Gutachten | Viacryp

Gutachten

Wir haben eine deutsche Großkanzlei gefragt, welche gesetzlichen Vorteile eine Verarbeitung von pseudonymisierten Daten hat.

Pseudonymisieren wenn möglich

Nach Ansicht der Rechtsanwälte, schreibt das Bundesdatenschutzgesetz (BDSG) vor, dass die Datenverarbeitung sowie die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten sind, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. Die Pseudonymisierung kann also als der grundsätzlich gesetzlich gewünschte “Normal- bzw. Idealfall” der Datenverarbeitung betrachtet werden.

Leichtere datenschutzrechtliche Anforderungen

Gleichwohl unterfallen personenbezogene Daten nach der Pseudonymisierung weiterhin den Regelungen des Datenschutzrechts. Für den Anwender hat der Einsatz von pseudonymisierten Daten aber den Vorteil, dass die datenschutzrechtlichen Anforderungen leichter eingehalten werden können: die Pseudonymisierung kann sich günstig im Rahmen einer Interessenabwägung auswirken. Dadurch werden die Voraussetzungen eines notwendigen Erlaubnistatbestands in der Regel leichter erfüllt als ohne eine Pseudonymisierung. Dies bietet sich vor allem bei besonders sensiblen Arten von personenbezogenen Daten an. Auch kann die Pseudonymisierung die Akzeptanz beim Betroffenen erhöhen, seine Daten auf Grundlage einer Einwilligung zur Verfügung zu stellen. Schließlich setzt der Anwender durch den Einsatz der Pseudonymisierung die Gebote der Datenvermeidung und Datensparsamkeit effektiv um.

Verfahren der Pseudonymisierung

Ferner haben wir die Rechtsanwälte gefragt, ob das von Viacryp gewählte Verfahren der Pseudonymisierung Pseudonyme erzeugt, die den gesetzlichen Anforderungen nach dem Bundesdatenschutzgesetz genügen. Dafür haben wir den Rechtsanwälten beschrieben, wie wir die Pseudonyme erzeugen.

Einhaltung der gesetzlichen Anforderungen

Auf Grundlage dieser Informationen kommt die Großkanzlei zu dem Ergebnis, dass mit Hilfe der Pseudonymisierungslösung von Viacryp eine datenschutzfreundliche Verarbeitung von personenbezogenen Daten ermöglicht wird, weil die erzeugten Pseudonyme den gesetzlichen Anforderungen des Bundesdatenschutzgesetzes genügen.

Personenbezogene Daten sind danach pseudonymisiert, wenn Identifikationsmerkmale durch ein Kennzeichen ersetzt werden, um die Bestimmbarkeit des Betroffenen entweder auszuschließen oder wesentlich zu erschweren. Dies ist zumeist dann der Fall, wenn es dem durchschnittlichen Empfänger nicht möglich ist, mit den Mitteln, die ihm vernünftigerweise zur Verfügung stehen, einen Rückschluss auf die natürliche Person herzustellen.

Pseudonymisierungslösung von Viacryp schützt Personenbezogene Daten

Die Pseudonymisierungslösung von Viacryp schafft eine solche Möglichkeit. Da Viacryp als Trusted Third Party die Referenzliste verwahrt, über welche die Pseudonyme und identifizierende Daten einander zugeordnet werden können, ist die Zuordnung der identifizierenden Daten zu den Pseudonymen geschützt. Außerdem unterstützt die Pseudonymisierungslösung von Viacryp dabei, das Risiko zu verringern, dass Daten durch Heranziehung zusätzlicher Informationen bzw. Kombinationen der Daten (Big-Data-Analysen etc.) einer Person zugeordnet werden könnten.

Übereinstimmung mit Datenschutzgrundverordnung

Schließlich wollten wir wissen, ob die Pseudonymisierung vor dem Hintergrund das Datenschutzgrundverordnung weiter von Bedeutung sein wird. Die Rechtsanwälte führen aus, dass der Einsatz von Pseudonymen auch vor dem Hintergrund der Datenschutzgrundverordnung („DSGVO“) von Bedeutung bleibt, die ab dem 25. Mai 2018 in ganz Europa gilt. Denn diese betont ebenfalls, dass die Pseudonymisierung eine Maßnahme zum Schutz personenbezogener Daten darstellt.

Mit Blick auf die Anforderungen an die Pseudonymisierung wird in der DSGVO vor allem eine getrennte Aufbewahrung der Zuordnungsregeln und ihr Schutz durch technische und organisatorische Maßnahmen ausdrücklich vorgeschrieben. Durch die Aufbewahrung der Referenzliste im Datentresor von Viacryp können auch diese Anforderungen umgesetzt werden.