DSGVO: mehr Dynamik erforderlich Die Pseudonymisierung mit statischen Token reicht nicht aus

0
14.04.2020ǀ ǀ Big Data

Auge mit Fingerabdruck

Eine statische Pseudonymisierung ist nicht ausreichend

Anonymisierungstechniken im Umgang mit personenbezogenen Daten sind ein wichtiger Bestandteil der DSGVO. Die traditionelle Pseudonymisierung ist jedoch unzureichend, wie die Artikel-29-Datenschutzgruppe (heute Europäischer Datenschutzausschuss oder EDPB) bereits im Jahr 2014 feststellte. Damit reicht die Pseudonymisieurng mit statischen Token nicht aus. Wie eine rechtskonforme Pseudonymisierung aussehen muss, erklärt Mark Little, Chief Data Strategist bei unserem Partner Anonos, in diesem Beitrag.

Hinweis: Dies ist einer von drei Artikeln über Pseudonymisierung und die DSGVO. Siehe auch Anonymisierung funktioniert bei Big Data nicht und Warum die DSGVO die Pseudonymisierung der Anonymisierung vorzieht.

Anonymisierung, Pseudonymisierung und die DSGVO

Die Datenschutzgrundverordnung der EU („DSGVO“) sieht mehrere wichtige und zusammenhängende Änderungen zur Anonymisierung und Pseudonymisierung im Rahmen des EU-Rechts vor.

Traditionell wurde Pseudonymisierung als eine Sicherheitstechnik verstanden, bei der direkte Identifikatoren durch nicht identifizierende Token ersetzt wurden. Für eine bestimmte Sammlung von einem oder mehreren Datensätzen, die gemeinsam verarbeitet werden sollten (oder könnten), wurde jeder wiederkehrende bestimmte Wert durch das gleiche Token ersetzt („statische Tokenisierung“), um die referentielle Integrität zu erhalten und die Kombination von Datensätzen zu erleichtern.

Die Änderungen im Rahmen der DSGVO legen zunächst einen sehr hohen Schwellenwert für anonyme Daten fest (und somit unterliegen sie nicht den Anforderungen der Verordnung): „…für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“

Zweitens wurde der Begriff Pseudonymisierung, der seit vielen Jahren von Datenschutzexperten verwendet wird, mit dem Inkrafttreten der DSGVO erstmals rechtlich formal definiert. Gemäß der Definition der DSGVO sind personenbezogene Daten pseudonymisiert, wenn sie „…ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen…“.

Diese Definition hat zur Folge, dass, wenn die Pseudonymisierung gemäß den DSGVO-Anforderungen durchgeführt wird, die betroffenen Personen ohne die separat aufbewahrten Zusatzinformationen nicht reidentifiziert werden können – im Wesentlichen, dass die Daten als anonymisiert gelten würden, gäbe es nicht die separat aufbewahrten Zusatzinformationen. Dies ist eine wichtige Erkenntnis über die grundlegende Änderung der traditionellen Pseudonymisierung, die im Folgenden untersucht wird – die Notwendigkeit, dynamische Token nicht nur für direkte, sondern auch für indirekte Identifikatoren zu verwenden.

Drittens legt die DSGVO ausdrücklich fest, dass es sich bei pseudonymisierten Daten um personenbezogene Daten handelt, die den Anforderungen der Verordnung unterliegen: „Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.“

Betrachtet man diese drei Änderungen zusammen, wird deutlich, dass die DSGVO zu einer weiteren grundlegenden Änderung der Pseudonymisierung führt: Es handelt sich nicht mehr um eine Sicherheitstechnik, sondern um eine eigenständige Art des Datenschutzes zwischen anonymen und eindeutigen Textdaten.

Welchen Nutzen zieht die DSGVO nun aus diesem neuerlichen Status der Pseudonymisierung? Die Antwort ist eine ganze Menge! Die Pseudonymisierung dient unter anderem dazu:

  • Erwägungsgrund (28): „…Risiken für die betroffenen Personen [zu] senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten [zu] unterstützen.“
  • Erwägungsgrund (78): „…Maßnahmen [zu] ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.“
  • Erwägungsgrund (156): Sicherzustellen, dass „geeigneten Garantien“ für „die Rechte und Freiheiten der betroffenen Person“ bei der „Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegende[n] Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken“ bestehen.
  • Artikel 6 Absatz 4 lit. e: „…das Vorhandensein geeigneter Garantien“ für eine entsprechende Verarbeitung nachzuweisen.
  • Artikel 25 Absatz 1 und 89 Absatz 1: „…geeignete technische und organisatorische Maßnahmen [zu treffen]…die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen…“
  • Artikel 32 Absatz 1: „…geeignete technische und organisatorische Maßnahmen [zu treffen], um ein dem Risiko angemessenes Schutzniveau“ für „die Rechte und Freiheiten natürlicher Personen“ zu gewährleisten.
  • Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe: „eine Verschiebung des Gleichgewichts der Interessen zugunsten des für die Verarbeitung Verantwortlichen“ bei der Durchführung der Prüfung der Ausgewogenheit der Interessen zu erreichen, die Teil der Feststellung eines berechtigten Interesses als Rechtsgrundlage für die Verarbeitung ist.

DSGVO-Pseudonymisierung erfordert (jetzt) Dynamik

Die Artikel-29-Datenschutzgruppe (heute Europäischer Datenschutzausschuss oder EDPB) geht in ihrer Stellungnahme 05/2014 zu Anonymisierungstechniken („WP29 Opinion 05/2014“) – in einer nun scheinbar klaren Vorwegnahme der oben genannten DSGVO-Änderungen – detailliert darauf ein, warum die traditionelle Pseudonymisierung mit statischen Token, die nur für direkte Identifikatoren gelten, zu einer unbefugten Identifizierung der betroffenen Personen führen kann:

  • „Es ist nach wie vor möglich, Datensätze einzelner Personen herauszugreifen, da die Person weiterhin anhand eines einzigartigen Merkmals identifiziert wird, das im Zuge der Pseudonymisierungsfunktion erzeugt wurde.“ (d.h. ein statisches Token)
  • „Datensätze, in denen für eine bestimmte Person dasselbe pseudonymisierte Merkmal verwendet wird, können ganz einfach verknüpft werden. Selbst wenn für ein und dieselbe betroffene Person unterschiedliche pseudonymisierte Merkmale verwendet werden, kann eine Verknüpfung mittels anderer Merkmale unter Umständen nach wie vor möglich sein.“ (d.h. ein statisches Token mit indirekten Identifikatoren)
  • „Angriffe mittels Inferenztechniken zwecks Ermittlung der wahren Identität einer betroffenen Person sind innerhalb eines Datenbestands sowie über mehrere unterschiedliche Datenbanken, die für eine Person dasselbe pseudonymisierte Merkmal verwenden, hinweg möglich.“ (d.h. ein statisches Token)
  • „Die einfache Änderung der ID verhindert nicht, dass Angreifer eine betroffene Person identifizieren, wenn der Datenbestand nach wie vor Quasi-Identifikatoren enthält oder die Werte anderer Merkmale noch immer geeignet sind, eine Person zu identifizieren.“ (d.h. indirekte Identifikatoren)


und

  • „Basiert die Pseudonymisierung auf der Ersetzung einer Identität durch einen anderen einzigartigen Code, wäre es blauäugig, dieses Verfahren als eine robuste Deidentifizierung zu betrachten, da damit die Komplexität der Identifizierungsmethoden und die mannigfaltigen Kontexte, in denen sie zur Anwendung kommen können, unberücksichtigt blieben.“ (d.h. ein statisches Token mit indirekten Identifikatoren)

Die Zusammenführung dieser Beobachtungen führt zu einem vielleicht unerwarteten, aber scheinbar unvermeidlichem Schluss:

  • Wenn die Pseudonymisierung mit statischen Token für direkte Identifikatoren als Technik der Anonymisierung unzureichend ist und
  • Nach der DSGVO pseudonymisierte Daten, abgesehen von den separat aufbewahrten Informationen, anonym wären, dann
  • Ist die traditionell praktizierte Pseudonymisierung mit statischen Token für direkte Identifikatoren keine DSGVO-konforme (Artikel 4 Absatz 5) Pseudonymisierung.

Aus der obigen Analyse geht hervor, dass die Praxis der Pseudonymisierung auf zwei Arten vorangetrieben werden muss, um DSGVO-konform zu sein. Erstens müssen statische Token durch dynamische Token ersetzt werden, sodass die an unterschiedlichen Stellen auftretende gleiche Werte unterschiedliche anstatt den selben Token erhalten. Die zweite ist, dass neben direkten Identifikatoren auch indirekte Identifikatoren explizit angesprochen werden müssen. Diese Änderungen sind notwendig, um das Risiko einer unbefugten Reidentifizierung durch Verknüpfungs- und Inferenzangriffe (allgemein bekannt als „Mosaik-Effekt“) zu verringern, wie in der Stellungnahme 05/2014 der Artikel-29-Datenschutzgruppe erwähnt.

Einige mögen anmerken, dass das Fehlen einer unmittelbar erkennbaren referentiellen Integrität und die Verschleierung indirekter Identifikatoren die Daten für viele Arten von Analysen nutzlos machen (was unserer Meinung nach auch für vollständig anonymisierte Daten gilt). Aber genau darum geht es. Referenzielle Integrität und unverschleierte indirekte Identifikatoren sind die eigentliche Quelle des Risikos inakzeptabler Reidentifizierungen.

Und doch liegt darin die Genialität der DSGVO-Definition zur Pseudonymisierung: Es gibt Informationen, die separat unter technischen und organisatorischen Kontrollen aufbewahrt werden, die zur erneuten Identifizierung verwendet werden können! Autorisierte Personen können die referentielle Integrität und indirekte Identifikatoren in dem für einen autorisierten Zweck erforderlichen Umfang wiederherstellen, solange der Zugriff auf diese reidentifizierten Daten über technische und organisatorische Kontrollen auf eine begrenzte Anzahl von Personen beschränkt ist.

Die vielen Verweise (mehr als bei jeder anderen Datenschutztechnik) auf den Nutzen der konformen Pseudonymisierung in der DSGVO machen deutlich, dass es sich um einen leistungsfähigen, effektiven und zulässigen Ansatz zur Umsetzung von Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen unter Verwendung von Artikel 5 Grundsätze (insbesondere Datenminimierung und Zweckbindung) für die Verarbeitung personenbezogener Daten handelt.

Auch wenn das oben genannte Argument vielen unbekannt ist, lassen die jüngsten Maßnahmen der nationalen Datenschutzbehörden in Europa an zwei Fronten wenig Zweifel aufkommen. Erstens sind sie mit der Logik und den Anforderungen, wie oben beschrieben, vertraut, und zweitens beabsichtigen sie, dass Unternehmen, die der DSGVO unterliegen, sie übernehmen.

Als Beweis seien nur zwei Beispiele genannt.

  • Im April dieses Jahres entschied die italienische Datenschutzbehörde (Garante) gegen die Rousseau Association (als Datenverarbeiter), dass die bloße Entfernung einer Telefonnummer, wenn noch ein anderer bestehender eindeutiger Identifikator existiert, der eine indirekte Verknüpfung mit den Identitäten der betroffenen Person ermöglicht, ein unzureichender Schutz personenbezogener Daten ist.
  • Auch die dänische Datenschutzbehörde (Datatilsynet) hat im März gegen Taxa 4×35 (als Datenverantwortlicher) entschieden, dass die bloße Löschung von Namen unter Beibehaltung bestehender Telefonnummern die Identität der betroffenen Personen nicht ausreichend vor Verknüpfung schützt.

Schlussfolgerungen

Erstens wurde die bisher praktizierte Pseudonymisierung im Rahmen der DSGVO auf zwei wichtige Arten neu definiert:

1. Die Pseudonymisierung ist nicht mehr nur eine Sicherheitstechnik – sie ist heute eine eigenständige Art des Datenschutzes zwischen anonymen und eindeutigen Textdaten mit hohem Nutzen für die Erreichung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen; und

2. Sie erfordert die Verwendung von dynamischen Token, die sowohl auf direkte als auch auf indirekte Identifikatoren angewendet werden.
Zweitens erkennen die Datenschutzbehörden dies voll und ganz an und beabsichtigen, die ihnen übertragenen Befugnisse zu nutzen, um sicherzustellen, dass auch die Datenverantwortlichen und Datenverarbeiter dies tun. Erstanwender werden sicherlich einen Wettbewerbsvorteil gegenüber Nachzüglern haben.

Diese Artikel könnten Sie auch interessieren:

Tags: , , ,

Stefan Müller - Director Big Data Analytics
Nach mehreren Jahren Tätigkeit im Bereich Governance & Controlling und Sourcing Management ist Stefan Müller bei it-novum gelandet, wo er den Bereich Big Data Analytics aufgebaut hat. Stefans Herz schlägt für die Möglichkeiten, die die BI-Suiten von Pentaho und Jedox bieten, er beschäftigt sich aber auch mit anderen Open Source BI-Lösungen. Seine Begeisterung für Business Open Source im Bereich Datenintelligenz gibt Stefan regelmäßig in Fachartikeln, Statements und Vorträgen weiter.
Webprofile von Stefan: Twitter, LinkedIn, XING