Mythos 2: Pseudonymisierte Daten

In der Blog-Serie "Die 7 größten Irrtümer über die DSGVO" klären wir die 7 häufigsten Mythen und Märchen. Im letzten Blogbeitrag ging es darum, dass die Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung personenbezogener Daten gilt. Wenn wir jedoch von pseudonymisierten Daten sprechen, denken viele Leute, dass die DSGVO nicht anwendbar ist. Das ist ein Mythos.

Eric Arthur Blair?

Hast du jemals von Eric Arthur Blair gehört? Besser bekannt ist er unter seinem Pseudonym: George Orwell, Autor des berühmten Buches 1984. Ein Pseudonym ist ein falscher Name oder Alias, der deutlich vom richtigen Namen abweicht und der verwendet werden kann, um deine Identität zu schützen, wenn du in der Öffentlichkeit stehst – so wie es einige Autoren tun.

Pseudonyme

Wie gesagt, ein Pseudonym kann ein Alias sein: ein anderer Name als der in deinem Pass. Ein solches "Pseudonym" muss kein echter Name sein, sondern kann auch eine andere Form haben. Dabei kann es sich um alle Arten von Identifikatoren handeln, wie z.B. Matrikelnummer, IP-Adresse, Mitgliedsnummer des Sportvereins, Benutzername eines Online-Spielers oder Bonuskartennummer. Jede dieser Daten dient als Pseudonym der Person, die hinter dem Alias steht. Ein Pseudonym ist daher eine Information über eine identifizierbare natürliche Person. Pseudonymisierte Daten gelten daher als personenbezogene Daten; mit der Schlussfolgerung, dass die DSGVO für die Verarbeitung dieser Daten anwendbar ist.

Pseudonymisierung

Nimm zum Beispiel die Passagierliste einer Fluggesellschaft. Sie enthält Namen, Adressen und Passnummern der Passagiere und deren Reiseverlauf. Die Datenbank enthält daher auch eindeutige Daten: Ein Passagier kann direkt anhand seines Namens identifiziert werden. Die Datei enthält wertvolle Informationen, die Unternehmensanalysten für kommerzielle Zwecke nutzen möchten (Was sind beliebte Ziele, wann fliegen Passagiere am liebsten?, usw.). Andererseits sagt die Information über die Passagiere viel über die Fluggäste aus, und es ist nicht wünschenswert, dass viele Mitarbeiter der Fluggesellschaft wissen, welcher Passagier wo und wann fliegt. Die Pseudonymisierung bietet hierfür eine Lösung.
Bei einer Pseudonymisierung werden die Passagierdaten (Name, Adresse, Passnummer) in einer Datei und der Reiseverlauf in einer anderen Datei gespeichert. Zusätzlich erhält jeder Passagier eine Fluggastnummer (z.B. P8705), die dem Datensatz als zusätzliche Daten hinzugefügt werden. Durch die Trennung von Passagierdaten und Reisehistorie ist es möglich, in der einen Datei zu finden, welcher Fahrgast zu welcher Fahrgastnummer gehört. In der anderen Datei kann man lesen, welches Fahrverhalten zu welcher Fluggastnummer gehört. Es ist natürlich wichtig (und auch in der DSGVO vorgeschrieben), dass diese Dateien getrennt aufbewahrt werden. Auf diese Weise können Reisedaten analysiert werden, ohne dass jeder Mitarbeiter die wahre Identität des Passagiers kennt. Dies schränkt die Verbreitung sensibler Informationen innerhalb des Unternehmens ein und verbessert den Schutz der persönlichen Daten der Passagiere.
Um die beiden Datenbanken getrennt zu halten, erfordert die DSGVO technische und organisatorische Sicherheitsmaßnahmen. Ein Beispiel für eine technische Maßnahme ist, dass man sich in ein System mittels Zwei-Faktor-Authentifizierung anmelden muss, bevor die Fluggastdaten eingesehen werden können. Ein Beispiel für eine organisatorische Maßnahme ist, dass die Anzahl der Personen innerhalb der Fluggesellschaft, die Zugang zu beiden Dateien haben, sehr begrenzt ist. Dies kann z.B. nur der Manager IT und sein Assistent sein.

Was kommt als nächstes in der Blog-Serie?

Letzte Woche haben wir bereits die Mythen rund um personenbezogene Daten diskutiert. In den kommenden Beiträgen dieser Blog-Reihe werden wir die folgenden Themen ansprechen:

  • Aufzeichnung der Verarbeitungstätigkeiten
  • Datenschutzbeauftragter (DSB)
  • Datenschutz-Folgenabschätzung (Privacy Impact Assessment - PIA)
  • Vereinbarungen
  • Einwilligung

Du willst Klarheit darüber, was die DSGVO genau für deine Organisation bedeutet? Dann wirf in den nächsten Wochen einen Blick auf unsere Blog-Seite und lese/lerne, wie du Irrtümer über die DSGVO ausräumen kannst.

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company