Die Anonymisierung und Pseudonymisierung sind wichtige Methoden, um Patientendaten zu schützen und ihre Privatsphäre zu wahren. Beide Prozesse sind in der medizinischen Forschung und im Gesundheitswesen von zentraler Bedeutung, um sicherzustellen, dass persönliche Informationen nicht offengelegt werden.
Allerdings haben beide Methoden ihre eigenen Herausforderungen und Unterschiede. Datenschützer, Unternehmen, Behörden und Privatpersonen müssen sich diesen täglich stellen. In diesem Beitrag werden die Besonderheiten und zukünftigen Herausforderungen dieser Methoden beleuchtet. Angesichts der fortschreitenden Digitalisierung, insbesondere durch die Entwicklung der Künstlichen Intelligenz, sowie in Verbindung mit dem Datenschutz sind diese Methoden unverzichtbar geworden.
n diesem Newsletter klären wir, wie Pseudonymisierung und Anonymisierung funktioniert, wie der Prozess der Anonymisierung nach DSGVO geregelt ist und wie die Effektivität der Methoden in der Praxis zu bewerten ist.
Pseudonymisierung und Anonymisierung im DSGVO-Kontext
Pseudonymisierung
Bei der Pseudonymisierung werden personenbezogene Daten, wie Namen, durch Codes oder Identifikationsnummern ersetzt. Der Personenbezug bleibt erhalten, da die Pseudonyme in einer separaten Liste den Klarnamen zugeordnet werden können. Pseudonymisierte Daten bleiben personenbezogene Daten und fallen weiterhin unter den Anwendungsbereich der DSGVO und des Datenschutzrechts. Diese Methode wird in der DSGVO als technische Schutzmaßnahme (Art. 32 Abs. 1 DSGVO) sowie als Methode zur Datenminimierung (Art. 5, Art. 25 Abs. 1 DSGVO) anerkannt. Pseudonymisierte Daten dürfen nach einem Löschantrag in der Regel nicht weiter behalten werden, es sei denn, bestehende Aufbewahrungsfristen rechtfertigen dies. Ein Vorteil der Pseudonymisierung ist, dass bei Verlust der Daten ohne die Zusatzinformationen das Risiko für die Betroffenen gering ist, was die Meldepflicht bei Datenpannen entfallen lassen kann.
Anonymisierung
Bei der Anonymisierung wird der Personenbezug vollständig entfernt, wodurch die Datenschutzanforderungen nicht mehr gelten. Daten gelten als hinreichend anonymisiert, wenn die Identifizierung natürlicher Personen nur mit unverhältnismäßig hohem Aufwand möglich ist. Anonymisierte Daten fallen nicht mehr unter die DSGVO. Diese Daten können nach einem Löschantrag weiterhin genutzt werden. Allerdings sollte Anonymisierung als fortlaufender Prozess betrachtet werden, da sich der Stand der Technik und die Rechenkapazitäten stetig verbessern, was eine Re-Identifizierung erleichtern kann.
Grad der Anonymisierung
Verschiedene Grade der Anonymisierung richten sich nach der Sensibilität der Daten. Formale Anonymisierung entfernt nur direkte Identifikationsmerkmale wie Eigennamen. Faktische Anonymisierung verändert Daten so, dass Re-Identifizierung erschwert wird. Absolute Anonymisierung macht es unmöglich, Personen zu identifizieren. Entscheidungen über die Art der Anonymisierung sollten Faktoren wie Einwilligung und potenziellen Informationsverlust berücksichtigen.
Gemeinsamkeiten und Unterschiede von Anonymisierung und Pseudonymisierung
Beide Verfahren minimieren das Datenschutzrisiko, beispielsweise bei einer Datenpanne. Bei der Pseudonymisierung bleibt die DSGVO weiterhin anwendbar, da der Personenbezug mit zusätzlichen Informationen wiederhergestellt werden kann, während anonymisierte Daten nicht mehr unter die DSGVO fallen, da der Personenbezug nicht wiederhergestellt werden kann. Beide Methoden ermöglichen die Nutzung der Daten für statistische Auswertungen, jedoch ist eine absolute Rückverfolgung des Personenbezugs bei beiden Methoden nicht vollständig ausgeschlossen.
Schwierigkeiten bei der Anonymisierung
Anonymisierte Daten sind praktisch, wenn Unternehmen keine Erlaubnis zur Datenverarbeitung haben. Da sie nicht mehr unter den Datenschutz fallen, brauchen sie keine besonderen Maßnahmen wie Zustimmungen oder Datenschutz-Folgeabschätzungen. Besonders in klinischen Studien oder bei statistischen Auswertungen werden sie gerne genutzt. Zum Beispiel kann ein Software-Unternehmen anonymisierte Nutzerdaten für Forschungszwecke weitergeben, ohne die Zustimmung der Kunden einholen zu müssen.
Es ist jedoch unklar, ob der technische Prozess der Anonymisierung selbst unter die DSGVO fällt und ob eine vollständige Anonymisierung überhaupt möglich ist. Studien zeigen, dass schon wenige Informationen, wie Postleitzahl, Geschlecht und Geburtsdatum, oft ausreichen, um Personen zu identifizieren. Das wirft Zweifel an der Wirksamkeit der Anonymisierung auf. Die DSGVO erwähnt Anonymisierung zwar, aber sagt, dass Datenschutzprinzipien für anonymisierte Informationen nicht gelten. Ein EuGH-Urteil von 2016 besagt, dass Anonymisierung ausreicht, wenn eine erneute Identifizierung nur mit unverhältnismäßigem Aufwand möglich ist. Dennoch wird es durch technologischen Fortschritt und die zunehmende Menge digitaler Daten immer einfacher, Personen wiederzuerkennen. Datenschützer sind daher skeptisch, ob echte Anonymisierung noch machbar ist.
Regulatorische Anforderungen bei Anonymisierung und Pseudonymisierung
Die DSGVO fordert in Artikel 32, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dazu gehören Pseudonymisierung und Verschlüsselung personenbezogener Daten. Laut BDSG ist die Speicherung, Verarbeitung und Nutzung personenbezogener Daten generell nicht erlaubt, außer eine Rechtsvorschrift erlaubt oder fordert es, oder der Betroffene hat eingewilligt.
Der U.S. Health Insurance Portability and Accountability Act (HIPAA) regelt die Vertraulichkeit von Gesundheitsdaten und bietet zwei Möglichkeiten zur Pseudonymisierung: Erstens, das Löschen aller 18 Attribute eines Datensatzes, sodass keine Rückverfolgung möglich ist. Zweitens, Experten bestimmen, welche Informationen gelöscht oder verändert werden müssen, um das Identifizierungsrisiko zu minimieren. Diese 18 Attribute umfassen unter anderem: Namen, geographische Unterteilungen (kleiner als ein Staat), Datumsinformationen (außer dem Jahr), Telefonnummern, Fahrzeug- und Medizingeräteinformationen, E-Mailadressen, Social Security Nummern, IP-Adressen, Krankenaktennummern, biometrische Merkmale, Kontonummern, Fotos des gesamten Gesichts und jede eindeutige und identifizierende Nummer.
Herausforderungen und Lösungsvorschläge
Es ist wichtig, eine klare Strategie zu haben, die die speziellen Anforderungen und Risiken berücksichtigt, um den Datenschutz effektiv zu gewährleisten. Deshalb wurden die Herausforderungen bei der Anonymisierung und Pseudonymisierung mit Lösungsvorschlägen hier aufgeführt. Diese Empfehlungen können Personen und Unternehmen helfen, eine Strategie zu entwickeln.
| Anonymisierung | Herausforderung | Lösung | ||
| Irreversibilität | Anonymisierte Daten müssen so verarbeitet werden, dass die ursprünglichen Personen nicht identifizierbar sind. | Techniken wie Datenaggregation, Generalisierung, Data Masking und Differential Privacy verwenden. | ||
| Datenqualität und Nutzen | Anonymisierung kann die Datenqualität und den Nutzen verringern, wenn zu viele Informationen entfernt werden. | Balance zwischen Datenschutz und Datenqualität durch fortschrittliche Techniken. | ||
| Regelkonformität | Anonymisierung muss den gesetzlichen Anforderungen entsprechen, die je nach Region variieren. | Einhaltung der gesetzlichen Rahmenbedingungen und kontinuierliche Anpassung an Änderungen. | ||
| Technologische Fortschritte | Neue Technologien können anonymisierte Daten re-identifizieren. | Regelmäßige Überprüfung und Aktualisierung der Anonymisierungsmethoden. | ||
| Pseudonymisierung | Herausforderung | Lösung | ||
| Reversibilität | Pseudonymisierte Daten können wieder Personen zugeordnet werden. | Zuordnungsschlüssel sicher und getrennt aufbewahren. | ||
| Datenverknüpfung | Pseudonymisierte Daten können durch Verknüpfung mit anderen Datenquellen re-identifiziert werden. | Zugriff auf Daten begrenzen und Techniken wie Tokenisierung verwenden. | ||
| Regelkonformität | Pseudonymisierte Daten müssen den gesetzlichen Anforderungen entsprechen. | Datenschutzmaßnahmen implementieren, die den gesetzlichen Vorgaben entsprechen, und regelmäßige Überprüfungen. | ||
| Kosten und Komplexität | Pseudonymisierung kann kosten- und zeitintensiv sein. | Automatisierte Tools und Systeme einsetzen, um Effizienz und Skalierbarkeit zu erhöhen. | ||
Fazit:
Daten im Gesundheitsbereich sind besonders wertvoll, oft personenbezogen und unterliegen strengen Datenschutzregeln. Pseudonymisierung kann helfen, den Datenschutz zu wahren und gleichzeitig die Daten für Studien oder Gesundheits-Apps nutzbar zu machen. Anonymisierung ist die sicherste Datenschutzmethode, aber schwer umzusetzen. Alle identifizierbaren Daten müssen sicher gelöscht werden, besonders wenn eine Einwilligung widerrufen wird. Es ist wichtig, die neuesten Entwicklungen im Bereich Anonymisierung zu verfolgen. Es ist ratsam, vor der Datenverarbeitung die Optionen zur Anonymisierung und Pseudonymisierung zu prüfen sowie ob diese Maßnahmen rechtlich ausreichend sind.
Suchen Sie Experten im Bereich Datenschutz oder einen externen Datenschutzbeauftragten? Unsere Coaches von itsecuritycoach stehen Ihnen in allen Belangen rund um Datenschutz zur Seite. Kontaktieren Sie uns und vereinbaren Sie ein erstes Beratungsgespräch.
Quellen:
Pseudonymisierung und anonymisierung von Daten nach DSGVO – Leitfaden (dataguard.de)
Pseudonymisierung und Anonymisierung ~ Begriffe und Unterscheidung (johner-institut.de)
Anonymisierung und Pseudonymisierung in der Praxis (srd-rechtsanwaelte.de)
