDPREdit

Mit Wirkung zum 25.Mai 2018 definiert die EU-Datenschutz-Grundverordnung (DSGVO) die Pseudonymisierung erstmals auf EU-Ebene in Artikel 4 Absatz 5. Nach Art.4 Abs.5 DSGVO werden Daten pseudonymisiert, wenn sie ohne die Verwendung gesondert aufbewahrter „zusätzlicher Informationen“ nicht einer bestimmten betroffenen Person zugeordnet werden können.“ Pseudonymisierte Daten verkörpern den Stand der Technik im Datenschutz durch Design und Standard, da sie den Schutz sowohl direkter als auch indirekter Identifikatoren (nicht nur direkter) erfordern. DSGVO Datenschutz durch Design und durch Standardprinzipien, wie sie in der Pseudonymisierung verkörpert sind, erfordern den Schutz sowohl direkter als auch indirekter Identifikatoren, so dass personenbezogene Daten nicht über den „Mosaikeffekt“ ohne Zugriff auf „zusätzliche Informationen“, die vom Controller separat aufbewahrt werden, querverweisbar (oder wieder identifizierbar) sind. Da der Zugriff auf separat aufbewahrte „zusätzliche Informationen“ für die erneute Identifizierung erforderlich ist, kann die Zuordnung von Daten zu einer bestimmten betroffenen Person durch den Verantwortlichen auf die Unterstützung rechtmäßiger Zwecke beschränkt werden.

DSGVO Artikel 25 Absatz 1 identifiziert die Pseudonymisierung als „angemessene technische und organisatorische Maßnahme“ und Artikel 25 Absatz 2 verpflichtet die Verantwortlichen:

„…geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für jeden spezifischen Zweck der Verarbeitung erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Diese Maßnahmen stellen insbesondere sicher, dass personenbezogene Daten standardmäßig nicht ohne das Eingreifen des Einzelnen einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.“

Ein zentraler Kern des Datenschutzes durch Design und standardmäßig gemäß Artikel 25 der DSGVO ist die Durchsetzung von Technologiekontrollen, die eine angemessene Verwendung unterstützen, und die Fähigkeit zu demonstrieren, dass Sie Ihre Versprechen tatsächlich einhalten können. Technologien wie die Pseudonymisierung, die den Datenschutz durch Design und Standard erzwingen, zeigen den einzelnen Betroffenen, dass Unternehmen nicht nur neue Wege finden, um aus Daten einen Mehrwert zu ziehen, sondern auch innovative technische Ansätze zum Schutz des Datenschutzes verfolgen — ein besonders sensibles und aktuelles Thema angesichts der Epidemie von Datensicherheitsverletzungen rund um den Globus.

Dynamische und wachsende Bereiche der Wirtschaftstätigkeit — die „Trust Economy“, Life Sciences—Forschung, personalisierte Medizin / Bildung, das Internet der Dinge, die Personalisierung von Waren und Dienstleistungen – basieren darauf, dass Einzelpersonen darauf vertrauen, dass ihre Daten privat, geschützt und nur für angemessene Zwecke verwendet werden, die ihnen und der Gesellschaft maximalen Wert bringen. Dieses Vertrauen kann nicht mit veralteten Ansätzen zum Datenschutz aufrechterhalten werden. Pseudonymisierung, wie sie in der DSGVO neu definiert wurde, ist ein Mittel, um Datenschutz durch Design und Standard zu erreichen, Vertrauen zu gewinnen und aufrechtzuerhalten und Unternehmen, Forschern, Gesundheitsdienstleistern und allen, die sich auf die Integrität von Daten verlassen, effektiver zu dienen.

DSGVO-konforme Pseudonymisierung ermöglicht nicht nur einen datenschutzgerechteren Umgang mit Daten in der heutigen „Big Data“ -Welt des Datenaustauschs und -kombinierens, sondern ermöglicht es Datenverantwortlichen und -verarbeitern auch, explizite Vorteile im Rahmen der DSGVO für korrekt pseudonymisierte Daten zu nutzen.Die Vorteile ordnungsgemäß pseudonymisierter Daten werden in mehreren DSGVO-Artikeln hervorgehoben, darunter:

  • Artikel 6 Absatz 4 als Schutzmaßnahme zur Gewährleistung der Vereinbarkeit neuer Datenverarbeitungen.
  • Artikel 25 als technische und organisatorische Maßnahme zur Durchsetzung der Grundsätze der Datenminimierung und zur Einhaltung des Datenschutzes durch Design und durch Standardverpflichtungen.
  • Artikel 32, 33 und 34 als Sicherheitsmaßnahme, die dazu beiträgt, dass Datenschutzverletzungen „kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen“, wodurch die Haftung und die Meldepflichten für Datenschutzverletzungen verringert werden.
  • Artikel 89 Absatz 1 als Schutzmaßnahme im Zusammenhang mit der Verarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken; darüber hinaus bieten die Vorteile der Pseudonymisierung nach Artikel 89 Absatz 1 auch eine größere Flexibilität unter:
    1. Artikel 5 Absatz 1 Buchstabe b) hinsichtlich der Zweckbindung;
    2. Artikel 5 Absatz 1 Buchstabe e in Bezug auf die Speicherbegrenzung; und
    3. Artikel 9 Absatz 2 Buchstabe j in Bezug auf die Überwindung des allgemeinen Verbots der Verarbeitung Artikel 9 Absatz 1 besondere Kategorien personenbezogener Daten.
  • Darüber hinaus werden ordnungsgemäß pseudonymisierte Daten in der Stellungnahme der Artikel 29-Arbeitsgruppe 06/2014 als „… eine Rolle bei der Bewertung der potenziellen Auswirkungen der Verarbeitung auf die betroffene Person“ anerkannt…tipping the balance zugunsten des Controllers“ zur Unterstützung der Verarbeitung berechtigter Interessen als Rechtsgrundlage gemäß Artikel GDPR 6(1)(f). Zu den Vorteilen der Verarbeitung personenbezogener Daten unter Verwendung eines pseudonymisierten berechtigten Interesses als Rechtsgrundlage gemäß der DSGVO gehören unter anderem:
    1. Wenn ein für die Verarbeitung Verantwortlicher gemäß Artikel 17 Absatz 1 Buchstabe c nachweist, dass er „überwiegende legitime Gründe für die Verarbeitung hat“, unterstützt durch technische und organisatorische Maßnahmen zur Erfüllung des Interessensabwägungstests, hat er eine größere Flexibilität bei der Erfüllung von Anfragen zum Recht auf Vergessenwerden.
    2. Gemäß Artikel 18 Absatz 1 Buchstabe d hat ein für die Verarbeitung Verantwortlicher Flexibilität bei der Erfüllung von Ansprüchen auf Einschränkung der Verarbeitung personenbezogener Daten, wenn er nachweisen kann, dass er über technische und organisatorische Maßnahmen verfügt, damit die Rechte des für die Verarbeitung Verantwortlichen die der betroffenen Person ordnungsgemäß überwiegen, da die Rechte der betroffenen Personen geschützt sind.
    3. Gemäß Artikel 20 Absatz 1 unterliegen Datenverantwortliche, die eine Verarbeitung von berechtigtem Interesse verwenden, nicht dem Recht auf Portabilität, das nur für die Verarbeitung auf der Grundlage einer Einwilligung gilt.
    4. Gemäß Artikel 21 Absatz 1 kann ein Datenverantwortlicher, der eine Verarbeitung von berechtigtem Interesse durchführt, nachweisen, dass er über angemessene technische und organisatorische Maßnahmen verfügt, damit die Rechte des Datenverantwortlichen die der betroffenen Person ordnungsgemäß überwiegen, da die Rechte der betroffenen Personen geschützt sind; Die betroffenen Personen haben jedoch gemäß Artikel 21 Absatz 3 immer das Recht, aufgrund einer solchen Verarbeitung keine Direktmarketingmaßnahmen zu erhalten.



+