129
Allerdings erkennt der europäische Gesetzgeber in ErwG 28 Satz 1 ausdrücklich an, dass ein Anreiz bestehen muss, personenbezogene Daten zu pseudonymisieren, dass pseudonymisierte Daten die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen können. Es ist beispielsweise möglich, durch den unternehmensinternen Einsatz von Pseudonymisierungen die Missbrauchsgefahr von personenbezogenen Daten zu begrenzen, indem Mitarbeitern lediglich Zugriff auf pseudonymisierte Datensätze, jedoch nicht auf die entsprechende Zuordnungsregel gewährt wird. So wird der Anreiz einer unberechtigten Datennutzung minimiert, da die Daten in der Regel weder für den Mitarbeiter noch für einen interessierten Dritten von Wert sein werden, da sie nicht über die nötige Zuordnungsregel verfügen, um die Daten in einem anderen Kontext fruchtbar zu machen.261 Wirtschaftlich gesehen bewahren pseudonymisierte Daten dem Verantwortlichen im Gegensatz zu anonymisierten Daten die Möglichkeit, Daten zusammenzuführen262 oder zu erweitern,263 da die jeweiligen Datensätze einer bestimmten Person – wenn auch unter einem Pseudonym – zugeordnet werden können. Die Pseudonymisierung gewährt somit nicht nur bessere Vertraulichkeit, sondern erhält auch ein gewisses Maß an Nutzbarkeit.264 Andererseits stellt die Zuordnung eines Pseudonyms für viele unterschiedliche Sachverhalte eine Gefahr dar, weil dadurch ein klares Profil der natürlichen Person geschaffen wird und der zu betreibende Aufwand für eine De-Anonymisierung sinkt.265 Es kann daher sinnvoll sein, für jedes Ereignis ein neues Pseudonym (dann auch „Transaktionspseudonym“ genannt)266 zu verwenden.267
130
Nicht ausdrücklich gesetzlich vorgesehen, aber dennoch wohl praktisch als Anreiz existierend, ist der Faktor, dass es eine Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO zugunsten des Verantwortlichen beeinflussen kann, wenn dieser die jeweils betroffenen Daten lediglich in pseudonymisierter Form verarbeitet.268 Generell dürfte eine Pseudonymisierung bei allen Pflichten in der DSGVO, die eine risikobasierte Prüfung vorsehen, sich positiv für denjenigen, der eine Pseudonymisierung vorgenommen hat, auswirken.269 Spiegelbildlich ist jedoch zu beachten, dass eine Aufhebung der Pseudonymisierung und damit womöglich eine einhergehende Re-Identifizierung eine besonders erhebliche Beeinträchtigung der Rechte der betroffenen Person darstellt, insbesondere wenn dieser die Aufhebung nicht erwarten durfte (vgl. auch die explizite Nennung der Aufhebung der Pseudonymisierung als möglicher Schaden in ErwG 75 und 85 Satz 1).270 Unter der DSGVO besteht hingegen keine generelle Pflicht des Verantwortlichen zur bzw. ein Recht der betroffenen Personen auf Pseudonymisierung (vgl. für Telemedien § 13 Abs. 6 TMG271).272 Dem steht auch schon die ausdrückliche Erwähnung in ErwG 28 Satz 2 entgegen, dass neben der Pseudonymisierung noch andere Möglichkeiten der grundrechtsschonenden Datenverarbeitung existieren. Im Einzelfall kann dem Verantwortlichen aber im Sinne des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und im Rahmen der Interessenabwägung der Einsatz der Pseudonymisierung angeraten sein, um z.B. bei einer Datenanalyse die nicht relevanten identifizierenden Merkmale zu schützen.273 Einige mitgliedstaatliche Vorschriften auferlegen ausdrücklich Pseudonymisierungspflichten, meist bereichsspezifisch (z.B. bei der Verarbeitung von besonderen Kategorien personenbezogener Daten zu Forschungszwecken und statistischen Zwecken, siehe dazu § 27 BDSG Rn. 16ff.).274
131
Die DSGVO gesteht der Pseudonymisierung eine Vielzahl von Erleichterungen bzw. positiven Anerkenntnissen zu. Die Pseudonymisierung ist wie auch die Verschlüsselung (zur Einstufung der Verschlüsselung als Pseudonymisierung siehe unten Rn. 143) etwa gemäß Art. 6 Abs. 4 lit. e DSGVO als begünstigender Faktor bei einer zweckändernden Verarbeitung zu berücksichtigen.275 Bei Verletzungen des Schutzes personenbezogener Daten kann bei vorher erfolgter Verschlüsselung der relevanten Daten die Benachrichtigungspflicht gegenüber betroffenen Personen gemäß Art. 34 Abs. 3 lit. a DSGVO entfallen. Die Pseudonymisierung ist ausdrücklich sowohl eine Maßnahme zur Gewährleistung des Datenschutzes durch Technikgestaltung bzw. des Datenschutzes durch datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 1 DSGVO276 als auch der Sicherheit der Verarbeitung nach Art. 32 Abs. 1 lit. a DSGVO.277 Die Frage, ob Daten pseudonymisiert wurden oder nicht, ist dementsprechend zumindest mittelbar ein Faktor bei der Bußgeldbemessung nach Art. 83 Abs. 2 lit. d DSGVO. Auch für die Verarbeitung von besonderen Kategorien personenbezogener Daten nach § 22 Abs. 1, 2 BDSG sind ausdrücklich die Pseudonymisierung oder Verschlüsselung in Betracht zu ziehen. Der Einsatz von Pseudonymisierung kann auch dazu führen, dass Pflichten zur Erfüllung der Betroffenenrechten, über Art. 11 DSGVO eingeschränkt werden.278 Sofern Mitgliedstaaten eine Privilegierung der Verarbeitung von personenbezogenen Daten zu im öffentlichen Interesse liegenden Archiv-, Forschungs- oder statistischen Zwecken vorsehen, kann gemäß Art. 89 Abs. 1 Satz 2 DSGVO eine Pseudonymisierung als Bedingung gefordert werden.
132
Im Nachgang an das Schrems II-Urteil des EuGH279 hat der EDSA die Relevanz der Pseudonymisierung von personenbezogenen Daten auch auf Drittlandtransfers erweitert. So geht der EDSA davon aus, dass die Pseudonymisierung von Daten als zusätzliche Sicherheitsmaßnahme (in der Regel also zusätzlich zum Abschluss von EU-Standardvertragsklauseln, vgl. hierzu Art. 46 Rn. 8ff.) in aller Regel ausreichend ist, um beim Datenimporteur im Drittland ein angemessenes Datenschutzniveau für den betroffenen Datentransfer zu etablieren, auch wenn das jeweilige Empfängerland grundsätzlich als unsicher zu klassifizieren wäre.280 Der EDSA setzt dabei jedoch insbesondere voraus, dass der Datenimporteur keine Kenntnis über die jeweils verwendete Zuordnungsregel erhält.
3. Voraussetzung einer wirksamen Pseudonymisierung
133
In Art. 4 Nr. 5 DSGVO hat der europäische Gesetzgeber klare Voraussetzungen für eine wirksame Pseudonymisierung vorgesehen. Grundlegend versteht die DSGVO die Pseudonymisierung nicht nur als technische Maßnahme, sondern sie muss auch durch korrespondierende organisatorische Maßnahmen abgesichert werden.281
134
Im Detail verlangt der Gesetzestext, dass kumulativ282 (a) die Daten nicht ohne zusätzliche Informationen hinzuzuziehen einer natürlichen Person zugeordnet werden können, (b) die zusätzlichen Informationen getrennt aufbewahrt werden und (c) dass durch technische und organisatorische Maßnahmen sichergestellt wird, dass die Daten nicht entsprechend zurückzugeordnet werden.
a) Zuordnung von Daten ohne Hinzuziehung zusätzlicher Informationen nicht möglich
135
Wenn dem Verantwortlichen im zu betrachtenden Datensatz Informationen vorliegen, die eine Zuordnung ohne Weiteres ermöglichen, liegt schon keine Pseudonymisierung vor, unabhängig davon, ob darüber hinaus zusätzliche Informationen separat aufbewahrt werden.283 Die pseudonymisierten Daten müssen, solange die zusätzlichen Informationen nicht einbezogen werden, aus sich heraus für die relevante Stelle anonym sein, weshalb hier wiederum die Wahrscheinlichkeit der Identifizierung (unter gedanklicher Ausklammerung der bestehenden Zuordnungsregel) geprüft werden muss (siehe dazu oben Rn. 54).284
b) Getrennte Aufbewahrung der zusätzlichen Informationen
136
Die vom Pseudonym ersetzten zusätzlichen Informationen, die eine Identifizierbarkeit ermöglichen, sind nach Art. 4 Nr. 5 DSGVO getrennt von den Daten