Pseudonymisieren: selbst übernehmen oder Auftragsverarbeiter einschalten?
Es ist sicherlich niemandem entgangen: Am 25.05.2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Im Rahmen meiner Arbeit als Datenschutzberater stelle ich fest, dass die Verantwortlichen vieler Unternehmen um angemessene Maßnahmen ringen. Ganz abgesehen davon stellt sich die folgende Frage als eine der großen Herausforderungen dar: Wie stelle ich sicher, dass sich jeder Beschäftigte in meinem Unternehmen an diese Maßnahmen hält und das vor allem auch in Zukunft tun wird? Der Großteil der Beschäftigten ist bereits mit der Ausübung der eigenen Aufgaben und Prozesse vollauf beschäftigt. Deshalb gibt es keine ausreichende Zeit und zu wenig Fokus, um sämtlichen Datenschutzregeln Rechnung tragen zu können.
Schützen Sie Ihre Mitarbeiter vor sich selbst
Sie können von Ihren Mitarbeitern nicht erwarten, dass Sie tagaus tagein die richtigen Abwägungen hinsichtlich des Datenschutzes treffen. Deshalb unterliegt es meiner Ansicht nach der Verantwortung des Unternehmens sie nach Möglichkeit zu schützen, um zu verhindern, dass Verstöße auftreten. Die auf der Hand liegende Lösung ist, allen deutlich zu machen, dass Daten, die personenbezogene Angaben umfassen, nicht zu bestimmten Zwecken eingesetzt werden dürfen. Man sieht auch, dass ein Unternehmen selbst bestimmte Daten durch die Pseudonymisierung personenbezogener Daten beispielsweise mithilfe von Datamasking-Software verschlüsselt.
Jeder erfahrene Datenschutzspezialist weiß: Hier beginnt der Schuh zu drücken. Der springende Punkt ist nämlich, dass es im Laufe der Zeit immer jemanden gibt, der eine bestimmte Frage hat oder ein spezifisches Problem lösen muss. Jemand, der sagt: „Ach, ich bekomme diese Daten nicht zugeordnet, aber ich weiß, dass es doch irgendwo eine Tabelle gibt, in der die Informationen stehen, die ich dafür verwenden kann.” Und dann findet man häufig viel später heraus, dass die Daten doch zugeordnet wurden.
Wenn Daten genutzt werden können, werden sie auch genutzt
Meine Aussage lautet: Wenn Daten genutzt werden können, werden sie auch genutzt. Selbstverständlich tut ein Beschäftigter das nicht mit der Absicht, gegen das Gesetz zu verstoßen. Man kann nicht erwarten, dass er sich bei jeder Datenaktivität die Frage stellt, ob sie wohl allen Datenschutzbestimmungen und anderen relevanten Gesetzen entspricht. Leider besteht die Erfüllung der Datenschutzpflicht nicht nur darin, Sicherheit, Rechte und die Zugriffsverwaltung zu regeln. Was Sie mit personenbezogenen Daten tun, bestimmt nämlich, ob Sie Daten kombinieren und gemäß den Datenschutzverordnungen einsetzen dürfen. Wenn Sie der unerlaubten Nutzung der Daten in Ihrer eigenen Infrastruktur vorbeugen möchten, gilt es, eine große Zahl an Management- und Kontrollprozessen einzurichten. Das ist mit einem hohen finanziellen Aufwand verbunden und äußerst kompliziert. Und dennoch: Wann es genau schiefgeht, weiß man nicht, aber dass es einmal schiefgehen wird, ist nahezu unvermeidlich.
Aber meine pseudonymisierten Daten sind doch sicher?
Sie stellen fest, dass die Antwort auf diese Frage Nein lautet, auch wenn Sie Ihre Daten pseudonymisiert haben. Wenn das innerhalb des eigenen Unternehmens durchgeführt wurde, steht man zuerst einmal vor der Herausforderung, dass der gesamte Prozess innerhalb einer Infrastruktur vorhanden ist. Damit gehen Sie immer das Risiko ein, dass alle Informationen, wie Verschlüsselungsschlüssel oder Umsetzungstabellen von jemandem einzusehen sind. Mit diesen Informationen ist es möglich, den Prozess rückgängig zu machen oder die Pseudonyme zuzuordnen, indem bekannte Identitäten nochmals pseudonymisiert werden. Es hat schon seinen guten Grund, weshalb die DSGVO verlangt, dass „zusätzliche Informationen gesondert aufbewahrt werden” und der Prozess „technischen und organisatorischen Maßnahmen” zu unterliegen hat.
Weshalb Pseudonymisieren mehr als ein praktisches Tool oder eine Technik ist
Woraus bestehen jetzt diese konkreten technischen und organisatorischen Maßnahmen, die das Gesetz hinsichtlich einer ordnungsgemäßen Durchführung der Pseudonymisierung verlangt? Zuerst sollte sichergestellt werden, dass der Pseudonymisierungsprozess abgeschirmt ist. Der Prozess umfasst einen Eingangsstrom mit lesbaren personenbezogenen Daten, einen Pseudonymisierungsprozess und anschließend einen Ausgangsstrom mit pseudonymisierten Daten. Organisatorisch muss man das Vier-Augen-Prinzip gewährleisten. Das heißt, dass es keinen einzelnen Beschäftigten geben darf, der für mehr als einen dieser Schritte autorisiert ist. Das führt zu einer funktionalen und technischen Funktionstrennung und auch beispielsweise beim Einrichten der Back-ups sollte das berücksichtigt werden. Um nachweisen zu können, dass auf ordnungsgemäße Weise gearbeitet wird, müssen Kontrollen im ISO- und/oder Schutzmaßnahmenset definiert werden. Diese Kontrollen müssen geprüft, validiert und festgelegt werden. Das ist also in einen soliden Datenschutzprozess einzubetten.
Außerdem gibt es noch Datenlecks infolge des unbefugten Zugangs zum Netzwerk. Um nachweisen zu können, dass die Schlüssel in einem solchen Fall nicht gestohlen wurden, sind erhebliche infrastrukturelle Sicherungen erforderlich. Wenn es diese Sicherungen nicht gibt, muss davon ausgegangen werden, dass die Schlüssel auch in unbefugte Hände geraten sind. Zu einem solchen Zeitpunkt wird schmerzhaft deutlich, dass im technischen Sinne zwar Pseudonyme erstellt wurden, diese Pseudonymisierung unter dem Strich jedoch keinen zusätzlichen Schutz geboten hat.
Wer sagt, dass eine Trusted Third Party (TTP) das besser kann?
Man kann sicherlich darüber diskutieren, ob eine TTP ihre Arbeit besser macht als wenn Ihr Unternehmen selbst pseudonymisieren würde. Es steht jedoch fest, dass die Beschäftigten bei einer TTP den vorrangigen Fokus darauf legen, die technischen und organisatorischen Maßnahmen zu ergreifen und zu überwachen. Genau das ist bei Beschäftigten anderer Unternehmen nicht die primäre Aufgabe. Durch den Einsatz einer TTP regeln Sie automatisch auch die erforderlichen Funktions- und Autorisierungstrennungen und wird deren Nachweis zu einer reinen Formsache. Die Beauftragung einer TTP kommt außerdem einem zuverlässigen Ansehen zugute, weil es den Personen, deren Daten es betrifft, vor Augen führt, dass Sie dem Schutz ihrer Privatsphäre einen hohen Stellenwert einräumen.
Ja, aber eine TTP kann doch auch gehackt werden?
Selbstverständlich! Aber in einem solchen Fall verliert man lediglich die Pseudonymenliste, nicht die Daten, die mit diesem Pseudonym in Bezug stehen. Eine gute TTP bewahrt nämlich nicht die Daten, um die es geht, auf, sondern ausschließlich die Verknüpfung der Schlüssel mit den Pseudonymen. Mehr als das: eine gute TTP gewährleistet, dass überhaupt keine lesbaren Daten über die TTP laufen. Sie sind für diese Rolle überhaupt nicht erforderlich. Im Fall eines Hacks wird die Umsetzung (welche Identität ist welches Pseudonym geworden) zwar durchaus geleckt, jedoch nicht die Informationen über das Verhalten oder die Aktivitäten dieser Identität. In diesem Fall wird „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führen.”
Schlussfolgerung
Ich hoffe, mit oben stehenden Ausführungen deutlich dargestellt zu haben, dass die gesetzlichen Verpflichtungen unzureichend erfüllt werden, wenn man das Pseudonymisieren lediglich als eine technische Lösung betrachtet. Außerdem erhalten Unternehmen und Beschäftigte ungerechtfertigterweise den Eindruck, dass ein vermeintlicher Schutz vorhanden sei, wenn nicht auf die richtige Weise pseudonymisiert wird. Sie werden dann gerade weniger kritisch im Hinblick auf die Nutzung und die Übermittlung dieser Daten. Deshalb erreicht man am Ende genau das Gegenteil dessen, was man erreichen will und dadurch wird der Datenschutz nicht stärker, sondern schwächer.
Definition von “Pseudonymisierung” in der DSGVO: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Lesen Sie auch:
- Ein Jahr nach der Einführung der DSGVO – personenbezogene Daten dank Data Usage Board im Griff
- Wat ist Pseudonymisieren?
- Wie lassen sich Datenanalysen gemäß dem neuen Datenschutzgesetz (DSGVO) weiterhin durchführen?
- Was ist der Unterschied zwischen Anonymisieren und Pseudonymisieren?
Edwin Kusters
Edwin Kusters konzipiert datengesteuerte Lenkungsmaßnahmen und ist bereits seit 18 Jahren an in der Regel sehr komplexen BI-Projekten beteiligt, dabei lag der Fokus bei den letzten sechs auf Datenschutzaspekten. Zunehmend musste er feststellen, dass immer mehr Kunden bestimmte Kundenanalyse-Anforderungen stellten, die gegen die geltenden Datenschutzrichtlinien verstießen. Er machte sich auf die Suche nach Lösungen, die es dagegen ermöglichten, solche Analysen datenschutzkonform durchzuführen. Technik und die Wahrung des Datenschutzes waren dabei die Ausgangspunkte. Gleichzeitig musste er den Kundenprioritäten, wie der Time-to-Market, der Qualität der Dienstleistung und den Compliancekosten Rechnung tragen. Die Gründung eines spezialsierten, selbstständigen Betriebs, gegenwärtig als Viacryp bekannt, stellte sich als eine der effektivsten Lösungen für die Auftraggeber heraus mit der sie dieser Komplexität die Stirn bieten können. Edwin Kusters hält regelmäßig auf Seminaren und Kongressen Vorträge zum Thema Datenschutz und ist Mitglied der NEN-Arbeitsgruppe zur Entwicklung einer Pseudonymisierungsnorm.
