Datenschutz: Wie nehme ich die Pseudonymisierung vor?

Berater Recht & Haftung Top News von Detlef Pohl

Makler haben durch die Datenschutz-Grundverordnung (DSGVO) viele Fragen, die im Alltag aufkommen. Die „DSGVO-Frage der Woche“ heute: Wie nehme ich die Pseudonymisierung vor und warum?

Pseudonymisierung ist durch die DSGVO zu einer adäquaten Maßnahme geworden, den Schutz der zu verarbeitenden Daten zu gewährleisten, ähnlich wie die Verschlüsselung, sagt Norman Wirth, Inhaber der Kanzlei Wirth Rechtsanwälte, der für procontra DSGVO-Fragen beantwortet. Bild: pixabay

Grundsätzlich ist eine Verschlüsselung von Daten beim Übertragen in E-Mails nötig. Dazu gab ein früherer Artikel in der Serie Auskunft. Die idealen Programme zur Verschlüsselung wurden in einem anderen Artikel der Serie behandelt. „Bei personenbezogenen Daten ist zudem eine Pseudonymisierung vorgeschrieben“, sagt Norman Wirth, Inhaber der Kanzlei Wirth Rechtsanwälte.

Die Pseudonymisierung von personenbezogenen Daten ist zum einen Bestandteil der zu ergreifenden technischen und organisatorischen Maßnahmen (Artikel 32 DSGVO). Zum anderen ist sie ein Mittel zur „Datenminimierung“ (Artikel 25 DSGVO). Eine Pseudonymisierung erreicht man, indem die entsprechenden personenbezogenen Daten wie, Namen oder andere Identifikationsmerkmale, durch unbestimmte Kennzeichen ersetzt, so dass eine Bestimmung des Betroffenen ausgeschlossen oder zumindest wesentlich erschwert ist.

In Abgrenzung zur Anonymisierung ist bei der Pseudonymisierung darauf zu achten, dass – einem Schlüssel-Schloss-Prinzip entsprechend – die Aktion technisch auch wieder rückgängig gemacht werden kann (procontra berichtete).

Pseudonymisierung durch Mitarbeiter oder Verantwortlichen

Eine Pseudonymisierung kann entweder durch den Betroffenen selber – etwa durch eine frei wählbare Nutzer-ID - erfolgen, oder aber durch den Datenschutzverantwortlichen. „Sinnvoll ist eine Pseudonymisierung schon deswegen, weil zum Beispiel eine Interessenabwägung im Rahmen der ‚berechtigten Interessen‘ (gemäß Artikel 6 Absatz 1f DSGVO) dann eher zugunsten des Verantwortlichen ausfällt“, betont Wirth.

Aber auch der Schutzbedarf im Rahmen der technischen und organisatorischen Maßnahmen ist bei pseudonymisierten Daten geringer. Schließlich kann dann im Falle eines Datenschutzverstoßes auch die Benachrichtigungspflicht gegenüber der betroffenen Person (Artikel 34 Absatz 3 DSGVO) entfallen, sofern die Daten verschlüsselt sind. Die Verschlüsselung stellt praktisch eine Art „Unterfall“ der Pseudonymisierung dar.

Unabhängig davon, ob Makler mit einem Kundenverwaltungsprogramm arbeiten oder mit einer klassischen Ordnerstruktur, wird eine Pseudonymisierung bereits durch eine Verschlüsselung des Datensatzes erreicht. Ohne zu sehr in die technischen Details zu gehen: Pseudonymisierung lässt sich zum Beispiel über Kreuztabellen lösen: Die Daten zu eine und demselben Kunden sind dann nur teilweise in einer „Tabelle“. Meist genügen zwei Tabellen. „Sie sollten separat voneinander an getrennten Orten (externe Festplatte) gespeichert werden“, so Wirth.

  • Facebook Kommentare
  • Disqus Kommentare