DA+

Aufsatz : Ein Entwurf für einen Code of Conduct zum Einsatz DS-GVO-konformer Pseudonymisierung : aus der RDV 2/2020, Seite 71 bis 75

Die Pseudonymisierung personenbezogener Daten ist mangels gesetzlicher Konkretisierungen von unterschiedlichen und voneinander unabhängigen Ansätzen seitens Verantwortlichen oder Auftragsverarbeitern geprägt. Der Beitrag widmet sich einer Initiative der Fokusgruppe Datenschutz des Digital-Gipfels der Bundesregierung, um mittels eines Codes of Conduct die Pseudonymisierung anhand transparenter und standardisierter Vorgaben durchzuführen.

I. Die Pseudonymisierung in der DS-GVO

Die Pseudonymisierung personenbezogener Daten hat einen hohen Wiedererkennungswert in der Datenschutz-Grundverordnung: Sie tritt beispielsweise im Rahmen der kompatiblen Weiterverarbeitung über Art. 6 Abs. 4 DS-GVO in Erscheinung. Gleichzeitig wird sie bei den technisch-organisatorischen Maßnahmen zur Wahrung von Privacy by Design/by Default gem. Art. 25 DS-GVO genannt. Aber auch im Zuge der Meldepflichten von Datenschutzverletzungen gem. Art. 33/34 DSGVO sowie als eine Maßnahme zur Datensicherheit gem. Art. 32 DS-GVO erfährt sie eine gesetzliche Erwähnung ebenso, wie im Zuge der Öffnungsklausel des Art. 89 Abs. 1 DS-GVO. Die Definition der Pseudonymisierung über Art. 4 Nr. 5 DSGVO als eine Verarbeitung personenbezogener Daten in der Weise, dass ohne die Hinzuziehung von zusätzlichen Informationen eine Zuordnung dieser Daten zu einem Betroffenen nicht möglich ist, soweit diese zusätzlichen Informationen getrennt verarbeitet werden und technisch-organisatorischen Maßnahmen zum Schutz vor einer Zuordnung zu einer identifizierten oder identifizierbaren Person implementiert sind, offenbart erste Anforderungen an diese Rechtsfigur. Fundamentale Änderungen zur Rechtslage im BDSG a.F. sind mit dieser Definition nicht einhergegangen. Immerhin gehen DS-GVO und BDSG a.F.[1] von einem Zustand der anonymen Datenverarbeitung aus, nachdem Klartextdaten einer Pseudonymisierung unterzogen wurden. Mit Blick auf die Grundverordnung dürften sich die Pseudonymisierung und die Anonymisierung im Wesentlich dadurch unterscheiden, dass bei der Pseudonymisierung die Möglichkeit der Re-Identifizierung besteht, während die Anonymisierung ein Verarbeitungsvorgang „ohne Wiederkehr“ ist.[2]

Abseits der gesetzlichen Definition und der exemplarischen Erwähnung finden sich in der Grundverordnung keine konkretisierenden Hinweise zur Pseudonymisierung. Weder zu Fragen ihrer technischen Erstellung noch zu den notwendigen technisch-organisatorischen Maßnahmen zur Absicherung der „zusätzlichen Informationen“.

II. Ein Code of Conduct für die Pseudonymisierung

Fehlen gesetzliche Konkretisierungen, müssen Rechtsanwender bzw. die operativ mit dem Datenschutz betrauten Stellen für Rechtssicherheit sorgen. Dies kann wesentlich durch das Erarbeiten gemeinsamer Standards erfolgen, die einzelne Ansätze harmonisieren und Vorgaben oder Richtlinien einer breiten Öffentlichkeit in transparenter Weise zugänglich machen. Hier können Codes of Conduct einen wichtigen Beitrag leisten, in dem sie eine Sammlung von Verhaltensweisen darstellen, die in unterschiedlichsten Umgebungen und Zusammenhängen abhängig von der jeweiligen Situation angewandt werden können bzw. sollen.[3] Dabei sollen – ausweislich der Grundverordnung – die „Besonderheiten“ einer Verarbeitung berücksichtigt werden.[4] Oder anders gesagt: Die in der DS-GVO nur unpräzise geregelten Rechtsfragen sollen für den konkreten Fall einer Institution oder einer Kategorie von Datenverarbeitern präzisiert worden.[5]

Um dem Wunsch eines standardisierten Vorgehens bei der Pseudonymisierung personenbezogener Daten nachzugehen, wurde im Zuge des Digital-Gipfels der Bundesregierung seitens der Fokusgruppe Datenschutz der Plattform 9 „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ die Entscheidung getroffen, einen Entwurf für einen Code of Conduct (CoC) zum Einsatz DS-GVO konformer Pseudonymisierung zu veröffentlichen.[6] Der Code basiert auf den Vorarbeiten der Gruppe in Gestalt eines Whitepapers[7] sowie darauf basierender Anforderungen an den Einsatz von Pseudonymisierungslösungen.[8] Der CoC wird im Folgenden einer Betrachtung unterzogen werden.

1. Anwendungsbereich

Der CoC soll für Verantwortliche und Auftragsverarbeiter unabhängig ihres Sektors gelten. D.h. er beinhaltet universale, nicht sektorspezifische Anforderungen an datenverarbeitende Stellen, die eine Pseudonymisierung durchführen wollen, eine solche verantworten oder Produkte einsetzen, die die Anforderungen des Codes einhalten.[9]

Sollten Verantwortliche in ihren Diensten oder Produkten pseudonymisierte Daten einsetzen, können sie dem CoC dergestalt beitreten, als dass damit der Nachweis erbracht wird, dass die verwendeten Pseudonyme nach den dort definierten Regeln erstellt wurden. Der Code verpflichtet dabei nicht den Verantwortlichen oder Auftragsverarbeiter, jede Verarbeitung von pseudonymisierten Daten seinem Anwendungsbereich zu unterwerfen. Dem Betroffenen ist jedoch die jeweilige Einbeziehung des Codes kenntlich zu machen.[10]

2. Der Fachverantwortliche für Pseudonymisierung

Pseudonymisierungsprozesse innerhalb einer Stelle bedürfen einer Aufsichts- und Beratungsinstanz, die sich für die ordnungsgemäße Durchführung erforderlicher Maßnahmen verantwortlich zeigt. Hierzu führt der Code die Figur des Fachverantwortlichen für Pseudonymisierung (FvfP) ein. Der FvfP koordiniert lediglich die organisatorischen Verantwortlichkeiten im Zuge einer Pseudonymisierung. Eine Verantwortlichkeit für die datenschutzrechtliche Zulässigkeit einer Datenverarbeitung geht damit nicht einher. Diese organisatorische lediglich „interne Verantwortlichkeit“ muss dabei nicht zwingend einer einzelnen Person zugeordnet werden. Auch Abteilungen können diese Rolle einnehmen, wobei die konkrete Ausgestaltung von Zuständigkeiten zwingend zu dokumentieren ist.[11] Der CoC versucht damit dem Umstand Rechnung zu tragen, dass Zuständigkeiten innerhalb einer datenverarbeitenden Stelle oftmals unterschiedlich verteilt sind. Gleichzeitig soll eine Verantwortlichkeit explizit auf die Pseudonymisierung bezogen werden, was in der Vergangenheit regelmäßig nicht ausdrücklich erfolgte, sondern in anderen Funktionen aufging. Zu begründen ist dies beispielsweise mit der Komplexität der Pseudonymisierung. Der Datenschutzbeauftragte kann dabei nicht die Rolle des FvfP einnehmen, da dies zu einem Interessenskonflikt mit seinen gesetzlich zugewiesenen Aufgaben führen würde, denn mit der Funktion des FvfP ist eine organisatorische Verantwortlichkeit verbunden, die nicht mit den Aufgaben des Datenschutzbeauftragen in Einklang zu bringen wäre (vgl. Art. 38 Abs. 6 S. 2 DS-GVO).

3. Die Festlegung der geeigneten Pseudonymisierung

Ein wesentliches Anliegen des CoC besteht darin, die Entscheidungsfindung eines Verantwortlichen oder Auftragsverarbeiters zu einer gewählten Pseudonymsierungsmethode transparent zu machen und hierbei entsprechende Kriterien vorzugeben. Als universaler Code of Conduct für die Pseudonymisierung können die konkreten Umstände einer Pseudonymsierung und Gründe für ihren Einsatz nicht vorausgesehen werden. Folglich kann eine Pseudonymisierungsmethode auch nicht abschließend durch einen CoC vorgegeben, sondern allenfalls empfohlen werden (vgl. II. 9.).

Zu den für die Ermittlung einer geeigneten Pseudonymisierungsmethode relevanten Kriterien gehören u.a. die Art und Risikoklasse der verarbeiteten personenbezogenen Daten, der Zweck der Verarbeitung sowie der Kontext der Pseudonymisierung, wobei dieser in rechtlicher Hinsicht gemeint ist. Die Durchführung einer Pseudonymisierung im Zuge einer Zweckänderung der Datenverarbeitung (vgl. Art. 6 Abs. 4 DS-GVO) kann eine andere Methode notwendig machen, als beispielsweise die Pseudonymisierung als rein technisch-organisatorische Maßnahmen gem. Art. 32 DS-GVO. An dieser Stelle wird deutlich, dass die Pseudonymisierung nur Teil einer Zulässigkeitsprüfung ist und eine Datenverarbeitung nur durch das Vorhandensein einer Pseudonymisierung nicht legitimiert werden kann.[12]

Ebenfalls müssen Verantwortliche oder Auftragsverarbeiter die erwartete Anzahl der verarbeiteten Datensätze berücksichtigen, bevor eine konkrete Pseudonyisierungmethode festgelegt wird. Dies sollte auch eine etwaige Dynamik beim Datenumfang berücksichtigen. Klassische Listenverfahren zur Erstellung von Pseudonymen eignen sich beispielsweise nicht für eine große Anzahl von Daten.

4. Geeignete Pseudonymisierugnsmethoden

Wie bereits erwähnt, vermeidet der CoC die Vorgabe einer bestimmten einzusetzenden Pseudonymisierungsmethode. Im Kontext der Auswahl einer Methode auf Basis der zu prüfenden Kriterien[13] erfolgt hingegen eine allgemeine Beschreibung verschiedener Arten von Pseudonymen, um den Anwender bei der Auswahl einer Methode zu unterstützen. Hierzu zählen:

  • Personen-Pseudonyme, die an Stelle von Identitätsdaten wie z.B. Name, Ausweisnummer oder Mobiltelefonnummer stehen
  • Rollen-Pseudonyme, bei denen eine oder ggf. mehrere Personen einem Pseudonym zugeordnet sind (z.B. IPNummer)
  • Beziehungs-Pseudonyme, bei denen eine Person für jede (Kommunikations-) Beziehung ein anderes Pseudonym verwendet, z.B. unterschiedliche Spitznamen
  • Rollen-Beziehungs-Pseudonyme, die eine Kombination der beiden Pseudonym-Arten sind
  • Wechselnde Pseudonyme, bei denen z.B. für jede Transaktion oder jeden Eintrag ein neues Pseudonym genutzt wird, was z.B. beim Online-Banking zum Einsatz kommt.

Um dem Prinzip der Datenminimierung ausreichend Rechnung zu tragen, ist bei der Auswahl einer geeigneten Pseudonymisierungsart ein Verfahren vorzuziehen, das für den vorgesehenen Einsatzzweck geeignet ist, Betroffene aber gleichzeitig in größtmöglichem Umfang vor einer ungewollten Identifizierung schützt.[14]

Bei der konkreten Festlegung einer Methode stehen Anwendern grundsätzlich zwei Verfahren zur Verfügung: Pseudonymisierungslisten und Pseudonyme durch Berechnungsverfahren.[15] Pseudonymisierungslisten ordnen Identitätsdaten anhand einer Tabelle Pseudonymen zu. Im Rahmen von Berechnungsverfahren werden Pseudonyme aus Identitätsdaten algorithmisch berechnet. Die Stärke einer gewählten Methode muss ausweislich des Codes of Conduct unter Berücksichtigung aller objektiven Faktoren, Risiken für die Rechte und Freiheiten Betroffener sowie auch den Kosten einer Identifizierung bzw. der hierfür erforderliche Zeitaufwand unter Berücksichtigung der verfügbaren Technologien geprüft, festgelegt und dokumentiert werden.[16] Hier bietet es sich an, auf weitere technische Beschreibungen zu rekurrieren, die insbesondere Risiken bei der Erstellung von Pseudonymen adressieren und den Abwägungsprozess unterstützen.[17]

Grundsätzlich müssen Berechnungsverfahren einem Stateof-the-Art-Transformationsverfahren zugrunde liegen. Aus Gründen des praktischen Einsatzes sollte ebenfalls eine effiziente Selektion und Löschung der Daten möglich sein. Unabhängig von der gewählten Methode hat eine Pseudonymisierung so früh wie möglich zu erfolgen[18] (vgl. auch Art. 5 Abs. 1 lit. c DS-GVO). Darüber hinaus spielt die Häufigkeit einer Re-Identifizierung eine Rolle bei der Auswahl einer geeigneten Pseudonymisierungsmethode.[19] Mit Blick auf die Aufsichts- und Beratungsfunktion des FvfP spielen Erkenntnisse über die Anzahl durchgeführter Re-Identifizierungen und die dabei eingehaltene Verzögerungstoleranzen eine Rolle bei der Evaluierung gewählter Methoden und Verfahren.

Abseits der Prüfkriterien zur Ermittlung einer geeigneten Pseudonymisierungsmethode enthält der CoC ferner allgemeine „Checkpoints“, die bei der Pseudonymisierung zu berücksichtigen sind. Hintergrund hierfür ist zum einen der Umstand, dass es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt[20], so dass der Umstand einer Übermittlung personenbezogener Daten an Dritte[21] ebenso eine datenschutzrechtliche Implikation hat, wie die Übermittlung solcher Daten an Dritte in ein Drittland[22], eine Pflicht zur regelmäßigen Überprüfung der Erforderlichkeit der Verarbeitung[23], bestehende Informationspflichten gegenüber Betroffenen[24] oder etwaige Mitteilungspflichten gegenüber Aufsichtsbehörden in besonderen Fällen.[25]

5. Risikoadäquates Rechte- und Rollenkonzept

Ein Rechte- und Rollenkonzept ist Teil der gesetzlich vorgesehenen technisch-organisatorischen Maßnahmen zum Schutz der „zusätzlichen Informationen“, aber auch beachtenswert im Zuge des Schutzes von Pseudonymen. Durch ein Rechte- und Rollenkonzept wird fundamental die Zugriffsmöglichkeit auf Schlüssel oder Geheimnisse zur Re-Identifizierung Betroffener ebenso geregelt, wie der Zugriff auf erzeugte Pseudonyme bzw. der vorgelagerte Vorgang ihrer Erzeugung.

Die DS-GVO zeigt sich flexibel, was eine Rollenverteilung bei der Pseudonymisierung anbelangt. Insofern sieht sie ausdrücklich eine Pseudonymisierungsmöglichkeit bei demselben Verantwortlichen vor.[26] Besagte Rollenverteilung ist in der Praxis jedoch wesentlich komplexer ausgestaltet, weshalb der CoC die unterschiedlichen Beteiligten einer Pseudonymisierung über ein eigenes Kapitel adressiert. Hierbei hat die Rollenverteilung und die Berechtigungsvergabe das Risiko für Rechte und Freiheiten Betroffener zu berücksichtigen.[27] D.h. nach den Vorgaben des CoC ist das gesetzlich vorhandene Wahlrecht des Datenverarbeiters an dieser Vorgabe auszurichten. Der Code unterscheidet im Wesentlichen zwischen drei Modellen:

  • „Alles-in-einer-Hand-Modell“: Der Verantwortliche oder Auftragsverarbeiter verfügt sowohl über die pseudonymisierten Daten als auch über die jederzeitige Möglichkeit der Re-Identifizierung. Hier müssen zumindest interne Vorgaben bestehen, aus denen sich eine Unterscheidung zwischen unzulässigen von zulässigen Re-Identifizierungen für Anwender ergeben kann. Ferner ergeben sich – je nach Risiko für Betroffene – Anforderungen an ein internes Rechte- und Rollenkonzept.
  • Treuhändermodell: Beim klassischen Treuhändermodell besteht eine Vertrauensstelle, die räumlich und organisatorisch unabhängig vom Verantwortlichen oder Auftragsverarbeiter ist. Ob besagter Treuhänder bspw. mit der Schlüsselverwaltung als Ausprägung einer „zusätzlichen Information“ oder der Verarbeitung pseudonymisierten Daten betraut ist, unterliegt den Erwägungen des Verantwortlichen bzw. Auftragsverarbeiters. Beim Modell des Treuhänders können unterschiedliche Anforderungen an eine Re-Identifizierung von Betroffenen bestehen. Z.B. kann ein Treuhänder vorab der Verarbeitung in definierten Fällen mit der Re-Identifizierung beauftragt werden (ex ante). Ebenso kann eine ReIdentifizierung auf Basis einer Abwägung des Treuhänders selbst erfolgen, die nicht durch zuvor definierte Zwecke beschränkt ist, jedoch einer vorherigen Festlegung diesbezüglich geltender Kriterien bedarf (ad hoc). Letztlich ist auch eine Re-Identifizierung ex post denkbar, in der ein Treuhänder über Aufdeckungen im Nachgang informiert wird und er darauf basierend ggf. zusätzlich Schutzmaßnahmen ergreift.
  • Mischmodelle adressieren die Trennung von pseudonymisierten Daten beim Verantwortlichen selbst, allerdings werden Informationen hinsichtlich der pseudonymisierten Daten über mehrere Hierarchieebenen oder unabhängige Abteilungen verteilt. Hierbei ist in größeren Organisationen der Aufbau einer eigenen vertrauenswürdigen „dritten Partei“ denkbar, welche die getrennte Verwaltung der Daten und/oder Geheimnisse bzw. Schlüssel intern anbietet.

6. Vorgaben an die Re-Identifizierung

Der Pseudonymisierung personenbezogener Daten ist die Re-Identifizierung von Betroffenen immanent. Der CoC fordert insofern die Erarbeitung diesbezüglicher Vorgaben, sollte eine solche seitens eines Verantwortlichen oder Auftragsverarbeiters bezweckt sein. Die Zulässigkeit der Aufdeckung eines Pseudonyms ist hierbei abhängig vom rechtlichen Kontext der Verarbeitung. Mit Ausnahme der Pseudonymisierung als reine Schutzmaßnahme gem. Art. 32 DS-GVO hat sich der Verantwortliche die Frage zu stellen, ob die Rückführung in seinem Interesse oder in dem des Betroffenen erfolgen soll. Hiernach beurteilt sich die einschlägige Rechtsgrundlage.[28] Bei dynamischen Datensätzen ist im Übrigen regelmäßig zu prüfen, ob durch die Dynamik eine Re-Identifizierung von Betroffenen möglich ist.[29]

7. Geplante Weitergaben an Dritte

Die Zulässigkeit einer Weitergabe personenbezogener Daten an Dritte stellt eine allgemeine Prüfpflicht aus datenschutzrechtlicher Sicht dar. Der CoC konkretisiert diese Prüfpflicht im Zuge einer Übermittlung pseudonymisierter Daten. Hierbei fordert er angemessene Maßnahmen, so dass eine unzulässige Re-Identifizierung von Betroffenen im Zuge der Weitergabe möglichst ausgeschlossen ist. Zu eine dieser Maßnahmen aus organisatorischer Sicht können Bestätigungen in Schrift- oder Textform seitens des Datenempfängers gezählt werden, dass eine Re-Identifizierung nicht erfolgt. Fraglich ist, ob einer datenübermittelnden Stelle weitergehende Pflichten auferlegt werden sollen, immerhin entsteht im Zuge der Übermittlung regelmäßig eine neue Verantwortlichkeit für die Daten. Die datenübermittelnde Stelle hat grundsätzlich wenig Einsicht in eine Datenverarbeitung auf Seiten des Empfängers. Die bei einer Auftragsverarbeitung bestehenden Prüfpflichten beziehen sich auf technisch-organisatorische Maßnahmen, wobei die weisungsgebundene Datenverarbeitung eine der Kernpflichten des Auftragsverarbeiters ist. Besagte Pflichten beziehen damit regelmäßig nicht auf ein „Zusatzwissen“ beim Datenempfänger. Der CoC entscheidet sich für die Vorgabe, dass die Datenweitergabe von einer Rechtsgrundlage abgedeckt sein muss. Zum anderen sind angemessene Maßnahmen zu treffen, um eine unzulässige Re-Identifizierung von Betroffenen durch den Empfänger möglichst auszuschließen. Dies beinhaltet ausweislich der Erläuterungen eine Prüfpflicht zumindest bezogen auf offensichtliche Identifizierungsmöglichkeiten auf Seiten des Empfängers, die bei deren Vorliegen durch ergänzende Maßnahmen begleitet werden müssen.[30]

8. Dokumentation und regelmäßige Evaluation der Prozesse, Abwägungen und tatsächlichen Maßnahmen

Ein wesentliches Anliegen des CoC stellt die besagte Transparenz in der Entscheidungsfindung als Bestandteil gesetzlich bestehender Rechenschaftspflichten dar. Der CoC bündelt die Kontrolle bzw. Überprüfung der Entscheidungsfindung sowie hiervon abgeleitete Maßnahmen beim FvfP. Hierdurch soll der FvfP einerseits in der Lage sein

  • den Prozess oder die Maßnahme hinsichtlich der Wirksamkeit zu bewerten;
  • die Implementierung der Prozesse oder der getroffenen Maßnahmen zu verifizieren;
  • die Einhaltung der Prozesse oder der getroffenen Maßnahmen zu evaluieren.

Andererseits sollen der FvfP und alle mit der Umsetzung betrauten Personen in der Lage sein, den Prozess oder die Maßnahme zu verstehen und entsprechend der definierten Vorgaben umzusetzen.

Im Zuge der Entscheidungsfindung für eine geeignete Pseudonymisierungsmethode sind getroffene Abwägungen ebenfalls zu dokumentieren, wobei diese unter den Aspekten Stand der Technik sowie Zweckkonformität regelmäßig zu überprüfen sind. Freilich sind hierbei wesentlich die Vorgaben des CoC in die Abwägung einzubeziehen. Durch den Dokumentationsprozess werden Verantwortliche oder Auftragsverarbeiter gezwungen sein, sämtliche Anforderungen des CoC systematisch abzuarbeiten. Ferner wird es anderem Kontrollinstanzen in Organisationen dadurch ermöglicht, Kontrollhandlungen zur Pseudonymisierung vorzunehmen.[31]

9. Technische Fragen

Da einer Pseudonymisierung in vielen Fällen ein technischer Vorgang innewohnt, befasst sich der CoC dementsprechend mit den technischen Anforderungen an die Pseudonymisierung. Den Einstieg bilden allgemeine Anforderungen, die eine Rückkopplung mit dem FvfP auch hinsichtlich technischer Belange erfordern. Wichtig ist hierbei wiederum, dass es auch aus technischer Sicht nicht nur eine Pseudonymisierungsmethode zur Erreichung der Ziele einer Organisation gibt. Die gemeinsame Schnittmenge von Berechnungsverfahren zur Erstellung von Pseudonymen sowie den klassischen Listenverfahren bildet jedoch eine erzeugte ID: Daher beinhaltet der CoC allgemeine Anforderungen an solche IDs.[32] Diese Anforderungen werden durch spezifische Hinweise im Rahmen des Einsatzes von Berechnungsverfahren ergänzt.[33] Die ausgesprochene Empfehlung der Verwendung von kryptographischen Hash-Funktionen oder eines symmetrischen Blockchiffreverfahrens ist ein spezifischer Verweis auf eine bestimmte Technik der Erstellung eines Pseudonyms, vermeidet jedoch die Formulierung eine entsprechende Vorgabe. Bei der Verwendung von Hash-Funktionen bestehen im Übrigen verschiedene Empfehlungen, die an dieser Stelle nur exemplarisch genannt werden sollen.[34]

III. Fazit

Lässt man die Bemühungen der Fokusgruppe Datenschutz zur Erarbeitung eines CoC für die Pseudonymisierung Revue passieren, ist auffällig, dass sich der CoC als Querschnittsdokument wie ein roter Faden durch alle Aspekte einer Pseudonymisierung zieht. Er leistet seinen Beitrag als ein Leitfaden für Anwender der Pseudonymisierung unabhängig von ihrer Branche. Möchten Anwender wissen, ob das eingesetzte Pseudonymisierungsverfahren datenschutzkonform ist, werden sie im CoC keine Antwort hierzu finden. Denn die jeweiligen Umstände einer Datenverarbeitung sind zu spezifisch, als dass sie in einem CoC abschließend beurteilt werden könnten. Daher ist es für die Rechtsfortbildung umso wichtiger, dass „Insellösungen“ für eine Pseudonymisierung personenbezogener Daten weiterentwickelt werden und sich an sektorspezifischen Anforderungen ausrichten. Daher ist für die Finalisierung dieses CoC zur Pseudonymisierung geplant, sog. „Good Practices“ aufzunehmen, die bezogen auf spezifische Verarbeitungszwecke und -kontexte den Prozess der Pseudonymisierung anhand der Vorgaben des CoC beschreiben. Sollten diese Good Practices sodann um Governance- und Monitoring-Prozesse erweitert werden, steht eine Vorlage bei einer zuständigen Aufsichtsbehörde nichts mehr im Wege. Auch dies ist durch die Verfasser des CoC vorgesehen.

Prof. Dr. Rolf Schwartmann Kölner Forschungsstelle für Medienrecht der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

 

RA Steffen Weiß, LL. M. Mitglied der Geschäftsführung für Internationales bei der Gesellschaft für Datenschutz und Datensicherheit e.V. und Sherpa der Fokusgruppe Datenschutz im Rahmen des Digital-Gipfels der Bundesregierung.

[1] Vgl. § 3 Abs. 6a BDSG a.F

[2] Zur Abgrenzung vgl. Schwartmann/Weiß (Hrsg.), Whitepaper zur Pseudonymisierung der Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels 2017 – Leitlinien für die rechtssichere Nutzung von Pseudonymisierungslösungen unter Berücksichtigung der DatenschutzGrundverordnung, Ziff. 3.2.

[3] Vgl. https://de.wikipedia.org/wiki/Verhaltenskodex. Eine gesetzliche Definition existiert insofern nicht.

[4] Vgl. Art. 40 Abs. 1

[5] Vgl. Reifert, ZD 2019, 305 (306).

[6] Schwartmann/Weiß (Hrsg.), Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung – ein Arbeitspapier der Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels 2019.

[7] Schwartmann/Weiß (Hrsg.), Whitepaper zur Pseudonymisierung a.a.O

[8] Schwartmann/Weiß (Hrsg.), Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen – ein Arbeitspapier der Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels 2018.

[9] Vgl. CoC, Ziff. 1.1.

[10] Vgl. CoC, Ziff. 1.1.

[11] Vgl. CoC, Ziff. 2.1.1.

[12] Vgl. Hansen/Walczak, RDV 2019,

[13] CoC, Ziff. 2.1.2.1.-2.1.2.4.

[14] CoC, Ziff. 2.1.2.5.

[15] Vgl. Schwartmann/Weiß (Hrsg.), Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen a.a.O., D.2.2.

[16] CoC, Ziff. 2.1.2.6.

[17] Vgl. bspw. European Union Agency for Cybersecurity, Pseudonymisation techniques and best practices – Recommendations on shaping technology according to data protection and privacy provisions (November 2019); Schwartmann/Weiß (Hrsg.), Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen a.a.O., D.2.2. ff.

[18] CoC, Ziff. 2.1.2.5.

[19] CoC, Ziff. 2.1.2.9

[20] Vgl. ErwG 26 S. 2.

[21] CoC, Ziff. 2.1.2.7. sowie II. 7.

[22] CoC, Ziff. 2.1.2.8.

[23] CoC, Ziff. 2.1.7.

[24] CoC, Ziff. 2.1.5.

[25] CoC, Ziff. 2.1.8

[26] ErwG 29 S. 1.

[27] CoC, Ziff. 2.1.3.

[28] Vgl. CoC, Ziff. 2.1.4.

[29] CoC, Ziff. 2.1.4.

[30] CoC, Ziff. 2.1.7.

[31] Vgl. CoC Ziff. 2.1.92.

[32] Vgl. Ziff. 2.2.2.

[33] Vgl. CoC Ziff. 2.2.3.

[34] Agencia Española de Protección de Datos/European Data Protection Supervisor, Introduction to the hash function as a personal data pseudonymisation technique (Oktober 2019).