der sich der Betroffene verbirgt, die Verkettungsmöglichkeit von einzelnen Transaktionen oder Datensätzen desselben Betroffenen und die Zufälligkeit und Vorhersagbarkeit sowie die Menge der möglichen Pseudonyme.[219]
3. Abgrenzung zur Anonymisierung
93
Die Pseudonymisierung ist von der Anonymisierung abzugrenzen. Im Grundsatz sind anonymisierte Daten vom Anwendungsbereich der DS-GVO nicht erfasst.[220] Während die DSRL sich lediglich in ErwG 26 zur Frage der Anonymisierung und Pseudonymisierung äußerte, schafft die DS-GVO in Art. 4 Nr. 5 durch ihre Definition und ErwG 26 klarere Verhältnisse. Eine eigene Definition der Anonymisierung ist indes auch in der DS-GVO nicht enthalten. Sie ergibt sich vielmehr aus einem Umkehrschluss aus der Definition der „personenbezogenen Daten“ aus Art. 4 Nr. 1[221] sowie aus ErwG 26: Danach sind anonyme Informationen „personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.
94
Der Unterschied zwischen pseudonymisierten Daten und anonymisierten Daten liegt demzufolge darin, dass pseudonymisierte Daten der betroffenen Person unter Hinzuziehung der gesondert aufbewahrten oder ggf. öffentlich zugänglicher Informationen wieder entschlüsselt und damit die betroffene Person identifiziert werden kann, während dies bei anonymisierten Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.[222] Hierbei ist die Frage, wann ein unverhältnismäßiger Aufwand anzunehmen ist, eng mit der Abgrenzung zwischen Anonymisierung und Pseudonymisierung (insbesondere mit der Frage einer Identifizierbarkeit[223]) verknüpft. Insofern ist die durch ErwG 26 vorgegebene und bereits im Rahmen von Art. 4 Nr. 1 angesprochene Verhältnismäßigkeitsprüfung[224] auch im Rahmen von Art. 4 Nr. 5 maßgeblich. Im BDSG a.F. war der Maßstab hierfür noch in § 3 Abs. 6 BDSG a.F. ausgeführt und besagte, dass eine Anonymisierung jedenfalls dann erreicht war, wenn die Zuordnung der Angaben zu der betroffenen Person nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitsaufwand zu erreichen war. ErwG 26 der DS-GVO bezieht sich demgegenüber auf „alle Mittel (…) die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person (…) zu identifizieren. [Hierbei] sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologischen Entwicklungen zu berücksichtigen sind.“ Entscheidend sind also die Kosten der Identifizierung, der erforderliche Zeitaufwand, die verfügbaren Technologien sowie technologischen Entwicklungen.[225] Insofern ist hinsichtlich der Frage eines unverhältnismäßigen Aufwands im Rahmen von Art. 4 Nr. 5 wie schon bei Art. 4 Nr. 1 eine Verhältnismäßigkeitsprüfung anhand der genannten Gesichtspunkte im Einzelfall erforderlich.
95
Findet bspw. eine Trennung von Zuordnungsregeln und Daten nur innerhalb einer Unternehmensgruppe oder durch TOM bei dem Verantwortlichen selbst statt, ist davon auszugehen, dass es sich bei dem Datenbestand im Rahmen der internen Verarbeitung um pseudonymisierte, nicht aber um anonymisierte Daten handelt.[226] In einem solchen Fall ist das Missbrauchsrisiko durch die vorgenommene Maßnahme durchaus minimiert, jedoch nach allgemeiner Lebenserfahrung nicht vollkommen auszuschließen. Nach Ansicht der Datenethikkommission liegt darüber hinaus eine Anonymisierung jedenfalls dann vor, wenn der Personenbezug von Daten unwiederbringlich entfernt wird.[227] Dies sei insbesondere durch eine Randomisierung oder durch eine Generalisierung von Daten möglich. Während eine Randomisierung eine Veränderung von Daten dergestalt ist, dass eine Zuordnung nicht mehr möglich ist (etwa durch eine Verfälschung von Daten), beinhaltet die Generalisierung die Vergröberung von Daten, etwa durch Aggregation.[228] Insofern liefert die Datenethikkommission Beispiele für zwei in Betracht kommende Anonymisierungstechniken, bei denen auch die materiell-rechtlichen Voraussetzungen der DS-GVO im Hinblick auf eine Nicht-Identifizierbarkeit erfüllt sind. Diese Beispiele bieten wichtige Hilfestellungen für Rechtsanwender.
4. Verschlüsselte Daten
96
Die Verschlüsselung wird in ErwG 83 als eine Möglichkeit genannt, um das Risiko eines Datenmissbrauchs zu verhindern. Um verschlüsselte Daten handelt es sich dann, wenn personenbezogene Daten so abgelegt werden, dass sie nur mit Hilfe eines Schlüssels, in der Regel ein Passwort, wieder lesbar sind. Verschlüsselte Daten sind pseudonymisierte Daten, da sie jederzeit mit Hilfe des Schlüssels wieder lesbar gemacht werden können. Damit sind auch Daten, die, obwohl verschlüsselt, in der Cloud abgelegt sind, personenbezogene Daten.[229] Die Entschlüsselung der Daten kann durch den rechtmäßigen Schlüsselinhaber, als auch von einem unberechtigten Dritten erfolgen, der den Schlüssel unrechtmäßig verwendet. Insoweit hat die Verschlüsselung dem jeweiligen Stand der Technik zu entsprechen, um zumindest den bestmöglichen Schutz zu gewährleisten.[230]
5. Verfahren und technisch-organisatorische Anforderungen der Pseudonymisierung
97
Eine Pseudonymisierung von Daten erfolgt in der Regel dadurch, dass in einem Datenbestand das Identifizierungsmerkmal einer betroffenen Person (etwa der Name) durch ein Pseudonym ersetzt wird, das keinen Rückschluss auf den Betroffenen zulässt. Pseudonyme können eine Kennzahl oder auch eine Fantasiebezeichnung sein. Von einer Pseudonymisierung ist aber etwa auch dann auszugehen, wenn eine Datensammlung durch die Anwendung eines Algorithmus nur für denjenigen einen Personenbezug erkennbar macht, der über den dazu erforderlichen Algorithmus verfügt.[231]
98
Zur Umsetzung einer Pseudonymisierung können verschiedene Verfahren zum Einsatz kommen. So können bspw. Zuordnungstabellen bzw. Pseudonymisierungslisten verwendet werden, in der jedem Klartextdatum ein Pseudonym zugeordnet wird.[232] Alternativ können auch kryptographische (Berechnungs-)Verfahren eingesetzt werden, die jeweils ein Klartextdatum in ein Pseudonym umwandeln.[233] Die Sicherheit des Pseudonymisierungsverfahrens kann ferner dadurch erhöht werden, dass Mischverfahren zum Einsatz kommen, bei denen die Bildung von Pseudonymen durch mehrere unabhängige Stellen durchgeführt wird.[234]
99
Hinsichtlich der Anforderungen an Pseudonyme kann es bei der Verarbeitung erforderlich sein, dass die erzeugten pseudonymisierten Daten bestimmte Eigenschaften der zugrundliegenden Klartextdaten enthalten. Diese werden als Verfügbarkeitsanforderungen an eine Pseudonymisierung bezeichnet. Mögliche Verfügbarkeitsoptionen sind etwa die Aufdeckbarkeit des dem Pseudonym zugrundeliegenden Klartextes unter bestimmten Voraussetzungen sowie eine Verkettbarkeit hinsichtlich einer bestimmten Relation.[235] So kann z.B. für zwei Pseudonyme bestimmt werden, ob die zugrundeliegenden Klartexte in einem spezifischen Zusammenhang stehen. Darüber hinaus kommen eine Rollenbindung oder eine Zweckbindung als Verfügbarkeitsoption in Betracht.[236]
100
Die Pseudonymisierung kann auf rücknehmbare Weise anhand von Referenzlisten für Identitäten
