Pseudonymisierung à la DS-GVO und verwandte Methoden
Aufgrund der voranschreitenden Digitalisierung vieler Lebensbereiche von immer mehr Menschen wächst auch die Fülle an Informationen, die über jede und jeden gesammelt werden. Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, wie er in der Datenschutz-Grundverordnung (DS-GVO) gefordert ist, kann durch vielfältige organisatorische und technische Maßnahmen gewährleistet oder unterstützt werden. Ein in der DS-GVO konkret genanntes Mittel ist die Pseudonymisierung, die als einzige Maßnahme mit einer Begriffsbestimmung (Art. 4 Nr. 5 DS-GVO) hervorgehoben wird.
Pseudonymisierung wird ferner erwähnt im Zusammenhang mit der Verarbeitung personenbezogener Daten zu einem anderen Zweck als ursprünglich vorgesehen (Art. 6 Abs. 4 lit. e DS-GVO), als beispielhafte Maßnahme bei der Erfüllung der Anforderung „Datenschutz durch Technikgestaltung“ (Art. 25 Abs. 2 DS-GVO), als Maßnahme zur Gewährleistung eines ausreichenden Schutzniveaus (Art. 32 Abs. 1 lit. a DS-GVO), als mögliche branchenspezifische Verhaltensregel für die Verarbeitung personenbezogener Daten (Art. 40 Abs. 2 lit. d DS-GVO) und als Maßnahme zur Gewährleistung der geforderten Garantien bei der Verarbeitung personenbezogener Daten für wissenschaftliche, statistische und archivarische Zwecke (Art. 89 Abs. 1 DS-GVO sowie Erwägungsgrund 156).
Pseudonymisierung kann eine datenschutzfördernde Maßnahme sein, indem die Identität eines Individuums in einem spezifischen Kontext verborgen wird. Zugleich kann eine Pseudonymisierung dazu beitragen, das Risiko für die Rechte und Freiheiten der betroffenen Personen zu verringern und im Fall eines Datenschutzverstoßes die negativen Folgen zu mindern.
I. Der Begriff der Pseudonymisierung
Ein Wort zur Warnung vorab: In verschiedenen Disziplinen spielen die Begriffe „Pseudonymisierung“ und „Pseudonym“ eine Rolle, ohne dass es bisher einheitliche Definitionen gegeben hätte. Schon die Verwendung in verschiedenen juristischen Normen stellt auf verschiedene Qualitäten der Pseudonyme/Pseudonymisierung ab (beispielsweise im Signaturgesetz, im Telemediengesetz oder im alten LDSG Schleswig-Holstein). Ähnliches gilt für die Annäherung an das Thema aus technischer Sicht.
In diesem Beitrag soll zwar primär auf die DS-GVO-Definition zu Pseudonymisierung Bezug genommen werden. Jedoch garantieren die technischen Verfahren, die mehr oder weniger für eine Pseudonymisierung geeignet sein können, allein häufig noch nicht, dass die Anforderungen an eine Pseudonymisierung im Sinne der DS-GVO erfüllt werden. Dies kann zudem von weiteren Faktoren abhängen wie beispielsweise von den zu pseudonymisierenden Daten selbst oder etwaigem Zusatzwissen.
Dies vorausgeschickt, nehmen wir einen Blick in die Definition in Art. 4 Nr. 5 der DS-GVO:
„‚Pseudonymisierung‘ [bezeichnet] die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“
Es handelt sich demnach um eine Verarbeitung von personenbezogenen Daten derart, dass das Resultat – die pseudonymisierten Daten – ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden kann. Bei diesen zusätzlichen Informationen handelt es sich um solche Daten, durch die sich die Daten individuell zuordnen lassen, beispielsweise eine Tabelle mit einer Zuordnung zwischen Namen und Pseudonym oder eine Berechnungsfunktion, die eine solche Zuordnung leistet (siehe Abb. 1).
Diese Definition setzt am Kern des Datenschutzrechts, dem Personenbezug von Daten (Art. 4 Nr. 1 DS-GVO), an: Ziel ist eine Entkopplung der ursprünglich personenbezogenen Daten von den betroffenen Personen. Im Falle einer – in der DS-GVO nicht legaldefinierten – Anonymisierung ist die durch die Veränderung der Daten erreichte Entkopplung von den zugehörigen Personen irreversibel, anders als bei der Pseudonymisierung. Anonymisierte Daten sind also nicht mehr personenbezogen und unterfallen demnach auch nicht mehr der DS-GVO. Allerdings ist der Sprachgebrauch hier oft unscharf, beispielsweise garantieren sog. „anonymisierte Gerichtsurteile“ in der Regel keinesfalls, dass die betroffenen Personen nicht feststellbar sind. Auch kann der technische Fortschritt dazu führen, dass ein Personenbezug in vormals als anonymisiert eingestuften Daten zu einem späteren Zeitpunkt hergestellt werden kann.
Sowohl bei Anonymisierung als auch bei Pseudonymisierung handelt es sich um Datenverarbeitungen, die den Datenschutzgrundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) unterstützen.
Unter dem Begriff „Pseudonym“, der in der DS-GVO ebenfalls nicht definiert wird, versteht man einen Identifikator, eine Kennung oder ein Kennzeichen anstelle des echten Namens einer Person. Dies muss nicht eine einzelne Zeichenkette sein, sondern kann auch aus mehreren Attributen bestehen. Das Vorhandensein eines Pseudonyms garantiert noch keine Pseudonymisierung im Sinne der DS-GVO. Stattdessen führt die DS-GVO Kennungen auf, die sich vom echten Namen unterscheiden, beispielsweise die Online-Kennungen (siehe Erwägungsgründe 30 und 64 sowie Art. 4 Nr. 1 DS-GVO) oder andere Identifikatoren wie in Art. 87 DS-GVO, der die Verarbeitung der nationalen Kennziffer oder anderer Kennzeichen von allgemeiner Bedeutung regelt.
Agiert eine betroffene Person unter Pseudonym, beispielsweise gegenüber einem Verantwortlichen wie einem Online-Händler, ist damit noch nicht gesagt, ob der echte Name dem Verantwortlichen bekannt ist, ob dieser das Pseudonym zuordnen kann oder sogar vergeben hat, ob die betroffene Person eigenständig ein Pseudonym gewählt hat und ob durch die mehrfache Verwendung Profilbildungen möglich sind. Diese Fallkonstellation unterscheidet sich von der üblichen Pseudonymisierung, bei der bereits ein personenbezogener Datenbestand vorhanden ist, von dem der Verantwortliche in einem weiteren Verarbeitungsschritt eine pseudonymisierte Version erstellt.
II. Anforderungen an eine Pseudonymisierung
Durch den Einsatz einer Pseudonymisierung allein ist eine Verarbeitung personenbezogener Daten nicht automatisch rechtmäßig. Sie kann jedoch ein wichtiger Baustein sein, um eine entsprechende Verarbeitung im Einklang mit der DS-GVO zu ermöglichen.
Zu unterscheiden ist dabei der Einsatz eines Pseudonymisierungsverfahrens als technische Schutzmaßnahme im Sinne der Risikoverminderung (Art. 32 DS-GVO) oder zur Erfüllung der Anforderung „Datenschutz durch Technikgestaltung“ (Art. 25 DS-GVO) einerseits oder als Ermöglichung einer kompatiblen Weiterverarbeitung nach Art. 6 Abs. 4 DS-GVO andererseits. In beiden Anwendungsfällen kommt ein Pseudonymisierungsverfahren als eine von mehreren Maßnahmen zum Einsatz; die Pseudonymisierung ist sowohl in Art. 6 Abs. 4 DS-GVO als auch in Art. 32 Abs. 1 DS-GVO ein Punkt in jeweils nicht abschließenden Maßnahmenlisten. Ein eingesetztes Pseudonymisierungsverfahren und dessen Wirkung müssen stets im Zusammenhang und verbunden mit den anderen Maßnahmen bewertet werden.
In der DS-GVO werden keine konkreten Verfahren für eine Pseudonymisierung vorgegeben, allerdings werden in der Begriffsbestimmung in Art. 4 Nr. 5 DS-GVO, in Art. 32 Abs. 1 DS-GVO und im Erwägungsgrund 26 DS-GVO drei Kernanforderungen formuliert:
– Ein Pseudonymisierungsverfahren soll unter der Bedingung, dass eine Nichtverfügbarkeit der zusätzlichen Informationen garantiert ist, eine anonymisierende Wirkung haben. Das bedeutet: Personenbezogene Daten sollen so verarbeitet werden, „dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“. Trotz der unter bestimmten Bedingungen bestehenden anonymisierenden Wirkung bleibt aufgrund der Existenz der zusätzlichen Informationen der Personenbezug bestehen; es liegt bei der Pseudonymisierung eben keine irreversible Anonymisierung vor. – Die Zuordnung der pseudonymisierten Daten zu Identitätsinformationen (z.B. als Tabelle oder Formel) soll einem besonderen Schutz durch technische und organisatorische Maßnahmen gegen (unberechtigte) Zugriffe unterliegen. Für die Nutzenden der pseudonymisierten Daten dürfen diese zusätzlichen Informationen also nicht im Zugriff stehen, sie sind aber vorhanden. Hier kann es Situationen geben, in denen ein gezielter Zugriff auf diese Informationen erforderlich ist, beispielsweise um für einzelne Datensätze eine Zuordnung zu einer Person vorzunehmen. – Ein eingesetztes Pseudonymisierungsverfahren muss dem Stand der Technik entsprechen; die Wirksamkeit muss regelmäßig überprüft, bewertet und evaluiert werden.
Die konkreten Anforderungen an eine Pseudonymisierung sind dabei abhängig von der beabsichtigten Wirkung. Die beiden im Folgenden beschriebenen anonymisierenden und risikomindernden Wirkungen sind dabei nicht isoliert, sondern in der Praxis kombiniert zu betrachten.
1. Anonymisierende Wirkung
Mit einer Pseudonymisierung kann von einer verantwortlichen Stelle beabsichtigt werden, dass die pseudonymisierten Daten – ohne Hinzuziehen zusätzlicher Informationen – für eine weitere Verarbeitung zunächst einmal die gleichen Eigenschaften haben sollen wie anonymisierte Daten: Eine Zuordnung zu einer spezifischen betroffenen Person muss ausgeschlossen sein. Anonym sind die Daten gemäß Erwägungsgrund 26 DS-GVO, wenn „die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Ohne die Existenz der zusätzlichen Informationen würden demnach die Daten nicht personenbezogen nach den Kriterien des Art. 4 Abs. 1 sein.
Die Zuordenbarkeit der pseudonymisierten Daten zu einer spezifischen Person muss für jedes Pseudonymisierungsverfahren geprüft und ausgeschlossen werden. Berücksichtigt werden müssen alle Mittel, die nach allgemeinem Ermessen zur Identifizierung durch die verantwortliche Stelle oder eine andere Person genutzt werden können. Explizit erwähnt wird in Erwägungsgrund 26 DS-GVO als ein Mittel der Identifizierung das Aussondern (im Sinne von „Vereinzeln“/„singling out“); die einzelnen pseudonymisierten Daten sind also explizit auch im Zusammenhang mit den anderen Daten zu bewerten. Bei der Bewertung, welche anderen Mittel zur Identifizierung genutzt werden können, sollen sowohl die aktuell verfügbare Technologie als auch zukünftige technologische Entwicklungen berücksichtigt werden.
Insgesamt muss also neben dem aktuellen Risiko einer Identifizierung auch die erwartbare Risikoentwicklung betrachtet werden. Dementsprechend muss ggf. auch eine „Schutzreserve“ vorgesehen sein. Werden die Daten zudem über einen längeren Zeitraum verwendet, müssen Prüfungen des Risikos einer Zuordenbarkeit regelmäßig erfolgen und ggf. entsprechende Maßnahmen getroffen werden, da mit der Zeit durch bessere Verknüpfungsmöglichkeiten oder neues Zusatzwissen eine Identifizierung leichter möglich sein könnte.
Sind diese Bedingungen einer anonymisierenden Wirkung erfüllt, ist dies jedoch nicht gleichbedeutend mit einer Anonymisierung. Diese würde gemäß Erwägungsgrund 26 DS-GVO voraussetzen, dass eine Identifizierung überhaupt nicht mehr möglich ist. Die pseudonymisierten Daten sind demnach stets als personenbezogene Daten zu behandeln.
2. Risikomindernde Wirkung
Eine zweite Wirkung eines Pseudonymisierungsverfahrens ist die Minderung des Risikos für die Rechte und Freiheiten der betroffenen Personen. Im Allgemeinen verringert eine Pseudonymisierung von Daten das Risiko, allerdings ist diese Wirkung zum einen abhängig von der konkreten Ausgestaltung des Verfahrens. Insbesondere ist die gesonderte und gesicherte Aufbewahrung der „zusätzlichen Informationen“ gemäß Art. 4 Abs. 5, d.h. die Zuordnung der pseudonymisierten Daten zu Identitätsdaten, von Bedeutung. Im Pseudonymisierungsverfahren kann diese Zuordnung von einem unabhängigen Dritten übernommen werden, sodass auch die verantwortliche Stelle die pseudonymisierten Daten nicht einer speziellen betroffenen Person zuordnen kann.
Gemäß Erwägungsgrund 29 kann das Pseudonymisierungsverfahren jedoch auch vollständig in der Hand des Verantwortlichen bleiben, „wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um – für die jeweilige Verarbeitung – die Umsetzung dieser Verordnung zu gewährleisten“. Dabei muss die Zuordnungsregel gesondert aufbewahrt werden und der Zugriff auf wenige befugte Personen begrenzt werden.
In beiden Fällen ist die Zuordnungsregel durch Sicherungsmaßnahmen besonders zu schützen, hierfür gelten die Vorgaben des Art. 32 DS-GVO.
Ferner muss das Pseudonymisierungsverfahren dokumentiert werden. In jedem Fall sind bei der Dokumentation von Verarbeitungstätigkeiten die Vorgaben des Art. 30 DS-GVO zu erfüllen. Um eine Nachprüfbarkeit sowohl für eigene Zwecke als auch im Rahmen der Rechenschaftspflicht zu gewährleisten, müssen weitere Informationen über das Verfahren dokumentiert werden, beispielsweise die Beschreibung des konkreten Verfahrens einschließlich der die Pseudonymisierung durchführenden „befugten Personen“; dies können auch unabhängige Dritte sein. Sollte eine Re-Identifizierung der pseudonymisierten Daten (also eine Zuordnung von einzelnen oder allen Daten zu den betroffenen Personen) unter bestimmten Bedingungen vorgesehen sein, ist auch zu dokumentieren, wer unter welchen Bedingungen auf welche Weise diese Verarbeitung vornimmt.
III. Risiken bei einer Pseudonymisierung
Das naheliegende Risiko eines Pseudonymisierungsverfahrens ist das Risiko der Zuordnung der Daten zu einer betroffenen Person. Wie beschrieben werden daher hohe Anforderungen an das Pseudonymisierungsverfahren und die Sicherung der Zuordnungsinformationen gestellt.
Allerdings müssen bei der Risikobewertung einer Pseudonymisierung verschiedene Angriffsszenarien berücksichtigt werden. Neben dem Versuch, eine Zuordnungsliste und damit den Zusammenhang zwischen spezifischen Personen und pseudonymisierten Daten bzw. Pseudonymen herzustellen, kann eine unbefugte Zuordnung auch auf anderen Wegen versucht werden. Dabei unterscheiden sich die Ansätze darin, ob zu einem bekannten Pseudonym die betroffene Person identifiziert werden soll oder das zu einer betroffenen Person passende Pseudonym gefunden werden soll oder über eine betroffene Person lediglich die Information eingeholt werden soll, ob sie überhaupt in einem Datensatz enthalten ist oder nicht. Allen Szenarien ist gleich, dass sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen. Im Wesentlichen können vier Methoden unterschieden werden:
– Ausprobieren: Werden Pseudonyme auf Grundlage von überschaubaren Identitätsdaten erstellt, können bei Verwendung einer mathematischen Zuordnungsregel alle möglichen Identitätsdaten ausprobiert werden, bis die Identität zu einem Pseudonym aufgedeckt wurde. – Aussondern („singling out“, „herausgreifen“): Aus den nach der Pseudonymisierung noch enthaltenen Daten können gegebenenfalls durch die Kombination mehrerer Merkmale einzelne Personen identifiziert werden, weil ihre Merkmalskombination einmalig ist. – Verknüpfen („linking“, „verketten“): Die pseudonymisierten Daten können mit anderen Datensätzen verknüpft werden, wodurch eine Identifizierung von Personen ermöglicht wird. – Schlussfolgerungen („inferring“): Mit zusätzlichem Wissen können aus den pseudonymisierten Daten Rückschlüsse auf betroffene Personen gezogen werden – z.B. aus dem Notenspiegel einer Schulklasse ohne Einsen kann geschlussfolgert werden, dass ein bestimmter Schüler auch keine sehr gute Note hat.
Für alle diese Risiken gibt es Gegenmaßnahmen wie z.B. die Generalisierung von Daten bis hin zum Verfälschen oder Hinzufügen von fiktiven Daten, die allerdings die Datenqualität reduzieren können. Die Maßnahmen müssen folglich abhängig vom Zweck der Verarbeitung gewählt werden.
Ein weiteres Risiko der Pseudonymisierung liegt im bereits erwähnten Homonymfehler, also der Zuweisung des gleichen Pseudonyms an zwei unterschiedliche Personen. In diesem Fall verlieren die pseudonymisierten Daten Integrität und bei einer Zuordnung der Pseudonym-Daten zu einer betroffenen Person durch die verantwortliche Stelle (z.B. bei einem Auskunftsersuchen) werden fremde Informationen preisgegeben. Dieses Risiko kann durch die geeignete Wahl eines Pseudonymisierungsverfahrens verringert oder sogar ausgeschlossen werden.
Erwähnt werden soll an dieser Stelle, dass die Weiternutzung pseudonymisierter Daten nach Erreichen der damit verbundenen Zwecke und Wegfall der Erforderlichkeit nicht durch einfaches Löschen der Pseudonyme ermöglicht werden kann. Eine Anonymisierung ist in der Regel nicht durch das Entfernen der Zuordnung oder der Pseudonyme zu erreichen, sondern muss als eigenständiges Verfahren erfolgen, für das spezielle Anforderungen der Anonymisierung gelten.
IV. Verfahren der Pseudonymisierung
In vielen Anwendungsfällen werden Daten pseudonymisiert, um die Datensätze für statistische oder wissenschaftliche Auswertungen weiter zu nutzen, ohne einen direkten Personenbezug herzustellen. Die Verkettbarkeit der Datensätze kann für diesen Zweck wichtig sein, doch können abhängig vom Kontext dabei unterschiedliche Arten von Pseudonymen zum Einsatz kommen.
Die Stärke des Schutzes mithilfe einer Pseudonymisierung oder anderen Identitätsverschleierungen hängt davon ab, wie hoch die Kosten sowie der Zeitaufwand für eine direkte oder indirekte Zuordnung zu Personen durch Dritte einzuschätzen sind. Organisatorisch kann das Schutzniveau durch eine besondere Trennung der eigentlichen Datenverarbeitung von der Erstellung der Pseudonyme – z.B. durch unabhängige Dritte – erhöht werden. Zudem können unterschiedliche technische Verfahren zur Erstellung von Pseudonymen gewählt werden, die die Stärke des Schutzes vor einer Identifizierung der betroffenen Personen beeinflussen können. Dazu ist ein besonderes Augenmerk auf mögliche Fehler und Unzulänglichkeiten der Datenverarbeitung im Zusammenhang mit der Pseudonymisierung und den Umgang mit pseudonymisierten Daten zu legen, beispielsweise das Beibehalten von Quasi-Identifikatoren, die Verwendung von verkettungsermöglichenden Daten oder eine unzureichende Berücksichtigung von Hintergrundwissen oder Auffälligkeiten im Datenbestand, die das Risiko einer etwaigen Zuordenbarkeit erhöhen.
1. Erstellung von Pseudonymen
Die Zuordnung eines Pseudonyms zu einem Datensatz kann auf unterschiedliche Weisen erfolgen. Generell stehen zwei Verfahren zu Verfügung: eine Pseudonym-Erstellung in Listen oder durch ein Berechnungsverfahren. Beiden gemein ist, dass man nur in Kenntnis der Liste bzw. des Berechnungsverfahrens ein Pseudonym einer Person zuordnen können darf und aufgrund der Möglichkeit der Zuordnung diese zusätzlichen Informationen gesondert aufzubewahren und durch technische und organisatorische Maßnahmen zu schützen sind.
Besonders zu beachten ist außerdem für die meisten Anwendungsfälle, dass die Zuweisung eines Pseudonyms an zwei unterschiedliche Personen zu vermeiden ist. So wäre auszuschließen, dass ein Auskunftsersuchen einer der beiden Personen zu einer Preisgabe der Daten der anderen Person führen kann.
2. Pseudonym-Erstellung in Listen
Bei einer Pseudonym-Erstellung in Listen werden Identitätsdaten anhand einer Tabelle Pseudonymen zugeordnet (siehe Abb. 2). Bei der Pseudonymisierung muss der Verantwortliche darauf achten, dass die Pseudonyme dabei keinen inhaltlichen oder funktionalen Bezug zu den Identitätsdaten haben. Ein Durchnummerieren der Pseudonyme ist dabei nicht zu empfehlen, da ggf. aus dem Pseudonym Informationen ableitbar sind wie der Zeitpunkt der Aufnahme in die Datenbank oder die Position im Alphabet. Beides kann die Identifizierung für unbefugte Dritte erleichtern.
Zufällig vergebene Pseudonyme vermeiden dieses Risiko, allerdings sind auf diesem Weg Homonymfehler möglich, d.h. zwei unterschiedlichen Identitäten wird zufällig das gleiche Pseudonym zugewiesen. Um dies auszuschließen, kann es sinnvoll sein, vor der Neuvergabe eines Pseudonyms zu prüfen, ob es neu ist. Ist dies nicht möglich, muss die Länge der Pseudonyme so gewählt werden, dass derlei Fehler sehr unwahrscheinlich sind.
Sollen die Nutzenden eines Systems selbst ihre Pseudonyme wählen, ist dabei zu beachten, dass ein inhaltlicher Bezug zwischen Pseudonym und Identitätsdaten vonseiten des Verantwortlichen, der die pseudonymisierten Daten verarbeitet, nicht ausgeschlossen werden kann. Selbst wenn der Verantwortliche die Nutzenden über solche Identifizierungsrisiken informiert, kann er nicht sicher sein, dass die strengen Vorgaben an die Pseudonymisierung erfüllt werden. Hierbei handelt es sich in der Regel nicht um eine Pseudonymisierung gemäß DS-GVO.
3. Pseudonym-Erstellung durch Berechnungsverfahren
Ein anderer Weg der Pseudonym-Erstellung ist die Zuordnung des Pseudonyms durch ein Berechnungsverfahren. Hierbei entfällt das Speichern einer Tabelle mit den Zuordnungen von Identitätsdaten zu Pseudonymen. Da allerdings sichergestellt werden muss, dass nicht auch Dritte aus den Identitätsdaten das Pseudonym berechnen können, muss das Verfahren abgesichert werden, z.B. mit einem geheimen kryptographischen Schlüssel.
Daher bietet sich als eine Form der Pseudonymisierung die Verwendung eines Blockchiffrieralgorithmus an, mit dem aus dem Schlüssel und den Identitätsdaten ein Pseudonym berechnet wird. Auch eine kryptographische Prüfsumme der Identitätsdaten kann für die Erzeugung eines Pseudonyms genutzt werden. Bei beiden Techniken ist darauf zu achten, dass der Stand der Technik beachtet wird und z.B. ein ausreichend langer Schlüssel verwendet wird. Maßgeblich muss auch hier sein, die erwartbare technische Entwicklung zu berücksichtigen. Insbesondere muss das Verfahren gegen Aufzählungsangriffe gesichert sein. Das sind Angriffe, bei denen so lange Identitätsdaten als Eingabe der Berechnungsfunktion ausprobiert werden, bis die Identitätsdaten zu einem vorhandenen Pseudonym gefunden wurden. Wird zum Beispiel das Pseudonym mithilfe einer Einweg-Funktion (Hash-Funktion) lediglich aus einer Telefonnummer berechnet, kann aus dem Pseudonym zwar nicht unmittelbar die Telefonnummer ermittelt werden, jedoch lässt sich leicht für jede mögliche Telefonnummer das zugehörige Pseudonym berechnen. Mit der so erstellten Liste (Rainbow-Table) ließe sich ein zuvor unbekanntes Pseudonym einer Telefonnummer zuordnen. Dieser Angriff ist für jeden beschränkten Wertebereich möglich. Eine verschlüsselte Hash-Funktion, bei dem ein geheim zu haltender Parameter (Salt-Wert) einfließt, kann diese Gefahr verringern.
V. Ausblick
Pseudonymisierung ist ein wichtiges Instrument in der Datenschutz-Grundverordnung zum Schutz der betroffenen Personen. Allerdings wird dieser Schutz nicht von jedem Verfahren der Pseudonym-Erstellung erreicht. Um die Spreu vom Weizen zu trennen und das Mittel der Pseudonymisierung einfach und rechtssicher in der Praxis nutzbar zu machen, können Best-Practice-Ansätze und Standardisierungen von technischen Methoden und organisatorischen Einbettungen in die Abläufe der Verantwortlichen helfen. Der Nutzen starker, etablierter Verfahren der Pseudonymisierung wird zukünftig sowohl in dem erhöhten Schutz der betroffenen Personen liegen als auch in den Ermöglichungs- und Erleichterungsfunktionen einer Weiterverarbeitung pseudonymisierter personenbezogener Daten, zum Beispiel für statistische Zwecke.