Sie befinden sich hier:

Was ist der Unterschied zwischen Anonymisierung und Pseudonymisierung?

Aus den Reihen der Aufsichtsbehörden werden immer wieder Forderungen erhoben, Daten zu pseudonymisieren oder besser noch zu anonymisieren. Was ist darunter zu verstehen und worin liegen die Unterschiede?

Gemäß Erwägungsgrund 26 Satz 2 zur Datenschutz-Grundverordnung werden einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, als Informationen über eine identifizierbare natürliche Person und damit als personenbezogene Daten betrachtet. Dagegen gelten die Grundsätze des Datenschutzes – und damit die DSGVO – nicht für anonyme Informationen, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Erwägungsgrund 26 Satz 5 DSGVO).

Unterschied Anonymisierung/Pseudonymisierung

Anonymisierung

Anonymisierung ist eine Veränderung personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. In der Datenschutz-Grundverordnung wird auf den Begriff Anonymisierung – wie bereits erwähnt – lediglich im Erwägungsgrund 26 eingegangen. Es wird auch nicht definiert, wann eine Anonymisierung als hinreichend angesehen werden kann. Einige Datenschutzgesetze der Länder definieren die Anonymisierung – mit Abweichungen im Detail – als das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Die Qualität der Anonymisierungsprozedur hängt von verschiedenen Einflussfaktoren ab. Entscheidend hierfür sind

  • der Zeitpunkt der Anonymisierung,
  • die Rücknahmefestigkeit der Anonymisierungsprozedur,
  • die Mächtigkeit der Menge, in der sich der Betroffene verbirgt, und
  • die Verkettungsmöglichkeit von einzelnen Transaktionen desselben Betroffenen

Ein Höchstmaß an Anonymität wird erreicht, wenn personenbezogene Daten gar nicht erst entstehen.

Eine hinreichende Anonymisierung führt dazu, dass die Grundsätze des Datenschutzrechts – wie z.B. der Grundsatz der Zweckbindung – und die Datenschutz-Grundverordnung selbst nicht mehr anwendbar sind.

Die Anonymisierung kann auch als ein Mittel angesehen werden, im Einzelfall eine Verarbeitung von Daten gar erst zu ermöglichen, wenn die Verarbeitung bei bestehendem Personenbezug datenschutzrechtlich unzulässig wäre.

Pseudonymisierung

Pseudonymisierung ist das Verändern personenbezogener Daten durch eine Zuordnungsvorschrift derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können.

Dazu werden beispielsweise die Identifikationsdaten (z. B. der Name) durch eine Abbildungsvorschrift in ein willkürlich gewähltes Kennzeichen (das Pseudonym) überführt. Diese Pseudonyme werden dabei über ein geeignetes Verfahren aus dem ursprünglichen Wert generiert oder komplett neu vergeben. Ein Pseudonym kann das gleiche Format (z. B. Erzeugung eines künstlichen Namens) wie der ursprüngliche Datentyp besitzen oder in einem anderen Format vorliegen (z. B. zufällige Zeichenabfolgen). Wichtig ist lediglich, dass die Zuordnung eindeutig ist, dass also für zwei identische Eingabewerte immer das gleiche Pseudonym erzeugt wird.

Pseudonymisierung wird vorwiegend eingesetzt um sensitive Daten bei der Verarbeitung vor direkten Blicken zu schützen: Pseudonymisierung macht es schwerer, Rückschlüsse auf einen ursprünglichen Datenwert zu ziehen, bewahrt aber die Eindeutigkeit dieses Wertes und erhält so (teilweise) die Nutzbarkeit der Daten. Pseudonymisierung schützt im Gegensatz zu Anonymisierung jedoch nicht vor statistischen Angriffen zur Re-Identifikation von einzelnen Datenwerten.

Ziel einer Pseudonymisierung ist es, nur bei Bedarf und unter Einhaltung vorher definierter Rahmenbedingungen den Personenbezug wieder herstellen zu können. Die Reidentifizierung kann mitunter auch ausschließlich dem Betroffenen vorbehalten bleiben. Mit Referenz- und Einweg-Pseudonymen (siehe folgenden Abschnitt) versehene Daten sind jedoch weiterhin personenbezogene Daten, da sie einer bestimmten oder bestimmbaren Person zugeordnet werden können.

Das Mittel der Pseudonymisierung sollte insbesondere dort eingesetzt werden, wo Anonymisierung nicht möglich ist.

Die Qualität der Pseudonymisierungsprozedur hängt von den gleichen Einflussfaktoren ab, wie die Stärke der Anonymisierungsprozedur, nämlich vom Zeitpunkt der Pseudonymisierung, von der Rücknahmefestigkeit der Pseudonymisierungsprozedur, von der Mächtigkeit der Menge, in der sich der Betroffene verbirgt, und von der Verkettungsmöglichkeit von einzelnen Transaktionen/Datensätzen desselben Betroffenen. Insbesondere können Transaktionen/Datensätze, die unter demselben Pseudonym getätigt/gespeichert wurden, miteinander verkettet werden.

Unter gleichen Bedingungen ist die Anonymisierung datenschutzfreundlicher als die Pseudonymisierung. Das Pseudonym kann dazu benutzt werden, den Personenbezug wiederherzustellen. Ansonsten kann ohne Berücksichtigung der genannten Faktoren nicht pauschal beurteilt werden, ob die Anonymisierung oder die Pseudonymisierung datensparsamer ist.

Je nach Verknüpfbarkeit und dem Geheimnisträger des Pseudonyms kann der Personenbezug

  • nur vom Betroffenen (selbstgenerierte Pseudonyme),
  • nur über eine Referenzliste (Referenz-Pseudonyme) oder
  • nur unter Verwendung einer sog. Einweg-Funktion mit geheimen Parametern (Einweg-Pseudonyme)

wiederhergestellt werden

Pseudonyme ermöglichen es, den Personenbezug herzustellen, so dass die Identität der Person nur in den vorab bestimmten Einzelfällen erkennbar wird.

Pseudonyme sollen zufällig und nicht vorhersagbar gewählt werden. Die Menge der möglichen Pseudonyme soll so mächtig sein, dass bei zufälliger Auswahl nicht zweimal das gleiche Pseudonym generiert wird. Ist eine hohe Sicherheit erforderlich, muss die Menge der Pseudonymkandidaten mindestens so mächtig sein wie der Wertebereich sicherer kryptographischer Hashfunktionen.

Pseudonyme sollten insbesondere nicht anwendungsübergreifend, sondern nur für jeweils ein Verfahren eingesetzt werden. Jede anwendungsübergreifende Benutzung eines einzigen Pseudonyms würde die Gefahr erhöhen, dass aus sämtlichen mit dem Pseudonym verbundenen Daten ein detailliertes Personenprofil erstellt werden kann, das wiederum den Rückschluss auf eine bestimmte Person erleichtert. Aber auch innerhalb einer Anwendung ist die Verwendung nur eines einzigen Pseudonyms nicht unproblematisch.

nach oben