EDSA-Leitlinien zur Pseudonymisierung
Der Europäische Datenschutzausschuss (EDSA) hat am 17.01.2025 neue Leitlinien zur Pseudonymisierung veröffentlicht, die Unternehmen eine verbesserte Orientierung im Umgang mit personenbezogenen Daten bieten sollen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) betont die Vorteile und erhofft sich hierdurch mehr Rechtssicherheit. Zuvor war sie an der Erstellung der Leitlinien federführend beteiligt gewesen. Die EDSA-Leitlinien setzen sich einerseits mit rechtlichen Aspekten zur Pseudonymisierung auseinander, andererseits mit deren technischen Umsetzung.
Leitlinien des EDSA
Auf einer Plenarsitzung am 16.01.2025 hat der EDSA Leitlinien zur Pseudonymisierung angenommen. Diese gliedern sich in zwei Teile auf, die einerseits rechtliche und andererseits technische Aspekte umfassen. Im rechtlichen Teil geht es vor allem darum, wie die ordnungsgemäße Anwendung von Pseudonymisierung eine Datenverarbeitung rechtfertigen und die Wahrung von Datenschutzgrundsätzen (Art. 5 DSGVO) gewährleisten kann. Aus technischer Sicht „werden in den Leitlinien technische Maßnahmen und Garantien bei der Verwendung von Pseudonymisierung analysiert“. Zudem liefert ein Anhang konkrete Beispiele über den Einsatz und die Vorteile von Pseudonymisierung. Der EDSA weist in seiner Pressemitteilung auch darauf hin, dass bis zum 28.02.2025 Stakeholder im Rahmen einer öffentlichen Konsultation Feedback zu den Leitlinien abgeben können.
Die BlnBDI begrüßt die Leitlinien in einer Mitteilung und verspricht sich „davon mehr Rechtssicherheit für Unternehmen und andere Organisationen, die auf Pseudonymisierung setzen“. Sie weist auch darauf hin, dass sie für ihren diesjährigen Vorsitz bei der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) plant, einen Schwerpunkt auf Pseudonymisierung und Anonymisierung zu setzen.
Unterschied zwischen Pseudonymisierung und Anonymisierung
Die EDSA-Leitlinien zur Pseudonymisierung beschäftigen sich zunächst mit der Begriffsbestimmung. Die Pseudonymisierung, wie sie in der DSGVO definiert ist, beschreibt die Umgestaltung personenbezogener Daten, sodass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Damit unterscheidet sie sich grundlegend von der Anonymisierung, bei der personenbezogene Daten so verändert werden, dass eine Identifizierung der betroffenen Person oder Rückschlüsse auf diese auch mit zusätzlichen Informationen nicht mehr möglich ist. Ordnungsgemäß anonymisierte Daten stellen deshalb auch keine personenbezogenen Daten dar, weshalb die Schutzvorgaben der DSGVO nicht mehr einzuhalten sind.
Hingegen handelt es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten, wie der EDSA in seinen Leitlinien klarstellt (abrufbar hier). Bei der Pseudonymisierung handelt es sich jedoch um eine technische und organisatorische Maßnahme (TOM), die genutzt werden kann, um die Sicherheit einer Datenverarbeitung zu erhöhen und zu rechtfertigen, falls sie aufgrund der mit ihr verbundenen Gefahren anderenfalls nicht durchgeführt werden könnte. So bleibt die Identität weitreichend geschützt. Kommt es beispielsweise in einem Unternehmen zu einem Datenschutzvorfall, kann eine ordnungsgemäß durchgeführte Pseudonymisierung entlastend wirken.
Wie kann man personenbezogene Daten pseudonymisieren?
Für eine Pseudonymisierung bedarf es einer Umgestaltung der personenbezogenen Daten. Eine wirksame Umsetzung erfordert eine Kombination aus technischen Maßnahmen, wie Verschlüsselung und Tokenisierung, und organisatorischen Vorkehrungen. Konkret bedeutet dies, dass Namen und andere identifizierende Daten gelöscht und durch Pseudonyme ersetzt werden müssen. In diesem Rahmen erstellen Verantwortliche in der Regel eine Auflistung mit den Pseudonymen und den Originaldaten zu Zuordnungszwecken. Da hiermit eine Identifizierung möglich ist, müssen Unternehmen sicherstellen, geeignete Schutzmaßnahmen für diese Daten einzurichten.
Warum ist Pseudonymisierung wichtig?
In Zeiten der Digitalisierung und datengetriebenen Geschäftsmodelle wird die Verarbeitung personenbezogener Daten zunehmend komplexer. Parallel hierzu steigen die Risiken für Datenschutzverletzungen. Pseudonymisierung bietet Unternehmen einen Weg, die Datenverarbeitung sicherer zu gestalten. Zum einen reduziert sie das Risiko eines Missbrauchs durch unbefugte Dritte. Zudem können selbst risikobehaftete Verarbeitungen durch den Einsatz von Pseudonymen rechtlich zulässig werden. Der EDSA weist in diesem Zusammenhang darauf hin, dass eine ordnungsgemäße Pseudonymisierung die Nutzung berechtigter Interessen als Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO) erleichtern kann. Zudem könne eine Pseudonymisierung auch „dazu beitragen, die Vereinbarkeit mit dem ursprünglichen Zweck zu gewährleisten (Art. 6 Abs. 4 DSGVO)“.
Fazit
Die neuen EDSA-Leitlinien zur Pseudonymisierung sind ein wichtiger Schritt hin zu mehr Rechtssicherheit und besseren Standards im Datenschutz. Unternehmen sollten die Gelegenheit nutzen, ihre Prozesse auf Basis dieser Leitlinien zu überprüfen und zu optimieren. Neben dem Schutz der Daten ihrer Kunden können sie so auch eigene Vorteile wie rechtliche Absicherung und eine stärkere Wettbewerbsfähigkeit erzielen.