137
In der DSGVO ist nicht näher dargelegt, wie genau diese Trennung aussehen muss, aber es ist wohl davon auszugehen, dass dies technisch sowie räumlich zu verstehen sein kann, sodass die zusätzlichen Informationen weder im gleichen (physischen) Schrank liegen noch über das gleiche Nutzerkonto verfügbar sein dürfen.286 Eine logische Trennung mit unterschiedlichen Zugriffsberechtigungen sollte insofern ausreichen.287 Wie aufwendig die Trennung im Einzelfall zu gestalten ist, sollte von der Schutzbedürftigkeit der Daten abhängig gemacht werden.288 Technisch gesehen bieten sich zur Trennung der Einsatz von Referenzlistenmodellen und kryptografischen Verfahren an (dazu unten Rn. 141–144).
138
Sofern sowohl die pseudonymisierten Daten als auch die eine Identifizierung ermöglichenden zusätzlichen Informationen übermittelt werden, kann mangels getrennter Aufbewahrung nicht von einer Pseudonymisierung ausgegangen werden.289
139
Sofern die zusätzlichen Informationen bei einem Dritten aufbewahrt werden und der Verantwortliche wahrscheinlich nicht durch die ihm zur Verfügung stehenden Mittel darauf zugreifen wird, ist auch möglich, dass es sich nicht um pseudonyme, sondern um anonyme Daten handelt (siehe dazu bereits oben Rn. 54).
c) Gewährleistung der Nichtzuordnung durch technische und organisatorische Maßnahmen
140
Art. 4 Nr. 5 DSGVO fordert, dass die Nichtzuordnung pseudonymisierter Daten durch technische und organisatorische Maßnahmen gewährleistet wird.290 Es geht mithin nicht um einen gänzlichen Ausschluss der Zuordnung i.S.v. „garantieren“ (dann würde es sich sowieso um eine Anonymisierung handeln), sondern die Gewährleistung soll nur eine Erschwerung erwirken, sodass auch innerhalb eines Unternehmens sowie erst recht einer Unternehmensgruppe eine Pseudonymisierung möglich ist (zur genauen Ausgestaltung sogleich Rn. 132ff.).291 Welchen Reifegrad die technische und organisatorische Trennung gewährleisten muss, stellt die DSGVO nicht klar. Im Einzelfall sollte jedoch nach einem objektiven Beurteilungsmaßstab eine Verknüpfungsmöglichkeit im Regelfall ausgeschlossen sein.292 Regelmäßig sicherer als die Eigenverwahrung dürfte jedenfalls die Einschaltung eines vertrauenswürdigen Dritten als Treuhänder sein.293
141
Nimmt der Verantwortliche ohne Zuhilfenahme eines Dritten selbst intern eine Pseudonymisierung vor, ist nach ErwG 29 Satz 2 vom Verantwortlichen organisatorisch zu gewährleisten, dass er die bezüglich der zusätzlichen, die Identifizierung ermöglichenden Daten zugriffsbefugten Personen ausdrücklich benennt. Dies unterstreicht, dass der einfache Nutzer der Daten keinen Zugriff auf dieses Referenzwissen haben sollte, sondern – um einen Missbrauch auszuschließen – nur eine begrenzte Anzahl Personen, z.B. bestimmte leitende Mitarbeiter des Verantwortlichen.294
142
Dass nur befugte Personen Zugriff auf die zusätzlichen Informationen haben, sollte durch sowohl technische (z.B. Wahl eines besonders sicheren Pseudonymisierungsverfahrens (dazu sogleich Rn. 141ff.), beschränkte Zugriffsrechte durch entsprechende Rechte- und Rollenkonzepte,295 verschlüsselte Übermittlung der pseudonymisierten Daten sowie insbesondere der Zuordnungsregel als auch organisatorische Maßnahmen (insbesondere klare Festlegung, wer über die Zuordnungsmöglichkeit verfügen soll, wer die Pseudonymisierung vornimmt und unter welchen Bedingungen eine Zuordnung erlaubt ist, was z.B. arbeitsvertraglich, durch Organisationsanweisungen und in der Datenschutz-Policy des Verantwortlichen geregelt werden kann) abgesichert werden.296 Wichtig ist auch, dass organisatorisch sichergestellt ist, dass zu Beginn der Pseudonymisierung, aber auch laufend aufgrund des sich stets ändernden Re-Identifizierungsrisikos (dazu oben Rn. 121) geprüft wird, dass ohne die zusätzlichen Informationen kein Re-Identifizierungsrisiko besteht.297 Generell entscheidend dafür, welche technischen und organisatorischen Maßnahmen konkret ergriffen werden sollten, ist der technische und organisatorische Aufbau des Datenmanagements, also insbesondere die Frage, ob der Verantwortliche jeweils die Datenhaltung und die Pseudonymisierung zentral oder dezentral vornimmt und ob er sich dabei eines Dritten bedient.298
4. Abgrenzung zur Anonymisierung
143
Im Gegensatz zur Anonymisierung verbleibt bei der Pseudonymisierung eine Zuordnungsmöglichkeit aufgrund der gesondert aufbewahrten Zusatzinformationen, weshalb es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt (siehe zur genauen Abgrenzung bereits oben Rn. 54). Entscheidet sich ein Verantwortlicher für eine Pseudonymisierung statt einer Anonymisierung, geht er davon aus, dass es erforderlich sein kann, den Personenbezug wiederherzustellen (z.B. wenn ein Arzt eine Probe pseudonymisiert in ein Labor schickt299).300
5. Varianten der Pseudonymisierung
144
Bei der grundsätzlichen Vorgehensweise der Pseudonymisierung lassen sich drei Ansätze unterscheiden.301 Zum einen kann der Verantwortliche selbst die Pseudonymisierung vornehmen (a), der Verantwortliche kann dafür einen Dritten beauftragen (b) oder aber die betroffene Person selbst setzt ein Pseudonym ein (c).
a) Beim Verantwortlichen selbst
145
Ausdrücklich erlaubt ist es nach ErwG 29 Satz 1,302 dass der Verantwortliche die Pseudonymisierung selbst vornehmen kann, also ohne einen Dritten dafür einzubeziehen (zur Trennung der Daten siehe oben Rn. 127–130).303 Dies ist zumindest nach der Gesetzesformulierung des Art. 4 Nr. 5 DSGVO der Standardfall.304 Dies ist insofern auch angemessen, da auch eine interne Pseudonymisierung Eingriffsintensität sowie Missbrauchsrisiko in Bezug durch sowohl Mitarbeiter als auch Dritte, denen die Daten in pseudonymisierter Form zur Verfügung gestellt werden, verringert.
b) Durch einen Dritten
146
Der Verantwortliche kann sich auch einen vertrauenswürdigen Dritten aussuchen (beispielsweise einen Treuhänder),305 der die Pseudonymisierung vornimmt und danach allein über die Zuordnungsmöglichkeit verfügt.306 Dies ist z.B. im Bereich der medizinischen Forschung eine gängige Konstruktion.307 Entsprechende Konstellationen sind typischerweise durch eine organisatorische Trennung zwischen dem Dritten, der die Zuordnungsmöglichkeit vorhält, und dem potenziellen Datenverwender gekennzeichnet. Gleichwohl existieren aber auch Konstellationen, bei denen der Datenverwender selbst das Wissen hat, um das Pseudonym aufzulösen.308
147
Auch bei der Aufbewahrung der Zuordnungsmöglichkeit durch einen Dritten hat der Verantwortliche entsprechende technische und organisatorische Maßnahmen einzusetzen, um eine Zuordnung zu verhindern (dazu bereits allgemein oben Rn. 131ff.). Mit dem Dritten ist insbesondere zu klären, wie genau das Pseudonymisierungsverfahren abläuft sowie, ob und unter welchen Voraussetzungen von wem eine Zuordnung veranlasst werden kann.309
148
Hierbei ist Folgendes zu beachten: Es handelt sich aus Sicht des datenverarbeitenden Verantwortlichen nicht (nur) um pseudonyme, sondern sogar anonyme Daten, sofern die Wahrscheinlichkeit des Zugriffs auf das für die Zuordnung jeweils erforderliche Zusatzwissen durch entsprechende technische und organisatorische Maßnahmen (z.B. ein vertragliches, mit Vertragsstrafen bewehrtes Herausgabeverbot seitens des Dritten) so verringert ist, dass die Re-Identifizierung der Betroffenen durch