DSGVO - BDSG - TTDSG

a) Zuordnung von Daten ohne Hinzuziehung zusätzlicher Informationen nicht möglich

135

Wenn dem Verantwortlichen im zu betrachtenden Datensatz Informationen vorliegen, die eine Zuordnung ohne Weiteres ermöglichen, liegt schon keine Pseudonymisierung vor, unabhängig davon, ob darüber hinaus zusätzliche Informationen separat aufbewahrt werden.283 Die pseudonymisierten Daten müssen, solange die zusätzlichen Informationen nicht einbezogen werden, aus sich heraus für die relevante Stelle anonym sein, weshalb hier wiederum die Wahrscheinlichkeit der Identifizierung (unter gedanklicher Ausklammerung der bestehenden Zuordnungsregel) geprüft werden muss (siehe dazu oben Rn. 54).284

b) Getrennte Aufbewahrung der zusätzlichen Informationen

136

Die vom Pseudonym ersetzten zusätzlichen Informationen, die eine Identifizierbarkeit ermöglichen, sind nach Art. 4 Nr. 5 DSGVO getrennt von den Daten bzw. Datensätzen aufzubewahren, in denen das Pseudonym verwendet wird. Dies bietet sich schon als Sicherheitsmaßnahme i.S.v. Art. 32 Abs. 1 DSGVO an, weil eine gemeinsame Aufbewahrung im Falle einer Entwendung der Daten eine gleichzeitige Entwendung der jeweiligen Zuordnungsregel und entsprechende Zuordnung erheblich erleichtern würde.285

137

In der DSGVO ist nicht näher dargelegt, wie genau diese Trennung aussehen muss, aber es ist wohl davon auszugehen, dass dies technisch sowie räumlich zu verstehen sein kann, sodass die zusätzlichen Informationen weder im gleichen (physischen) Schrank liegen noch über das gleiche Nutzerkonto verfügbar sein dürfen.286 Eine logische Trennung mit unterschiedlichen Zugriffsberechtigungen sollte insofern ausreichen.287 Wie aufwendig die Trennung im Einzelfall zu gestalten ist, sollte von der Schutzbedürftigkeit der Daten abhängig gemacht werden.288 Technisch gesehen bieten sich zur Trennung der Einsatz von Referenzlistenmodellen und kryptografischen Verfahren an (dazu unten Rn. 141–144).

138

Sofern sowohl die pseudonymisierten Daten als auch die eine Identifizierung ermöglichenden zusätzlichen Informationen übermittelt werden, kann mangels getrennter Aufbewahrung nicht von einer Pseudonymisierung ausgegangen werden.289

139

Sofern die zusätzlichen Informationen bei einem Dritten aufbewahrt werden und der Verantwortliche wahrscheinlich nicht durch die ihm zur Verfügung stehenden Mittel darauf zugreifen wird, ist auch möglich, dass es sich nicht um pseudonyme, sondern um anonyme Daten handelt (siehe dazu bereits oben Rn. 54).

c) Gewährleistung der Nichtzuordnung durch technische und organisatorische Maßnahmen

140

Art. 4 Nr. 5 DSGVO fordert, dass die Nichtzuordnung pseudonymisierter Daten durch technische und organisatorische Maßnahmen gewährleistet wird.290 Es geht mithin nicht um einen gänzlichen Ausschluss der Zuordnung i.S.v. „garantieren“ (dann würde es sich sowieso um eine Anonymisierung handeln), sondern die Gewährleistung soll nur eine Erschwerung erwirken, sodass auch innerhalb eines Unternehmens sowie erst recht einer Unternehmensgruppe eine Pseudonymisierung möglich ist (zur genauen Ausgestaltung sogleich Rn. 132ff.).291 Welchen Reifegrad die technische und organisatorische Trennung gewährleisten muss, stellt die DSGVO nicht klar. Im Einzelfall sollte jedoch nach einem objektiven Beurteilungsmaßstab eine Verknüpfungsmöglichkeit im Regelfall ausgeschlossen sein.292 Regelmäßig sicherer als die Eigenverwahrung dürfte jedenfalls die Einschaltung eines vertrauenswürdigen Dritten als Treuhänder sein.293

141

Nimmt der Verantwortliche ohne Zuhilfenahme eines Dritten selbst intern eine Pseudonymisierung vor, ist nach ErwG 29 Satz 2 vom Verantwortlichen organisatorisch zu gewährleisten, dass er die bezüglich der zusätzlichen, die Identifizierung ermöglichenden Daten zugriffsbefugten Personen ausdrücklich benennt. Dies unterstreicht, dass der einfache Nutzer der Daten keinen Zugriff auf dieses Referenzwissen haben sollte, sondern – um einen Missbrauch auszuschließen – nur eine begrenzte Anzahl Personen, z.B. bestimmte leitende Mitarbeiter des Verantwortlichen.294

142

Dass nur befugte Personen Zugriff auf die zusätzlichen Informationen haben, sollte durch sowohl technische (z.B. Wahl eines besonders sicheren Pseudonymisierungsverfahrens (dazu sogleich Rn. 141ff.), beschränkte Zugriffsrechte durch entsprechende Rechte- und Rollenkonzepte,295 verschlüsselte Übermittlung der pseudonymisierten Daten sowie insbesondere der Zuordnungsregel als auch organisatorische Maßnahmen (insbesondere klare Festlegung, wer über die Zuordnungsmöglichkeit verfügen soll, wer die Pseudonymisierung vornimmt und unter welchen Bedingungen eine Zuordnung erlaubt ist, was z.B. arbeitsvertraglich, durch Organisationsanweisungen und in der Datenschutz-Policy des Verantwortlichen geregelt werden kann) abgesichert werden.296 Wichtig ist auch, dass organisatorisch sichergestellt ist, dass zu Beginn der Pseudonymisierung, aber auch laufend aufgrund des sich stets ändernden Re-Identifizierungsrisikos (dazu oben Rn. 121) geprüft wird, dass ohne die zusätzlichen Informationen kein Re-Identifizierungsrisiko besteht.297 Generell entscheidend dafür, welche technischen und organisatorischen Maßnahmen konkret ergriffen werden sollten, ist der technische und organisatorische Aufbau des Datenmanagements, also insbesondere die Frage, ob der Verantwortliche jeweils die Datenhaltung und die Pseudonymisierung zentral oder dezentral vornimmt und ob er sich dabei eines Dritten bedient.298

4. Abgrenzung zur Anonymisierung

143

Im Gegensatz zur Anonymisierung verbleibt bei der Pseudonymisierung eine Zuordnungsmöglichkeit aufgrund der gesondert aufbewahrten Zusatzinformationen, weshalb es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt (siehe zur genauen Abgrenzung bereits oben Rn. 54). Entscheidet sich ein Verantwortlicher für eine Pseudonymisierung statt einer Anonymisierung, geht er davon aus, dass es erforderlich sein kann, den Personenbezug wiederherzustellen (z.B. wenn ein Arzt eine Probe pseudonymisiert in ein Labor schickt299).300

5. Varianten der Pseudonymisierung

144

Bei der grundsätzlichen Vorgehensweise der Pseudonymisierung lassen sich drei Ansätze unterscheiden.301 Zum einen kann der Verantwortliche selbst die Pseudonymisierung vornehmen (a), der Verantwortliche kann dafür einen Dritten beauftragen (b) oder aber die betroffene Person selbst setzt ein Pseudonym ein (c).

a) Beim Verantwortlichen selbst

145

Ausdrücklich erlaubt ist es nach ErwG 29 Satz 1,302 dass der Verantwortliche die Pseudonymisierung selbst vornehmen kann, also ohne einen Dritten dafür einzubeziehen (zur Trennung der Daten siehe oben Rn. 127–130).303 Dies ist zumindest nach der Gesetzesformulierung des Art. 4 Nr. 5 DSGVO der Standardfall.304 Dies ist insofern auch angemessen, da auch eine interne Pseudonymisierung Eingriffsintensität sowie Missbrauchsrisiko in Bezug durch sowohl Mitarbeiter als auch Dritte, denen die Daten in pseudonymisierter Form zur Verfügung gestellt werden, verringert.

b) Durch einen Dritten

146

Der Verantwortliche kann sich auch einen vertrauenswürdigen Dritten aussuchen (beispielsweise einen Treuhänder),305 der die Pseudonymisierung vornimmt und danach allein über die Zuordnungsmöglichkeit verfügt.306 Dies ist z.B. im Bereich der medizinischen Forschung eine gängige Konstruktion.307 Entsprechende Konstellationen sind typischerweise durch eine organisatorische Trennung zwischen dem Dritten, der die Zuordnungsmöglichkeit vorhält, und dem potenziellen Datenverwender gekennzeichnet. Gleichwohl existieren aber auch Konstellationen, bei denen der Datenverwender selbst das Wissen hat, um das Pseudonym aufzulösen.308

147

Auch bei der Aufbewahrung der Zuordnungsmöglichkeit durch einen Dritten hat der Verantwortliche entsprechende technische und organisatorische Maßnahmen einzusetzen, um eine Zuordnung zu verhindern (dazu bereits allgemein oben Rn. 131ff.). Mit dem Dritten ist insbesondere zu klären, wie genau das Pseudonymisierungsverfahren abläuft sowie, ob und unter welchen Voraussetzungen von wem eine Zuordnung veranlasst werden kann.309

148

Hierbei ist Folgendes zu beachten: Es handelt sich aus Sicht des datenverarbeitenden Verantwortlichen nicht (nur) um pseudonyme, sondern sogar anonyme Daten, sofern die Wahrscheinlichkeit des Zugriffs auf das für die Zuordnung jeweils erforderliche Zusatzwissen durch entsprechende technische und organisatorische Maßnahmen (z.B. ein vertragliches, mit Vertragsstrafen bewehrtes Herausgabeverbot seitens des Dritten) so verringert ist, dass die Re-Identifizierung der Betroffenen durch den Verantwortlichen einen unverhältnismäßigen Aufwand erfordern würde und daher de facto ausgeschlossen ist (ausführlich dazu oben Rn. 54).

c) Direkte Erhebung des Pseudonyms

149

Informationen können auch unmittelbar in pseudonymer Form erhoben werden. So kann etwa die betroffene Person in einigen Konstellationen für sich selbst eine Kennung (z.B. eine Nutzer-ID bei Online-Diensten oder Angabe eines Decknamens bei einer Hotelbuchung) auswählen, also mithilfe eines Pseudonyms ihre wahre Identität verschleiern (zur Pflicht der Anbieter, eine Pseudonym-Wahl zu ermöglichen – wie noch unter § 13 Abs. 6 TMG – siehe oben Rn. 121).310 Gleichermaßen können Verantwortliche Informationen in pseudonymer Form erhalten, die durch ihnen unter Umständen unbekannte Dritte pseudonymisiert worden sind oder eben in einer Form vorliegen, die eine Identifizierung der Betroffenen aus sich selbst heraus nicht ermöglicht (etwa IP-Adressen, Cookie-IDs, Kreditkartennummern usw.). Hierbei handelt es sich in strenger Auslegung der Verordnung um keine Pseudonymisierung, wie sie Art. 4 Nr. 5 DSGVO vorsieht, weil die Pseudonymisierung nicht vom Verantwortlichen gesondert veranlasst und durch technische und organisatorische Mittel geschützt wird.311 Nicht ersichtlich ist jedoch, aus welchem Grund die Verarbeitung solcher Pseudonyme die gesetzlich geregelten Quasi-Privilegierungen nicht auslösen sollte (siehe zu diesen oben Rn. 119ff.), da die typischen mit der Pseudonymisierung einhergehenden Vorteile für die Betroffenen auch im Falle solcher Pseudonyme vorliegen.

150

Sollte der Verantwortliche bzw. Dritte ein solches Pseudonym nicht oder nicht mit vertretbarem Aufwand auflösen können, etwa da er über keinen Zugang zur Zuordnungsregel verfügt oder eine anderweitige Rückführung unmöglich ist bzw. mit einem unverhältnismäßigen Aufwand verbunden wäre, ist zu beachten, dass es sich bei den entsprechenden Daten für den Verantwortlichen um anonyme Daten handelt (siehe allgemein zur Voraussetzung der Anonymität oben Rn. 47ff.). Sofern entsprechende Mittel vorliegen, handelt es sich bis zu einer entsprechenden Re-Identifizierung der Betroffenen um ein Pseudonym.312

151

Ob das jeweilige Pseudonym jedoch wirklich schützende Wirkung hat und daher die quasi-privilegierenden Folgen der DSGVO auslösen kann, hängt von der Stärke des Pseudonyms und damit vom Einzelfall ab. Es ist denkbar, dass ein Nutzer einer Online-Community mit dem Namen Max Mustermann sich den Benutzernamen „Max.Mustermann87“ aussucht, weil er im Jahr 1987 geboren ist. In diesem Fall wäre datenschutzrechtlich nichts gewonnen, sondern im Gegenteil, die selbst gewählte Kennung wäre für Dritte noch informationsreicher als der eigentliche Name.

6. Pseudonymisierungsverfahren

152

In der Praxis bieten sich verschiedene Pseudonymisierungsverfahren an, die allerdings weder in der DSGVO benannt noch näher beleuchtet werden. Die Art.-29-Datenschutzgruppe313 hat sich allerdings mit eben diesen befasst, wie auch die Datenschutzbeauftragten des Bundes und der Länder.314 Die Wirksamkeit der gewählten Pseudonymisierungsverfahren hängt nach der Art.-29-Datenschutzgruppe vom Zeitpunkt der Pseudonymisierung, von der Rücknahmefestigkeit der Pseudonymisierungsprozedur, von der Größe der Population, in der sich die betroffene Person verbirgt, von der Verkettungsmöglichkeit von einzelnen Transaktionen oder Datensätzen derselben betroffenen Person, von der Zufälligkeit und Vorhersehbarkeit sowie der Menge der möglichen Pseudonyme ab.315

153

Ein gängiges Verfahren der Pseudonymisierung ist zunächst die Erstellung einer Referenzliste, in der die extrahierten identifizierenden Daten dem Pseudonym gegenübergestellt werden, um eine klare Zuordnung mit Hilfe dieser Liste zu ermöglichen.316 Dies bietet sich für Situationen an, bei denen eine Zuordnung nur in Ausnahmefällen notwendig ist, wie z.B. für fehlerhafte Zahlungsvorgänge.317 Die Referenzlisten können dabei auch von einem oder mehreren Dritten verwahrt werden (siehe dazu bereits oben Rn. 138).

154

Auch die Verschlüsselung von personenbezogenen Daten, eines der sog. kryptografischen Verfahren, kann ein Werkzeug zur Pseudonymisierung sein.318 Eine Verschlüsselung ist eine Maßnahme, durch die ein Datensatz (oder im Falle der Pseudonymisierung u.U. auch nur der Teil des Datensatzes, der sich auf natürliche Personen bezieht) mit kryptografischen Verfahren so unkenntlich gemacht wird, dass er nur durch einen oder mehrere Schlüssel (z.B. ein Passwort oder ein mathematischer Algorithmus) wieder lesbar gemacht werden kann.319 Unterschieden wird insofern zwischen der symmetrischen Verschlüsselung, d.h. ein Schlüsseltausch zwischen berechtigtem Sender und Empfänger, und der asymmetrischen Verschlüsselung, mithin eine Ver- und Entschlüsselung mittels eines öffentlichen und eines privaten Schlüssels.320 Die DSGVO unterscheidet zwar zwischen der Pseudonymisierung und der Verschlüsselung, eine Verschlüsselung dürfte aber jedenfalls dann als Pseudonymisierung anzusehen sein, wenn der Schlüssel getrennt und nicht für die Nutzer der Daten aufbewahrt wird und diese Trennung mit technisch-organisatorischen Maßnahmen gewährleistet wird.321 Unabhängig davon, ob die Verschlüsselung im konkreten Fall eine Pseudonymisierung erwirkt, gelten jedenfalls viele der Quasi-Privilegierungen (siehe oben Rn. 119) auch allgemein für Verschlüsselungen. Im Einzelfall wird nach erfolgter Verschlüsselung auch für einen Nicht-Schlüsselinhaber von einer Anonymisierung auszugehen sein (vgl. dazu bereits oben Rn. 54).322 Die Stärke der kryptografischen Verfahren richtet sich nach verschiedenen Faktoren, z.B. dem Einsatzgebiet, der Verschlüsselungsebene, dem Verschlüsselungsverfahren, dem Verschlüsselungsalgorithmus (bspw. AES oder RSA), der Schlüssellänge (bspw. 128 oder 256 Bit) und dem Einweg- oder Zweiweg-Charakter.323

155

Der gerade im Rahmen von Blockchains prävalente Einsatz von Hash-Funktionen (Streuwertfunktionen), die ebenfalls den kryptografischen Verfahren zugeordnet werden, kann je nach Ausgestaltung durch „Verhashung“ von identifizierenden Informationen auch zu einer wirksamen Pseudonymisierung führen. Mittels einer Hash-Funktion werden Eingabedaten auf Grundlage eines Algorithmus in einen Schlüsseltext (Hashwert) transformiert, der jedenfalls nicht mit verhältnismäßigem Aufwand reversibel ist und bei denselben Eingabedaten stets derselbe ist.324 Um eine Zusammenführung von unter Pseudonymen gespeicherten Einzelinformationen zu einem Profil zu verhindern, werden häufig vor der „Verhashung“ die Hashes gesalzen, also die identifizierenden Merkmale mit einem Zufallswert – dem „Salt“ – versehen.325

156

Bei all diesen Pseudonymisierungsverfahren ist zu beachten, dass es sich um anonyme (nicht nur pseudonyme) Daten handelt, wenn der jeweils verarbeitenden Stelle keine Mittel zur Verfügung stehen, um die Pseudonymisierung mit einem verhältnismäßigen Aufwand zu revidieren (siehe allgemein zur Voraussetzung der Anonymität oben Rn. 47ff.). Insofern sind verschlüsselte bzw. verhashte Daten in der Theorie rückrechenbar, etwa durch sog. Brute-Force-Attacken, bei denen alle möglichen Eingabewerte durchprobiert werden, bis das gesuchte Ergebnis erzielt wird und den unverschleierten Eingabewert preisgibt. Dieser Aufwand wird in der Regel jedoch unverhältnismäßig sein. Insofern werden den allermeisten Stellen die hierfür erforderlichen Ressourcen bereits nicht zur Verfügung stehen.

VII. Dateisystem (Nr. 6)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

157

Der Begriff des „Dateisystems“ dient der Konkretisierung des sachlichen Anwendungsbereichs der DSGVO und löst den in Art. 2 lit. c DSRl verwendeten Begriff der „Datei mit personenbezogenen Daten ab.326 Eine inhaltliche Änderung geht damit jedoch nicht einher.327

158

Gemäß Art. 2 Abs. 1, 1. Alt. DSGVO findet die DSGVO in erster Linie für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten Anwendung. Der Begriff der automatisierten Verarbeitung ist dabei weit zu verstehen; insofern genügt bereits, wenn nur einzelne Teilschritte eines von einer entsprechenden Zweckbestimmung getragenen Verarbeitungsvorgangs automatisiert erfolgen. Demgemäß unterfällt bereits das händische Ausfüllen von Formularen der (teilweise) automatisierten Verarbeitung, wenn beim Ausfüllen der Formulare bereits der Zweck verfolgt wird, diese später in ein IT-System, etwa als Eingabe oder Scan, zu übertragen.328

159

Gemäß Art. 2 Abs. 1, 2. Alt. DSGVO fällt ferner auch die nichtautomatisierte Verarbeitung personenbezogener Daten in den Anwendungsbereich der DSGVO, vorausgesetzt, dass die jeweils verarbeiteten Informationen in einem „Dateisystem“ gespeichert sind oder in einem solchen gespeichert werden sollen.329 Aufgrund der Spannweite des Begriffs der automatisierten Verarbeitung betrifft Art. 2 Abs. 1, 2. Alt. DSGVO daher allenfalls die rein manuelle Verarbeitung personenbezogener Daten, bei der überhaupt kein Verarbeitungsschritt mit technischen Hilfsmitteln erfolgt.330

2. Merkmale eines Dateisystems

160

Der Begriff des Dateisystems wird nach Art. 4 Nr. 6 DSGVO definiert als „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.

a) Sammlung personenbezogener Daten

161

Das Merkmal der Sammlung beschreibt die planmäßige Zusammenstellung von einzelnen Angaben, unabhängig davon, ob es sich dabei um Daten einer einzelnen natürlichen Person oder um Daten mehrerer Personen handelt. Maßgeblich ist, ob die Angaben in einem inneren Zusammenhang stehen, der sich aus der Gleichartigkeit der Informationen sowie aus einem gemeinsamen Zweck ergeben kann.331

b) Struktur

162

Die Sammlung muss zudem „strukturiert“ sein, wobei es nicht darauf ankommt, ob die Daten auf einem oder mehreren Datenträgern gesammelt sind.332 Entscheidend ist vielmehr der formale Aufbau der Datei. Diese muss eine systematisch gleichartige Ordnung in Bezug auf die Datenerhebung und -haltung aufweisen und dadurch die Erschließung der Daten erleichtern, wie etwa eine alphabetische oder nummerische Anordnung.333

163

Da bereits die Sammlung von Informationen über eine einzelne Person unter die Definition des Dateisystems fallen kann, muss sich die Struktur einer Sammlung nicht zwingend aus der (strukturierten) Anordnung von Informationen in Bezug auf verschiedene Betroffene ergeben. Vielmehr kann bereits die Erhebung personenbezogener Daten einer Person genügen, etwa wenn dies auf Grundlage einer systematischen, gleichförmigen Anordnung von Formularfeldern erfolgt oder sich als Zusammenfassung gleichartiger Informationen unter der Klammer der Beziehbarkeit auf eine bestimmte betroffene Person darstellt.334