Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung - Ein kurzer Überblick
Anlässlich des Digital-Gipfels 2019 hat es sich die Fokusgruppe Datenschutz der Plattform 9 „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ zur Aufgabe gemacht, einen Entwurf für einen Code of Conduct für die Pseudonymisierung personenbezogener Daten zu erarbeiten.
Die Pseudonymisierung kann einen fundamentalen Beitrag leisten, dass Persönlichkeitsrechte von Nutzerinnen und Nutzern beim Betrieb digitaler Plattformen gewahrt werden und diese vor einer individualisierten Profilerstellung geschützt sind.
Über einen Code of Conduct für die Pseudonymisierung erhalten Betreiber von Plattformen die Möglichkeit, die Pseudonymisierung anhand transparenter Vorgaben vorzunehmen. Nutzerinnen und Nutzer profitieren von der Anwendung einheitlicher Standards.
(Das hier vorgestellte Dokument stellt keinen finalen Code of Conduct dar. Hierzu bedarf es - neben einer Genehmigung durch eine Aufsichtsbehörde für den Datenschutz - der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes)
Worum es geht
Ziel dieses Code of Conduct (CoC) ist es, entsprechend Art. 40 Abs. 2 lit. d Datenschutz-Grundverordnung (DS-GVO) konkrete Verhaltensregeln für eine datenschutzkonforme Pseudonymisierung nach den Anforderungen der DS-GVO zu beschreiben.
Begriffe
Pseudonymisierung i.S.d. Art. 4 Nr. 5 DS-GVO ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Nach Art. 4 Nr. 5 DS-GVO ist die zusätzliche Information die einzige Information, mit der die Verbindung eines Pseudonyms zu der repräsentierten Person hergestellt werden kann. Abhängig von der Pseudonymisierungsmethode kann die zusätzliche Information eine direkte Zuordnung oder eine Zuordnungsregel sein.
Ein Pseudonym ist eine Zeichenkette, die Identitätsdaten einer Person ersetzt und damit diese Person repräsentiert.
Pseudonymisierungsmethode bezeichnet das technisch-organisatorische Verfahren, mit dem ein Pseudonym generiert wird.
Ernennung eines Fachverantwortlichen für Pseudonymisierung
Wichtig für den DS-GVO konformen Prozess der Pseudonymisierung ist die Ernennung eines „Fachverantwortlichen für Pseudonymisierung“ (FvfP). Dies sind Personen bzw. Abteilungen, die für eine datenschutzkonforme Ausgestaltung des Pseudonymisierungsprozesses innerhalb eines Unternehmens oder einer öffentlichen Stelle übergeordnet verantwortlich sind. Ein FvfP soll die einzelnen organisatorischen Verantwortlichkeiten rund um die Pseudonymisierung koordinieren und muss daher das erforderliche technische Know-How besitzen. Er ist abzugrenzen von einem Datenschutzbeauftragten und darf auch kein solcher sein.
Notwenige Kriterien zur Festlegung der Pseudonymisierungsmethode
1. Art und Risikoklasse der verarbeiteten personenbezogenen Daten. Zur Gewährleistung einer datenschutzkonformen Pseudonymisierung ist die Art und Risikoklasse der verarbeiteten Daten festzulegen. Auf Basis dieser Risikoabschätzung hat die Auswahl des adäquaten, DS-GVO konformen Pseudonymisierungsverfahrens zu erfolgen. Grundsätzlich kann es verschiedene Kategorien von Daten geben:
- Personenbezogene Daten nach Art. 4 Nr. 1 DS-GVO
- Besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO
2. Beabsichtigte Verarbeitungszwecke. Es ist festzuhalten, zu welchen Zwecken die Daten verarbeitet werden sollen. Zwecke müssen aber auch hinreichend präzise sein, sodass die Beachtung des Zweckbindungsgrundsatzes ermöglicht wird. In Betracht kommen etwa Datenverarbeitungen zu Abrechnungszwecken, zur Prüfung der Netzauslastung eines Mobilfunkanbieters, für Zwecke der Produktentwicklung oder die Verarbeitung von Daten zu Forschungszwecken.
3. Der Kontext der Pseudonymisierung ist zu dokumentieren. Mit dem Kontext der Verarbeitung ist der rechtliche Kontext für die Pseudonymisierung gemeint. Eine Pseudonymisierung kann beispielsweise im Zuge ihrer Ermöglichungsfunktion im Rahmen von Art. 6 Abs. 1 lit. f sowie Art. 6 Abs. 4 DS-GVO oder als rein technisch-organisatorische Maßnahmen nach Art. 32 DS-GVO bzw. im Rahmen des Art. 25 DS-GVO eingesetzt werden. Eine Dokumentation ist erforderlich, da dieser Kontext ebenfalls Einfluss auf die Wahl des angemessenen Pseudonymisierungsverfahrens hat.
4. Erwartete Anzahl der verarbeiteten Datensätze. Es ist zu prüfen und zu dokumentieren, wie hoch die Anzahl der verarbeiteten Datensätze sein wird. Es muss ein Überblick darüber bestehen, ob nur wenige Datensätze oder eine große Anzahl von Daten pseudonymisiert werden.
5. Die Arten der benötigten Pseudonyme sind zu dokumentieren. Es kann zwischen den folgenden Pseudonymisierungsarten unterschieden werden:
- Personen-Pseudonyme, die an Stelle von Identitätsdaten wie z.B. Name, Ausweisnummer oder Mobiltelefonnummer stehen
- Rollen-Pseudonyme, bei denen eine oder ggf. mehrere Personen einem Pseudonym zugeordnet sind (z.B. IP-Nummer)
- Beziehungs-Pseudonyme, bei denen eine Person für jede (Kommunikations-)Beziehung ein anderes Pseudonym verwendet, z.B. unterschiedliche Spitznamen
- Rollen-Beziehungs-Pseudonyme, die eine Kombination der beiden Pseudonym-Arten sind
- Wechselnde Pseudonyme, bei denen z.B. für jede Transaktion oder jeden Eintrag ein neues Pseudonym genutzt wird, was z.B. beim Online-Banking zum Einsatz kommt
6. Festlegung der geeigneten Pseudonymisierungsmethode und des Zeitpunkts der Pseudonymisierung. Für die Pseudonymisierung stehen unterschiedliche Methoden zur Verfügung. Die Stärke der angewandten Methode muss unter Berücksichtigung aller objektiven Faktoren, Risiken für die Rechte und Freiheiten der Betroffenen sowie auch den Kosten der Identifizierung und der dafür erforderliche Zeitaufwand bei Einsatz der zum Zeitpunkt der Verarbeitung verfügbaren Technologien sowie absehbaren technologischen Entwicklungen, geprüft und entsprechend festgelegt und dokumentiert werden. Beim Einsatz von Berechnungsverfahren ist ein State-of-the-Art-Transformationsverfahren einzusetzen.
7. Geplante Weitergabe der pseudonymisierten Daten. Es ist zu dokumentieren, ob pseudonymisierte Daten an Dritte übermittelt werden sollen. Der Verantwortliche oder Auftragsverarbeiter hat angemessene Maßnahmen zu treffen, dass die weitergegebenen Daten durch den oder die Empfänger nur zu den zuvor bestimmten Zwecken verarbeitet werden.
8. Geplante Verarbeitung der pseudonymisierten Daten im Drittstaat. Es ist zu dokumentieren, ob pseudonymisierte Daten außerhalb des EWR verarbeitet werden sollen. Die DS-GVO stellt besondere Anforderungen an die Verarbeitung personenbezogener Daten in einem Drittland außerhalb der EU bzw. des EWR. Diese Anforderungen sind in Kapitel V der DS-GVO geregelt.
9. Geplante/absehbare Häufigkeit der Re-Identifizierung? Die geplante oder absehbare Häufigkeit der Re-Identifizierung von Betroffenen ist in dokumentierter Form festzulegen. Die gewählten Verarbeitungszwecke haben Einfluss auf die Frage, ob zeitnah und kurzfristig eine Re-Identifizierung von Betroffenen vorgenommen werden muss. Beispielsweise kann es im Bereich der Netzwerküberwachung auf Basis von Pseudonymen kurzfristig notwendig sein, einen mit einem Schadcode infizierten Arbeitsplatz zu ermitteln.
Risikoadäquates Rechte- und Rollenkonzept
Ein bestehendes Rechte- und Rollenkonzept kann eine solche technisch-organisatorische Maßnahme darstellen. Innerhalb eines solchen Rechte- und Rollenkonzepts eignen sich - je nach Risiko der Daten und dem Kontext der Verarbeitung - unterschiedliche Modelle:
“Alles-in-einer-Hand“-Modell: Hier verfügt der Verantwortliche oder Auftragsverarbeiter sowohl über die pseudonymisierten Daten als auch über die jederzeitige Möglichkeit, die verarbeiteten Pseudonyme aufzuheben bzw. Betroffene zu re-identifizieren. Hierbei kann eine Re-Identifizierungsmöglichkeit bei einer Person, einer Abteilung oder in einer juristischen Person verankert sein. In diesen Fällen sollten zumindest interne Vorgaben existieren, aus denen sich zulässige und unzulässige Umstände zur Durchführung einer Re-Identifizierung sowie etwaige Dokumentationspflichten über erfolgte Re-Identifikationen ergeben. Mit Anstieg der zu erwartenden Risiken sollten diese internen Vorgaben zudem um ein angemessenes, internes Rechte- und Rollenkonzept nach dem Need-to-know-Prinzip ergänzt werden (vgl. Mischmodelle).
Treuhändermodell: Im klassischen Treuhändermodell ist der Treuhänder eine juristische Person außerhalb des Verantwortlichen oder Auftragsverarbeiters, mithin ein “Dritter”. Er ist somit eine von der Datenerhebung und Datenauswertung räumlich und organisatorisch unabhängige Vertrauensstelle. Ein Treuhänder kann beispielsweise mit der Aufbewahrung von Schlüsseln zur Re-Identifizierung von Betroffenen betraut werden. Ebenso ist die Verarbeitung von Pseudonymen durch ihn denkbar, während etwaige Schlüssel und Rohdaten beim Verantwortlichen bzw. Auftragsverarbeiter verbleiben.
Festlegung von Vorgaben für die Re-Identifizierung
Für den Fall, dass eine Re-Identifizierung von Betroffenen auf Basis der pseudonymisierten Daten vorgesehen ist, sind folgende Vorgaben zu beachten und deren Prüfung zu dokumentieren. Der Fachverantwortliche unterstützt hierbei:
1. Bei der Pseudonymisierung als reine Schutzmaßnahme bedarf es über die ursprüngliche Legitimation zur Datenverarbeitung hinaus keiner Erlaubnis zur Rückführung der Pseudonyme auf Einzelpersonen. Die Rückführung ist vom ursprünglichen Verwendungszweck gedeckt.
2. Bei einer Pseudonymisierung zur Ermöglichung der Weiterverarbeitung von Daten nach Art. 6 Abs. 4 DS-GVO gilt folgendes:
- In Fällen, in denen der Betroffene ein überwiegendes Interesse an der Rückführung hat (z.B. zum Zweck einer Information oder einer Widerspruchsmöglichkeit), ist die Zulässigkeit in Abhängigkeit der verarbeiteten Daten zu prüfen (Art. 6 bzw. Art. 9 DS-GVO).
- In Fällen, in denen nicht festgestellt werden kann, ob der Betroffene ein Interesse an der Rückführung hat, ist eine Einwilligung zur Re-Identifizierung einzuholen. Hiervon ausgenommen sind Rückführungen auf Basis einer rechtlichen Erlaubnis.
- In Fällen, in denen der Verantwortliche ein überwiegendes Interesse an der Rückführung (z.B. zum Zweck einer Information) hat, bedarf es der Prüfung der Zulässigkeit in Abhängigkeit der verarbeiteten Daten (Art. 6 Abs. 4 DS-GVO)
Festlegung eines Prozesses zur regelmäßigen Überprüfung der Erforderlichkeit der Verarbeitung
Es ist durch zu definieren und zu dokumentieren, in welchen Abständen die Erforderlichkeit der Verarbeitung der pseudonymisierten Daten zu überprüfen ist. Der Prozessverantwortliche berät und unterstützt hierbei. Eine solche Überprüfung sollte in der Regel mindestens alle zwei Jahre erfolgen.
Mitteilungspflichten gegenüber Aufsichtsbehörden in besonderen Fällen
Ist trotz einer Pseudonymisierung weiterhin ein hohes Risiko für Rechte und Freiheiten Betroffener im Rahmen einer Verarbeitungstätigkeit feststellbar und stellt die Pseudonymisierung die einzige Schutzmaßnahme dar, ist die zuständige Aufsichtsbehörde gem. Art. 36 DS-GVO zu konsultieren.
Prozesse und getroffene Maßnahmen sind so zu dokumentieren,
- dass der Prozessverantwortliche in der Lage ist, den Prozess oder die Maßnahme hinsichtlich der Wirksamkeit zu bewerten; die Implementierung der Prozesse oder der getroffenen Maßnahmen zu verifizieren; die Einhaltung der Prozesse oder der getroffenen Maßnahmen zu evaluiern
- und dassder Prozessverantworliche und alle mit der Umsetzung betrauten Personen in der Lage sind, den Prozess oder die Maßnahme zu verstehen und entsprechend der definierten Vorgaben umzusetzen.
Technische Anforderungen an Berechnungsverfahren
Bei dem Einsatz von Berechnungsverfahren zur Bestimmung von Pseudonymen (insbesondere für pseudonyme Benutzer) ist sicherzustellen, dass diese folgende Eigenschaften haben:
- Sie müssen auf nach dem aktuellen Stand der Technik sicheren kryptographischen Verfahren basieren.
- Für den gegebenen Klartext-Raum (z.B. die Menge aller User-IDs oder Namen oder Telefonnummern) muss die Funktion Pseudonym = f(Klartext-ID) eindeutig sein, d.h. bei unterschiedlichen Klartext-Schlüsseln müssen unterschiedliche Pseudonyme resultieren, um Homonymfehler sicher zu vermeiden.
- Die Umkehrfunktion Klartext-ID = g(Pseudonym) darf nicht mit vertretbarem Aufwand berechenbar sein.
- Ähnliche, insbesondere aufeinanderfolgende Klartext-IDs dürfen nicht zu ähnlichen Pseudonymen führen, kleine Änderungen an Klartext-IDs müssen zu völlig unterschiedlichen Pseudonymen führen, um die Möglichkeit des „Erratens“ von Klartext-IDs zu erschweren.
- Die Sicherheit der Pseudonymisierung darf nicht durch Geheimhalten des Algorithmus erreicht werden, sondern durch einen geheimen Schlüssel.
- Aus der Kenntnis eines Paars (Klartext-ID/Pseudonym) darf nicht mit vertretbarem Aufwand auf den eingesetzten geheimen Schlüssel geschlossen werden können.
- Aus den Punkten 1.-6. resultiert die Empfehlung, die Pseudonymisierung mithilfe einer kryptographischen Hash-Funktion oder eines symmetrischen Blockchiffreverfahrens durchzuführen, bei dem neben der Klartext-IDs ein geheimer, konstanter Schlüssel eingeht, dessen Entropie mindestens 100 Bit beträgt. Entropie bezeichnet ein Maß für die Unbestimmtheit einer Zeichenfolge (z.B. liefern zehn voneinander unabhängige Münzwürfe (Kopf/Zahl) zehn Bit Entropie). Bei Verwendung einer Hashfunktion ergibt sich die Mindestlänge des Hashwerts aus der Forderung zu in Ziff. 3.
Die Fokusgruppe beabsichtigt, die Genehmigung einer Aufsichtsbehörde für den Code of Conduct einzuholen und Prozesse zur Kontrolle der Einhaltung des Codes festzulegen. Der aktuelle Entwurf stellt allerdings noch nicht die finale Version dar, sondern soll unter anderem um weitere Anwendungsbeispiele ergänzt werden.
Autor:
Prof. Dr. Michael Meier
Universität Bonn/Gesellschaft für Informatik e.V., Mitglied der Fokusgruppe
E-Mail
Kommentare und Anregungen zum Entwurf sind sehr willkommen.
Quelle: Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung der Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels 2019. Download des gesamten Dokuments.