Zurück zur Übersicht
19.02.2025Fachbeitrag

Update Datenschutz Nr. 199

EDSA-Leitlinien zur Pseudonymisierung: Ein Leitfaden für den datenschutzkonformen Umgang mit personenbezogenen Daten

Die Pseudonymisierung von Daten nimmt in der datenschutzrechtlichen Praxis einen zentralen Stellenwert ein und stellt ein wesentliches Instrument zur Erfüllung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) dar. Der Europäische Datenschutzausschuss (EDSA) hat hierzu umfassende Leitlinien veröffentlicht, die sowohl juristische als auch praktische Orientierungshilfen für Unternehmen und Institutionen bieten.

Was ist Pseudonymisierung?

Unter Pseudonymisierung versteht man den Prozess, bei dem personenbezogene Daten derart verändert werden, dass eine Zuordnung zu einer bestimmten Person ohne zusätzliche Informationen nicht mehr möglich ist. Konkret werden direkt identifizierende Merkmale (wie beispielsweise Name oder Adresse) durch eine Kennung ersetzt, die ohne den Zugriff auf separat verwahrte Zusatzinformationen keine Rückschlüsse auf die betroffene Person zulässt. Diese Zusatzinformationen sind dabei durch angemessene technische und organisatorische Maßnahmen gesichert aufzubewahren.

Warum ist Pseudonymisierung wichtig?

Die EDSA-Leitlinien heben insbesondere folgende Vorteile der Pseudonymisierung hervor:

  • Verbesserung der Datensicherheit: Durch den Wegfall direkter Identifikatoren wird das Risiko einer unbefugten Identifizierung erheblich reduziert.
  • Erfüllung datenschutzrechtlicher Anforderungen: Die Pseudonymisierung unterstützt die Einhaltung wesentlicher Grundsätze der DSGVO, insbesondere im Hinblick auf Datensicherheit, Datenminimierung und Zweckbindung.
  • Ermöglichung von Datenanalysen: Unternehmen können pseudonymisierte Daten für Forschungs- und Analysezwecke verwenden, ohne dabei in unverhältnismäßiger Weise in die Privatsphäre der betroffenen Personen einzugreifen.

Rechtliche Perspektive und Anforderungen

Aus datenschutzrechtlicher Sicht ist festzuhalten, dass auch pseudonymisierte Daten weiterhin unter den Schutzbereich der DSGVO fallen. Unternehmen bleiben daher verpflichtet, die Betroffenenrechte – insbesondere das Recht auf Auskunft, Berichtigung und Löschung – zu gewährleisten. Dabei ist ausdrücklich zu differenzieren zwischen der Pseudonymisierung und einer vollständigen Anonymisierung, bei der eine Rückschlüsse auf die Identität der betroffenen Person grundsätzlich nicht mehr möglich sind.

Praktische Umsetzung und technische Maßnahmen

Für die erfolgreiche Implementierung der Pseudonymisierung empfiehlt der EDSA eine kombinierte Anwendung technischer und organisatorischer Maßnahmen. Hierzu zählen insbesondere:

  • Verschlüsselung: Identifikatoren werden durch unverständliche Daten ersetzt, die lediglich mit einem entsprechenden Schlüssel wieder entschlüsselt werden können.
  • Tokenisierung: Die Ersetzung von Identifikatoren durch zufällig generierte Tokens, die ohne die Verbindung zu einem speziellen Token-Server keine Zuordnung zu den ursprünglichen Daten ermöglichen.
  • Zugriffsmanagement: Die Einrichtung strenger Zugangskontrollen stellt sicher, dass ausschließlich autorisierte Personen Zugriff auf die pseudonymisierten Daten erhalten.

Fazit und Ausblick

Die Pseudonymisierung stellt ein wirkungsvolles Instrument zur Erhöhung der Datensicherheit dar und ermöglicht Unternehmen die Durchführung wertvoller Datenanalysen, während gleichzeitig die datenschutzrechtlichen Anforderungen eingehalten werden. Die EDSA-Leitlinien bieten hierbei einen fundierten Rahmen, der nicht nur die technischen und organisatorischen Maßnahmen detailliert beschreibt, sondern auch die rechtlichen Aspekte beleuchtet.

Unternehmen sind gut beraten, die Empfehlungen des EDSA konsequent umzusetzen und ihre internen Prozesse regelmäßig zu überprüfen, um den fortlaufenden datenschutzrechtlichen Anforderungen gerecht zu werden.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Weitere Artikel

13.02.2025
Verabschiedung fehlgeschlagen – Wie geht es weiter mit NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz?
11.02.2025
Der Praxisleitfaden für KI-Modelle mit allgemeinem Verwendungszweck – Inhalte, Leitgedanken und Regelungsstrukturen der ersten beiden Entwürfe im Überblick
28.01.2025
Schadensersatz für unsichere Datentransfers
23.01.2025
Kopplungsangebote im Healthcare-Sektor – Rechtliche Fallstricke aus wettbewerbsrechtlicher Sicht
20.01.2025
Das Barrierefreiheitsstärkungsgesetz (BFSG) Teil 1: Folgen für Webseiten und Apps
16.01.2025
So coachen Sie rechtssicher im Verbraucherrecht: AGB und Widerrufsrecht im Fokus
03.01.2025
EU-Digitalrecht 2025 – Diese Neuerungen sollten Beachtung finden
20.12.2024
Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zum Einsatz von KI-Modellen
11.12.2024
Wonach haften Plattformbetreiber? – Das Verhältnis zwischen Art. 17 DSM-RL, UrhDaG und DSA
06.12.2024
Neues vom Bundesgerichtshof zum Schadensersatz beim sog. Scraping – eine Lose/Lose-Situation für Unternehmen und Verbraucher?
02.12.2024
Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken
27.11.2024
Neue Vorgaben zur Barrierefreiheit: Betroffene Unternehmen müssen bis Juni ihren Webauftritt überarbeiten

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.