Anonymisierende Wirkung der Pseudonymisierung

Erfahren Sie, welche Auswirkungen die Pseudonymisierung von Daten auf die Anwendbarkeit der DSGVO hat.

Wann können Daten verarbeitet, genutzt und gespeichert werden, ohne dass die DSGVO Anwendung findet? 

Die Anwendbarkeit der EU-Datenschutz-Grundverordnung (DSGVO) setzt gem. Art. 2 Abs. 1 DSGVO die Verarbeitung personenbezogener Daten voraus. Personenbezogene Daten sind dabei gem. Art. 4 Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Was aber gilt bei der Verarbeitung personenbezogener Daten, die pseudonymisiert oder anonymisiert worden sind? 

Verarbeitung pseudonymer Daten 

Die Pseudonymisierung wird durch Art. 4 Nr. 5 DSGVO beschrieben als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“. Als identifizierbar wird dabei nach Art. 4 Nr. 1 2. Halbsatz DSGVO eine natürliche Person angesehen, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung … identifiziert werden kann“.  

Die Identifizierbarkeit ist etwa bei Patienten in einem Krankenhaus über die krankenhausinterne Fallnummer gegeben. Denn um über die Fallnummer einen Personenbezug herstellen zu können, müssen zusätzliche Informationen, wie etwa Name und Geburtsdatum, hinzugezogen werden. Bei diesen Fallnummern handelt es sich demnach um pseudonyme Daten, die gem. Erwägungsgrund 26 Satz 2 DSGVO als personenbezogene Daten betrachtet werden sollten und somit den Anwendungsbereich der DSGVO eröffnen. Dies bedeutet: Wer pseudonyme Daten verarbeitet, muss dabei genau die gleichen Grundsätze des Datenschutzes einhalten, die auch bei der Verarbeitung personenbezogener Daten, die nicht pseudonymisiert worden sind, gelten. 

Verarbeitung anonymer Daten 

Anonymisiert sind Daten dann, wenn die identifizierenden Merkmale der betroffenen Person entfernt werden und die Person nicht mehr zu identifizieren ist – weil z.B. keine zusätzlichen Informationen hinzugezogen werden können. Werden anonyme Daten verarbeitet, ist der Anwendungsbereich der DSGVO somit nicht eröffnet und die Grundsätze des Datenschutzes gelten daher nicht (vgl. Erwägungsgrund 26 Satz 5 DSGVO).  

Ab welchem Punkt eine Person nicht mehr zu identifizieren ist, lässt sich aber pauschal nicht beantworten und hängt vom vorhandenen und in verhältnismäßiger Weise mobilisierbaren Zusatzwissen der verarbeitenden Stelle ab. Denn gem. Erwägungsgrund 26 Satz 3 DSGVO gilt es bei der Frage der Identifizierbarkeit einer Person auf die Mittel abzustellen, „die von dem Verantwortlichen oder einer anderen Person nach allgemeinen Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“. Es muss also bestimmt werden, ob auf Grund allgemeiner Lebenserfahrung oder auf Grund wissenschaftlicher Expertise mit einer Aufdeckung des Personenbezugs zu rechnen ist. Eine rein hypothetische Möglichkeit zur Bestimmung der Person reicht hingegen nicht aus, um eine Person als bestimmbar anzusehen. Ein Personenbezug scheidet somit aus, wenn die Wahrscheinlichkeit einer Bestimmung so gering ist, dass das Risiko praktisch vernachlässigbar ist. Die Bestimmbarkeit ist demnach nicht absolut zu beurteilen, sondern nach ihrer faktischen Durchführbarkeit.   

Es kann somit durchaus vorkommen, dass Daten für den Verantwortlichen als pseudonymisierte personenbezogene Daten einzuordnen sind und sich, z.B. das Krankenhaus bei der Verarbeitung von Fallnummern, selbstverständlich an die Grundsätze des Datenschutzes halten muss. Anderes kann aber bei der Verarbeitung der gleichen pseudonymisierten Fallnummern durch einen Auftragsverarbeiter des Krankenhauses gelten, wenn dieser überhaupt nicht die Möglichkeit hat, anhand dieser Fallnummern einen Personenbezug herzustellen, oder dieses Risiko als vernachlässigbar gering betrachtet werden muss.  

Fazit 

Eine Pseudonymisierung kann demnach eine anonymisierende Wirkung haben, wenn z.B. die betroffenen Informationen (Fallnummern) und die Referenzliste (Fallnummer + Name + Geburtsdatum) derart voneinander getrennt bzw. entkoppelt sind, dass eine Zusammenführung nicht möglich oder sehr unwahrscheinlich ist und die pseudonymisierten personenbezogenen Daten als anonymisierte Daten zu betrachten sind. Folglich sind diese Daten vom Anwendungsbereich der DSGVO ausgenommen und werden nicht länger als personenbezogene Daten nach Art. 4 Nr. 1 DSGVO behandelt. Zudem steht in Erwägungsgrund 26, dass pseudonymisierte Daten als personenbezogene Daten gelten sollten, aber nicht müssen. 

Sollten Sie Unterstützung bei der Feststellung benötigen, ob Sie pseudonymisierte oder anonymisierte Daten verarbeiten, freuen wir uns über Ihre Kontaktaufnahme.