BlogbeitragSicherheit - Schutz und Zuverlässigkeit

Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung - Ein kurzer Überblick

Anlässlich des Digital-Gipfels 2019 hat es sich die Fokusgruppe Datenschutz der Plattform 9 „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ zur Aufgabe gemacht, einen Entwurf für einen Code of Conduct für die Pseudonymisierung personenbezogener Daten zu erarbeiten.

Die Pseudonymisierung kann einen fun­damentalen Beitrag leisten, dass Persönlichkeitsrechte von Nutzerinnen und Nutzern beim Betrieb digitaler Plattformen gewahrt werden und diese vor einer individualisierten Profiler­stellung geschützt sind.

Über einen Code of Conduct für die Pseudonymisierung erhalten Betreiber von Plattformen die Möglichkeit, die Pseudonymisierung anhand transparenter Vorgaben vorzunehmen. Nutzerinnen und Nutzer profitieren von der Anwendung einheitlicher Standards.

(Das  hier vorgestellte Dokument stellt keinen finalen Code of Conduct dar. Hierzu bedarf es - neben einer Genehmigung durch eine Aufsichts­behörde für den Datenschutz - der Festlegung von Prozessen zur Kontrolle der Einhaltung des Codes)

 

Worum es geht

Ziel dieses Code of Conduct (CoC) ist es, entsprechend Art. 40 Abs. 2 lit. d Datenschutz-Grundverordnung (DS-GVO) konkrete Verhaltensregeln für eine daten­schutzkonforme Pseudonymisierung nach den Anforderungen der DS-GVO zu beschreiben.

 

Begriffe

Pseudonymisierung i.S.d. Art. 4 Nr. 5 DS-GVO ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Nach Art. 4 Nr. 5 DS-GVO ist die zu­sätzliche Information die einzige Infor­mation, mit der die Verbindung eines Pseu­donyms zu der repräsentierten Person hergestellt werden kann. Abhängig von der Pseudonymisierungsmethode kann die zusätzliche Information eine direkte Zu­ordnung oder eine Zuordnungsregel sein.

Ein Pseudonym ist eine Zeichenket­te, die Identitätsdaten einer Person ersetzt und damit diese Person repräsentiert.

Pseudonymisierungsmethode be­zeichnet das technisch-organisatorische Verfahren, mit dem ein Pseudonym gene­riert wird.

 

Ernennung eines Fachverantwortlichen für Pseudonymisierung

Wichtig für den DS-GVO konformen Prozess der Pseudonymisierung ist die Ernennung eines „Fachverantwortlichen für Pseudonymisierung“ (FvfP). Dies sind Personen bzw. Abteilungen, die für eine datenschutzkonforme Ausgestaltung des Pseudonymisierungsprozesses innerhalb eines Unternehmens oder einer öffentlichen Stelle übergeordnet verantwortlich sind. Ein FvfP soll die einzelnen organisatorischen Verantwortlichkeiten rund um die Pseudonymisierung koordinieren und muss daher das erforderliche technische Know-How besitzen. Er ist abzugrenzen von einem Datenschutzbeauftragten und darf auch kein solcher sein.

 

Notwenige Kriterien zur Festlegung der Pseudony­misierungsmethode

1. Art und Risikoklasse der ver­arbeiteten personenbezogenen Daten. Zur Gewährleistung einer datenschutz­konformen Pseudonymisierung ist die Art und Risikoklasse der verarbeiteten Daten festzulegen. Auf Basis dieser Risikoab­schätzung hat die Auswahl des adäqua­ten, DS-GVO konformen Pseudonymisie­rungsverfahrens zu erfolgen. Grundsätzlich kann es ver­schiedene Kategorien von Daten geben:

  • Personenbezogene Daten nach Art. 4 Nr. 1 DS-GVO
  • Besondere Kategorien personenbezo­gener Daten nach Art. 9 Abs. 1 DS-GVO

2. Beabsichtigte Verarbeitungszwecke. Es ist festzuhalten, zu welchen Zwecken die Daten verarbeitet werden sollen. Zwecke müssen aber auch hinreichend präzise sein, sodass die Beachtung des Zweckbindungsgrundsatzes ermöglicht wird. In Betracht kommen etwa Daten­verarbeitungen zu Abrechnungszwecken, zur Prüfung der Netzauslastung eines Mobilfunkanbieters, für Zwecke der Pro­duktentwicklung oder die Verarbeitung von Daten zu Forschungszwecken.

3. Der Kontext der Pseudonymisierung ist zu dokumentieren. Mit dem Kontext der Ver­arbeitung ist der rechtliche Kontext für die Pseudonymisierung gemeint. Eine Pseudonymisierung kann beispielswei­se im Zuge ihrer Ermöglichungsfunktion im Rahmen von Art. 6 Abs. 1 lit. f sowie Art. 6 Abs. 4 DS-GVO oder als rein tech­nisch-organisatorische Maßnahmen nach Art. 32 DS-GVO bzw. im Rahmen des Art. 25 DS-GVO eingesetzt werden. Eine Dokumentation ist erforderlich, da dieser Kontext ebenfalls Einfluss auf die Wahl des angemessenen Pseudonymisie­rungsverfahrens hat.

4. Erwartete Anzahl der verarbei­teten Datensätze. Es ist zu prüfen und zu dokumentieren, wie hoch die Anzahl der verarbeiteten Datensätze sein wird. Es muss ein Überblick da­rüber bestehen, ob nur wenige Daten­sätze oder eine große Anzahl von Daten pseudonymisiert werden.

5. Die Arten der benötigten Pseudonyme sind zu dokumentieren. Es kann zwischen den folgenden Pseudonymisie­rungsarten unterschieden werden:

  • Personen-Pseudonyme, die an Stelle von Identitätsdaten wie z.B. Name, Aus­weisnummer oder Mobiltelefonnummer stehen
  • Rollen-Pseudonyme, bei denen eine oder ggf. mehrere Personen einem Pseu­donym zugeordnet sind (z.B. IP-Nummer)
  • Beziehungs-Pseudonyme, bei denen eine Person für jede (Kommunikations-)Beziehung ein anderes Pseudonym ver­wendet, z.B. unterschiedliche Spitznamen
  • Rollen-Beziehungs-Pseudonyme, die eine Kombination der beiden Pseudo­nym-Arten sind
  • Wechselnde Pseudonyme, bei denen z.B. für jede Transaktion oder jeden Ein­trag ein neues Pseudonym genutzt wird, was z.B. beim Online-Banking zum Ein­satz kommt

6. Festlegung der geeigneten Pseudonymisierungsmethode und des Zeitpunkts der Pseudonymisierung. Für die Pseudonymisierung stehen unter­schiedliche Methoden zur Verfügung. Die Stärke der angewandten Methode muss unter Berücksichtigung aller ob­jektiven Faktoren, Risiken für die Rech­te und Freiheiten der Betroffenen sowie auch den Kosten der Identifizierung und der dafür erforderliche Zeitaufwand bei Einsatz der zum Zeitpunkt der Verarbei­tung verfügbaren Technologien sowie absehbaren technologischen Entwick­lungen, geprüft und entsprechend fest­gelegt und dokumentiert werden. Beim Einsatz von Berechnungsverfahren ist ein State-of-the-Art-Transformationsverfah­ren einzusetzen.

7. Geplante Weitergabe der pseudonymisierten Daten. Es ist zu dokumentieren, ob pseudonymi­sierte Daten an Dritte übermittelt werden sollen. Der Verantwortliche oder Auftrags­verarbeiter hat angemessene Maßnah­men zu treffen, dass die weitergegebenen Daten durch den oder die Empfänger nur zu den zuvor bestimmten Zwecken ver­arbeitet werden.

8. Geplante Verarbeitung der pseudonymisierten Daten im Drittstaat. Es ist zu dokumentieren, ob pseudonymi­sierte Daten außerhalb des EWR verarbei­tet werden sollen. Die DS-GVO stellt beson­dere Anforderungen an die Verarbeitung personenbezogener Daten in einem Dritt­land außerhalb der EU bzw. des EWR. Diese Anforderungen sind in Kapitel V der DS-GVO geregelt.

9. Geplante/absehbare Häufig­keit der Re-Identifizierung? Die geplante oder absehbare Häufigkeit der Re-Identifizierung von Betroffenen ist in dokumentierter Form festzulegen. Die gewählten Verarbeitungs­zwecke haben Einfluss auf die Frage, ob zeitnah und kurzfristig eine Re-Identifi­zierung von Betroffenen vorgenommen werden muss. Beispielsweise kann es im Bereich der Netzwerküberwachung auf Basis von Pseudonymen kurzfristig not­wendig sein, einen mit einem Schadcode infizierten Arbeitsplatz zu ermitteln.

 

Risikoadäquates Rechte- und Rollenkonzept

Ein bestehen­des Rechte- und Rollenkonzept kann eine solche technisch-organisatorische Maß­nahme darstellen. Innerhalb eines solchen Rechte- und Rollenkonzepts eignen sich - je nach Risiko der Daten und dem Kon­text der Verarbeitung - unterschiedliche Modelle:

“Alles-in-einer-Hand“-Modell: Hier verfügt der Verantwortliche oder Auftragsverar­beiter sowohl über die pseudonymisierten Daten als auch über die jederzeitige Mög­lichkeit, die verarbeiteten Pseudonyme aufzuheben bzw. Betroffene zu re-identi­fizieren. Hierbei kann eine Re-Identifizie­rungsmöglichkeit bei einer Person, einer Abteilung oder in einer juristischen Person verankert sein. In diesen Fällen sollten zu­mindest interne Vorgaben existieren, aus denen sich zulässige und unzulässige Um­stände zur Durchführung einer Re-Identi­fizierung sowie etwaige Dokumentations­pflichten über erfolgte Re-Identifikationen ergeben. Mit Anstieg der zu erwartenden Risiken sollten diese internen Vorgaben zudem um ein angemessenes, internes Rechte- und Rollenkonzept nach dem Need-to-know-Prinzip ergänzt werden (vgl. Mischmodelle).

Treuhändermodell: Im klassischen Treu­händermodell ist der Treuhänder eine juristische Person außerhalb des Verant­wortlichen oder Auftragsverarbeiters, mit­hin ein “Dritter”. Er ist somit eine von der Datenerhebung und Datenauswertung räumlich und organisatorisch unabhängi­ge Vertrauensstelle. Ein Treuhänder kann beispielsweise mit der Aufbewahrung von Schlüsseln zur Re-Identifizierung von Be­troffenen betraut werden. Ebenso ist die Verarbeitung von Pseudonymen durch ihn denkbar, während etwaige Schlüssel und Rohdaten beim Verantwortlichen bzw. Auftragsverarbeiter verbleiben.

 

Festlegung von Vorgaben für die Re-Identifizierung

Für den Fall, dass eine Re-Identifizierung von Betroffenen auf Basis der pseudo­nymisierten Daten vorgesehen ist, sind folgende Vorgaben zu beachten und de­ren Prüfung zu dokumentieren. Der  Fachverantwortliche unterstützt hierbei:

1. Bei der Pseudonymisierung als rei­ne Schutzmaßnahme bedarf es über die ursprüngliche Legitimation zur Daten­verarbeitung hinaus keiner Erlaubnis zur Rückführung der Pseudonyme auf Ein­zelpersonen. Die Rückführung ist vom ursprünglichen Verwendungszweck ge­deckt.

2. Bei einer Pseudonymisierung zur Er­möglichung der Weiterverarbeitung von Daten nach Art. 6 Abs. 4 DS-GVO gilt fol­gendes:

  • In Fällen, in denen der Betroffene ein überwiegendes Interesse an der Rückfüh­rung hat (z.B. zum Zweck einer Informa­tion oder einer Widerspruchsmöglichkeit), ist die Zulässigkeit in Abhängigkeit der verarbeiteten Daten zu prüfen (Art. 6 bzw. Art. 9 DS-GVO).
  • In Fällen, in denen nicht festgestellt werden kann, ob der Betroffene ein In­teresse an der Rückführung hat, ist eine Einwilligung zur Re-Identifizierung einzu­holen. Hiervon ausgenommen sind Rückführungen auf Basis einer rechtlichen Erlaubnis.
  • In Fällen, in denen der Verantwortliche ein überwiegendes Interesse an der Rück­führung (z.B. zum Zweck einer Informati­on) hat, bedarf es der Prüfung der Zuläs­sigkeit in Abhängigkeit der verarbeiteten Daten (Art. 6 Abs. 4 DS-GVO)

 

Festlegung eines Prozesses zur regelmäßigen Überprüfung der Er­forderlichkeit der Verarbeitung

Es ist durch zu definieren und zu doku­mentieren, in welchen Abständen die Er­forderlichkeit der Verarbeitung der pseu­donymisierten Daten zu überprüfen ist. Der Prozessverantwortliche berät und unterstützt hierbei. Eine solche Überprüfung sollte in der Re­gel mindestens alle zwei Jahre erfolgen.

 

Mitteilungspflichten gegenüber Aufsichtsbehörden in besonderen Fällen

Ist trotz einer Pseudonymisierung wei­terhin ein hohes Risiko für Rechte und Freiheiten Betroffener im Rahmen einer Verarbeitungstätigkeit feststellbar und stellt die Pseudonymisierung die einzige Schutzmaßnahme dar, ist die zuständige Aufsichtsbehörde gem. Art. 36 DS-GVO zu konsultieren.

Prozesse und getroffene Maßnahmen sind so zu dokumentieren,

  • dass der Prozessverantwortliche in der Lage ist, den Prozess oder die Maßnahme hin­sichtlich der Wirksamkeit zu bewerten; die Implementierung der Prozesse oder der getroffenen Maßnahmen zu veri­fizieren; die Einhaltung der Prozesse oder der getroffenen Maßnahmen zu evaluiern
  • und dassder Prozessverantworliche und alle mit der Umsetzung betrauten Personen in der Lage sind, den Prozess oder die Maßnahme zu verstehen und entsprechend der definier­ten Vorgaben umzusetzen.

 

Technische Anforderungen an Berechnungsverfahren

Bei dem Einsatz von Berechnungsverfah­ren zur Bestimmung von Pseudonymen (insbesondere für pseudonyme Benutzer) ist sicherzustellen, dass diese folgende Eigenschaften haben:

  1. Sie müssen auf nach dem aktuellen Stand der Technik sicheren kryptographischen Verfahren basieren.
  2. Für den gegebenen Klartext-Raum (z.B. die Menge aller User-IDs oder Namen oder Telefonnummern) muss die Funktion Pseudonym = f(Klartext-ID) eindeutig sein, d.h. bei unterschiedlichen Klartext-Schlüsseln müssen unterschiedliche Pseudonyme resultieren, um Homonymfehler sicher zu vermeiden.
  3. Die Umkehrfunktion Klartext-ID = g(Pseudonym) darf nicht mit vertretbarem Aufwand berechenbar sein.
  4. Ähnliche, insbesondere aufeinanderfolgende Klartext-IDs dürfen nicht zu ähnlichen Pseudonymen führen, kleine Änderungen an Klartext-IDs müssen zu völlig unterschiedlichen Pseudonymen führen, um die Möglichkeit des „Erratens“ von Klartext-IDs zu erschweren.
  5. Die Sicherheit der Pseudonymisierung darf nicht durch Geheimhalten des Algorithmus erreicht werden, sondern durch einen geheimen Schlüssel.
  6. Aus der Kenntnis eines Paars (Klartext-ID/Pseudonym) darf nicht mit vertretbarem Aufwand auf den eingesetzten geheimen Schlüssel geschlossen werden können.
  7. Aus den Punkten 1.-6. resultiert die Empfehlung, die Pseudonymisierung mithilfe einer kryptographischen Hash-Funktion oder eines symmetrischen Blockchiffreverfahrens durchzuführen, bei dem neben der Klartext-IDs ein geheimer, konstanter Schlüssel eingeht, dessen Entropie mindestens 100 Bit beträgt. Entropie bezeichnet ein Maß für die Unbestimmtheit einer Zeichenfolge (z.B. liefern zehn voneinander unabhängige Münzwürfe (Kopf/Zahl) zehn Bit Entropie). Bei Verwendung einer Hashfunktion ergibt sich die Mindestlänge des Hashwerts aus der Forderung zu in Ziff. 3.

Die Fokusgruppe beabsichtigt, die Genehmigung einer Aufsichtsbehörde für den Code of Conduct einzuholen und Prozesse zur Kontrolle der Einhaltung des Codes festzulegen. Der aktuelle Entwurf stellt allerdings noch nicht die finale Version dar, sondern soll unter anderem um weitere Anwendungsbeispiele ergänzt werden.

 

Autor:

Prof. Dr. Michael Meier
Universität Bonn/Gesellschaft für Informatik e.V., Mitglied der Fokusgruppe
E-Mail

Kommentare und Anregungen zum Entwurf sind sehr willkommen.

Quelle: Entwurf für einen Code of Conduct zum Einsatz DS-GVO konformer Pseudonymisierung der Fokusgruppe Datenschutz der Plattform Sicher­heit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels 2019. Download des gesamten Dokuments.

Prof. Dr. Michael Meier (Universität Bonn)