Pseudonymisierung, Anonymisierung und die DSGVO
Articles
0 Comments

Pseudonymisierung, Anonymisierung und die DSGVO

Seit die DSGVO diese Datensicherheitsmaßnahmen empfohlen hat, sind diese bisher obskuren Konzepte zu einem heißen Diskussionsthema unter Geschäftsinhabern geworden. Falls Sie sich immer noch nicht sicher sind, was der Unterschied zwischen den beiden ist, finden Sie hier einige Definitionen:

Pseudonymisierung – ein Datenverwaltungsverfahren, bei dem persönlich identifizierbare Informationsfelder in einem Verbraucherdatensatz durch einen oder mehrere künstliche Identifikatoren oder Pseudonyme ersetzt werden, die zu einem späteren Zeitpunkt abgerufen werden können, um den Datensatz erneut zu identifizieren.

Anonymisierung – Der Prozess der Verschlüsselung oder Entfernung personenbezogener Daten aus Datensätzen, so dass die Personen, die die Daten beschreiben, dauerhaft anonym bleiben.

Hauptunterschied zwischen Pseudonymisierung und Anonymisierung

Bei beiden Methoden werden personenbezogene Daten maskiert, indem die Daten entfernt oder verschlüsselt werden, die es ermöglichen, die Informationen mit einer Person zu verknüpfen, z. B. Name, Adresse oder Kreditkartennummer.

Der Unterschied zwischen den beiden besteht jedoch darin, dass die Pseudonymisierung umgekehrt werden kann. Mit separat gehaltenen Informationen, wie einem Verschlüsselungsschlüssel, kann man die identifizierbaren Informationen bei Bedarf abrufen, um die Daten wieder mit einer Person zu verknüpfen.

Unser Datenschutzerklärungs-Generator macht es einfach, eine Datenschutzerklärung für Ihre Website zu erstellen. Folgen Sie einfach diesen Schritten:

  1. Klicken Sie auf die Schaltfläche „Datenschutz-Generator“.
  2. Wählen Sie in Schritt 1 die Option Website und klicken Sie auf „Nächster Schritt“:

  3. Beantworten Sie die Fragen zu Ihrer Website und klicken Sie auf „Nächster Schritt“, wenn Sie fertig sind:

  4. Beantworten Sie die Fragen zu Ihren Geschäftspraktiken und klicken Sie auf „Nächster Schritt“, wenn Sie fertig sind:

  5. Geben Sie Ihre E-Mail-Adresse ein, an die Sie Ihre Richtlinie senden möchten, wählen Sie Übersetzungsversionen aus und klicken Sie auf „Generieren“.“

    Sie können sofort auf Ihre neue Datenschutzrichtlinie zugreifen und diese herunterladen.

Sobald Daten anonymisiert wurden, können sie jedoch niemals mehr mit einer Person verknüpft werden. Die Anonymisierung ist dauerhaft.

Die DSGVO und Datenmaskierung

Die DSGVO macht zahlreiche und spezifische Erwähnungen der Datenmaskierung.

Hier einige Beispiele:

Artikel 5 – Datenverarbeitung

In Artikel 5 der DSGVO heißt es, dass personenbezogene Daten nur so lange aufbewahrt werden sollten, wie es für die Erbringung einer Dienstleistung erforderlich ist. Danach können sie gespeichert werden, wenn die Daten die Identifizierung von Personen nicht mehr zulassen.

Artikel 25 – Datenschutz durch Design

In Artikel 25 beschreibt die DSGVO die Verpflichtung von Unternehmen, alle angemessenen Maßnahmen zum Schutz von Verbraucherdaten standardmäßig und absichtlich zu ergreifen. Es wird ausdrücklich die Pseudonymisierung als eine Möglichkeit erwähnt, dies zu erreichen.

Erwägungsgrund der DSGVO 26

In Erwägungsgrund 26 der DSGVO heißt es, dass bestimmte Datenschutzmaßnahmen nicht für anonyme Informationen gelten, mit denen eine natürliche Person nicht mehr identifiziert werden kann.

Artikel 32 – Sicherheit der Verarbeitung

Sicherheit ist ein zentraler Punkt der DSGVO. Artikel 32 erwähnt ausdrücklich die Pseudonymisierung als geeignete Sicherheitsmaßnahme zum Schutz der Privatsphäre der Verbraucher.

Artikel 34 – Unterrichtung der betroffenen Personen über eine Datenschutzverletzung

Gemäß Artikel 34 muss ein Unternehmen die Nutzer über einen hochriskanten Datenverstoß informieren, der sie betrifft, es sei denn, organisatorische Schutzmaßnahmen haben die Informationen unverständlich oder nicht identifizierbar gemacht – beispielsweise durch Pseudonymisierung oder Anonymisierung.

Vorteile der Datenmaskierung

Die Datenmaskierung ist von der DSGVO nicht zwingend vorgeschrieben. Es wird jedoch dringend empfohlen. Tatsächlich bietet die Verordnung Anreize für die Umsetzung von Datenmaskierungstechniken.

So geht’s:

  • Sicherheitsanforderungen erfüllen: Durch den Einsatz von Techniken wie Pseudonymisierung und Anonymisierung erfüllen Sie die Anforderung, dass Unternehmen alle möglichen Maßnahmen zum Schutz von Verbraucherdaten ergreifen. Wenn Ihr Unternehmen jemals aus irgendeinem Grund untersucht wird, bietet die Datenmaskierung einen zusätzlichen Schutz, wenn Ihre Datensicherheitsprotokolle in Frage gestellt werden.
  • Kommunikation von Datenverletzungen: Wenn Ihre Daten anonymisiert wurden, müssen Sie (anonymisierte) Benutzer nicht über eine Datenverletzung informieren, die ihre Informationen betrifft. Dies liegt daran, dass die verletzten Daten in keiner Weise mit der Person verknüpft werden können.
  • Einhaltung der Benutzerrechte: Sobald die Daten dauerhaft anonymisiert wurden, wird von Ihnen nicht mehr erwartet, dass Sie die Benutzerrechte und -anforderungen erfüllen, wie z. B. das Recht des Verbrauchers auf Löschung oder das Recht, eine vollständige Kopie der Benutzerdaten anzufordern.
  • Übertragung personenbezogener Daten über internationale Grenzen hinweg: Obwohl unklar ist, welcher Grad an Pseudonymisierung erforderlich ist, um Daten über internationale Grenzen hinweg zu übertragen, ohne einem Berg von Richtlinien und Bürokratie zu folgen, könnte die Datenmaskierung die Anzahl der Reifen verringern, durch die man springen muss, um Daten in ein anderes Land zu übertragen.

Hier ist eine Grafik aus einem Whitepaper zu Datenschutzanalysen zum Thema:

Welche Datenmaskierungstechnik ist besser?

Wenn es um die Frage der Pseudonymisierung versus Anonymisierung geht, muss das Unternehmen seine Anwendungen und die Verwendung personenbezogener Daten berücksichtigen.

Hier sind einige Situationen, in denen Sie die Anonymisierung anstelle der Pseudonymisierung verwenden möchten:

  • Wenn Sie nicht mehr mit einem Verbraucher kommunizieren oder arbeiten müssen, sondern dessen Aktivität, Bestellhistorie oder andere Details archivieren möchten, die nicht zur Identifizierung verwendet werden konnten.
  • Um Datenanalysen durchzuführen, die nichts mit den Dienstleistungen zu tun haben, die Sie dem Verbraucher anbieten.
  • Wenn Sie Daten einer Gruppe von Personen zur Verfügung stellen müssen, die nicht für die Erbringung Ihrer Dienste vorgesehen sind, z. B. einer großen Gruppe von Mitarbeitern oder Beratern.

Andererseits kann die Pseudonymisierung von Daten verwendet werden, wenn Sie Benutzer in Zukunft erneut identifizieren müssen:

  • Um Daten während der Erbringung von Dienstleistungen sicher zu halten, indem identifizierende Daten für Mitarbeiter oder andere Datenhandler maskiert werden, die diese Daten nicht benötigen.
  • Zur Aufrechterhaltung des Datenschutzes in Ihrer Datenbank oder Ihren Datensätzen, Bestellhistorien und inaktiven Kunden, mit denen Sie in Kontakt bleiben.
  • Um Daten über internationale Grenzen zu übertragen.
  • Wahrung des Datenschutzes und der Privatsphäre nach den in der DSGVO festgelegten Grundsätzen.

Insgesamt bieten beide Methoden Vorteile im Rahmen der DSGVO, sind jedoch für bestimmte Datensätze oder Anwendungen möglicherweise nicht durchführbar. Recherchieren Sie über alle Auswirkungen, bevor Sie Datenmaskierungsmaßnahmen durchführen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

More: