Anonymisierungstechniken, bei denen auch die materiell-rechtlichen Voraussetzungen der DS-GVO im Hinblick auf eine Nicht-Identifizierbarkeit erfüllt sind. Diese Beispiele bieten wichtige Hilfestellungen für Rechtsanwender.
4. Verschlüsselte Daten
96
Die Verschlüsselung wird in ErwG 83 als eine Möglichkeit genannt, um das Risiko eines Datenmissbrauchs zu verhindern. Um verschlüsselte Daten handelt es sich dann, wenn personenbezogene Daten so abgelegt werden, dass sie nur mit Hilfe eines Schlüssels, in der Regel ein Passwort, wieder lesbar sind. Verschlüsselte Daten sind pseudonymisierte Daten, da sie jederzeit mit Hilfe des Schlüssels wieder lesbar gemacht werden können. Damit sind auch Daten, die, obwohl verschlüsselt, in der Cloud abgelegt sind, personenbezogene Daten.[229] Die Entschlüsselung der Daten kann durch den rechtmäßigen Schlüsselinhaber, als auch von einem unberechtigten Dritten erfolgen, der den Schlüssel unrechtmäßig verwendet. Insoweit hat die Verschlüsselung dem jeweiligen Stand der Technik zu entsprechen, um zumindest den bestmöglichen Schutz zu gewährleisten.[230]
5. Verfahren und technisch-organisatorische Anforderungen der Pseudonymisierung
97
Eine Pseudonymisierung von Daten erfolgt in der Regel dadurch, dass in einem Datenbestand das Identifizierungsmerkmal einer betroffenen Person (etwa der Name) durch ein Pseudonym ersetzt wird, das keinen Rückschluss auf den Betroffenen zulässt. Pseudonyme können eine Kennzahl oder auch eine Fantasiebezeichnung sein. Von einer Pseudonymisierung ist aber etwa auch dann auszugehen, wenn eine Datensammlung durch die Anwendung eines Algorithmus nur für denjenigen einen Personenbezug erkennbar macht, der über den dazu erforderlichen Algorithmus verfügt.[231]
98
Zur Umsetzung einer Pseudonymisierung können verschiedene Verfahren zum Einsatz kommen. So können bspw. Zuordnungstabellen bzw. Pseudonymisierungslisten verwendet werden, in der jedem Klartextdatum ein Pseudonym zugeordnet wird.[232] Alternativ können auch kryptographische (Berechnungs-)Verfahren eingesetzt werden, die jeweils ein Klartextdatum in ein Pseudonym umwandeln.[233] Die Sicherheit des Pseudonymisierungsverfahrens kann ferner dadurch erhöht werden, dass Mischverfahren zum Einsatz kommen, bei denen die Bildung von Pseudonymen durch mehrere unabhängige Stellen durchgeführt wird.[234]
99
Hinsichtlich der Anforderungen an Pseudonyme kann es bei der Verarbeitung erforderlich sein, dass die erzeugten pseudonymisierten Daten bestimmte Eigenschaften der zugrundliegenden Klartextdaten enthalten. Diese werden als Verfügbarkeitsanforderungen an eine Pseudonymisierung bezeichnet. Mögliche Verfügbarkeitsoptionen sind etwa die Aufdeckbarkeit des dem Pseudonym zugrundeliegenden Klartextes unter bestimmten Voraussetzungen sowie eine Verkettbarkeit hinsichtlich einer bestimmten Relation.[235] So kann z.B. für zwei Pseudonyme bestimmt werden, ob die zugrundeliegenden Klartexte in einem spezifischen Zusammenhang stehen. Darüber hinaus kommen eine Rollenbindung oder eine Zweckbindung als Verfügbarkeitsoption in Betracht.[236]
100
Die Pseudonymisierung kann auf rücknehmbare Weise anhand von Referenzlisten für Identitäten und ihren Pseudonymen oder sog. Zweiwege-Verschlüsselungsalgorithmen für die Pseudonymisierung erfolgen. Identitäten können auch so verschleiert werden, dass eine Reidentifizierung nicht mehr möglich ist, d.h. durch Einweg-Verschlüsselungen, wodurch gewöhnlich anonymisierte Daten entstehen.[237] Entscheidend ist stets, dass das gewählte Pseudonymisierungsverfahren dem gegenwärtigen Stand der Technik entspricht.[238]
6. Anwendungsszenarien zu Art und Verfahren der Pseudonymisierung
101
Eine Pflicht des Verantwortlichen zur Pseudonymisierung von personenbezogenen Daten kennt die DS-GVO nicht.[239] Der Anreiz für Unternehmen zur Pseudonymisierung liegt aber unbestreitbar darin, dass diese oftmals ein entscheidendes Kriterium im Rahmen einer (Interessen-)Abwägung (wie sie etwa im Rahmen von Art. 6 Abs. 4 lit. e oder bei Art. 83 Abs. 2 lit. d erforderlich ist) ist und eine Abwägung mithilfe einer Pseudonymisierung somit eher zugunsten des Unternehmens ausfallen wird.[240] Auch bei der Bußgeldbemessung dürfte die Pseudonymisierung eine wichtige Rolle spielen.
102
Beispiele für Pseudonyme sind etwa Künstler- oder Decknamen und ggf. E-Mail-Adressen, aber auch Benutzernamen oder eine Nutzer-ID. Auch biometrische Daten[241], wie Gangmuster oder Aufnahmen einer Wärmebildkamera können pseudonymisierte Daten darstellen.[242]
103
Insbesondere im Rahmen folgender Anwendungsszenarien dürfte in der Praxis die Pseudonymisierung eine entscheidende Rolle spielen:
104
Im Rahmen der Nutzung von Smart-TV und sonstigen smarten Endgeräten werden den Nutzern Dienste und Produkte zur Verfügung gestellt, die Statistiken über das Nutzungsverhalten der Nutzer erstellen. So werden auf Plattformen und über Streaming-Dienste Filme und sonstige Inhalte über das Internet angeboten. Dafür zur Nutzung zur Verfügung gestellte Set-Top-Boxen erstellen im Rahmen der Nutzung (z.B. beim Betätigen der Fernbedienung) Statistiken über das Nutzungsverhalten und generieren unterschiedliche Ergebnisse. So werden etwa Ein- und Ausschaltvorgänge, Kanalumschaltungen und Informationen zu gesehenen Filmen dokumentiert. Der entsprechende Datensatz enthält dabei in der Regel sowohl Informationen über die Top-Set-Box (Device-ID) als auch die Account-ID des Kunden. Diese Account-ID ist ein Pseudonym im Sinne des Art. 4 Nr. 5, da sie keine Informationen darstellen, die unmittelbar personenbezogene Daten enthalten. Wenn die Device-ID und die Account-ID im Sinne der oben genannten Voraussetzungen getrennt aufbewahrt werden, ist ein Rückschluss auf den einzelnen Kunden nur durch einen zusätzlichen Zugriff auf die Zuordnungstabellen möglich. Im Ergebnis führen solche Verfahren dazu, dass das Nutzungsverhalten eines bestimmten Kunden nicht ausgewertet und anderen mitgeteilt werden kann. Im Zuge der Pseudonymisierung ist damit sowohl eine Einwilligung nach Art. 6 Abs. 1 lit. a zur Datenverarbeitung entbehrlich, als auch dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c Rechnung getragen.[243]
105
Praktisch zeigt sich ein immenses Bedürfnis von Big Data-Anwendungen.[244] Dies liegt insbesondere daran, dass zahlreiche Anwendungsfelder den Einsatz von Big Data nicht nur erlauben, sondern künftig nützlich und empfehlenswert machen.[245] Big Data-Analysen ermöglichen es, auf fundamentaler Ebene weitreichende Informationen zu generieren, bspw. zur proaktiven Problemerkennung (z.B. Krankheit,[246] Stau), für Prognosen (z.B. Wetter,[247] Konjunktur), zur Auswertung und Optimierung (Informationsangebote, Entscheidungsfindung) sowie in Bezug auf demographische Aspekte (z.B. zur Entwicklung neuer Geschäftsmodelle, der Schaffung neuer Arbeitsplätze und generell wirtschaftlichen Wachstums[248]).
106
Die Vielgestaltigkeit der damit verbundenen datenschutzrechtlichen Herausforderungen liegt u.a. darin, dass ein Big Data-Projekt in verschiedene Phasen aufgeteilt werden kann und sich in allen diesen Phasen verschiedene datenschutzrechtliche Fragen stellen, bspw. nach dem Personenbezug,[249] dem Vorliegen und der Wirksamkeit einer Einwilligung,[250] der Zweckbindung oder gar nach der Anwendbarkeit unterschiedlicher Regelungsbereiche wie DS-GVO/BDSG, TMG oder TKG.[251] Nach der EU-Kommission kommen insoweit übereinstimmend Anonymisierung, Pseudonymisierung und Verschlüsselung zentrale