c) Direkte Erhebung des Pseudonyms
149
Informationen können auch unmittelbar in pseudonymer Form erhoben werden. So kann etwa die betroffene Person in einigen Konstellationen für sich selbst eine Kennung (z.B. eine Nutzer-ID bei Online-Diensten oder Angabe eines Decknamens bei einer Hotelbuchung) auswählen, also mithilfe eines Pseudonyms ihre wahre Identität verschleiern (zur Pflicht der Anbieter, eine Pseudonym-Wahl zu ermöglichen – wie noch unter § 13 Abs. 6 TMG – siehe oben Rn. 121).310 Gleichermaßen können Verantwortliche Informationen in pseudonymer Form erhalten, die durch ihnen unter Umständen unbekannte Dritte pseudonymisiert worden sind oder eben in einer Form vorliegen, die eine Identifizierung der Betroffenen aus sich selbst heraus nicht ermöglicht (etwa IP-Adressen, Cookie-IDs, Kreditkartennummern usw.). Hierbei handelt es sich in strenger Auslegung der Verordnung um keine Pseudonymisierung, wie sie Art. 4 Nr. 5 DSGVO vorsieht, weil die Pseudonymisierung nicht vom Verantwortlichen gesondert veranlasst und durch technische und organisatorische Mittel geschützt wird.311 Nicht ersichtlich ist jedoch, aus welchem Grund die Verarbeitung solcher Pseudonyme die gesetzlich geregelten Quasi-Privilegierungen nicht auslösen sollte (siehe zu diesen oben Rn. 119ff.), da die typischen mit der Pseudonymisierung einhergehenden Vorteile für die Betroffenen auch im Falle solcher Pseudonyme vorliegen.
150
Sollte der Verantwortliche bzw. Dritte ein solches Pseudonym nicht oder nicht mit vertretbarem Aufwand auflösen können, etwa da er über keinen Zugang zur Zuordnungsregel verfügt oder eine anderweitige Rückführung unmöglich ist bzw. mit einem unverhältnismäßigen Aufwand verbunden wäre, ist zu beachten, dass es sich bei den entsprechenden Daten für den Verantwortlichen um anonyme Daten handelt (siehe allgemein zur Voraussetzung der Anonymität oben Rn. 47ff.). Sofern entsprechende Mittel vorliegen, handelt es sich bis zu einer entsprechenden Re-Identifizierung der Betroffenen um ein Pseudonym.312
151
Ob das jeweilige Pseudonym jedoch wirklich schützende Wirkung hat und daher die quasi-privilegierenden Folgen der DSGVO auslösen kann, hängt von der Stärke des Pseudonyms und damit vom Einzelfall ab. Es ist denkbar, dass ein Nutzer einer Online-Community mit dem Namen Max Mustermann sich den Benutzernamen „Max.Mustermann87“ aussucht, weil er im Jahr 1987 geboren ist. In diesem Fall wäre datenschutzrechtlich nichts gewonnen, sondern im Gegenteil, die selbst gewählte Kennung wäre für Dritte noch informationsreicher als der eigentliche Name.
6. Pseudonymisierungsverfahren
152
In der Praxis bieten sich verschiedene Pseudonymisierungsverfahren an, die allerdings weder in der DSGVO benannt noch näher beleuchtet werden. Die Art.-29-Datenschutzgruppe313 hat sich allerdings mit eben diesen befasst, wie auch die Datenschutzbeauftragten des Bundes und der Länder.314 Die Wirksamkeit der gewählten Pseudonymisierungsverfahren hängt nach der Art.-29-Datenschutzgruppe vom Zeitpunkt der Pseudonymisierung, von der Rücknahmefestigkeit der Pseudonymisierungsprozedur, von der Größe der Population, in der sich die betroffene Person verbirgt, von der Verkettungsmöglichkeit von einzelnen Transaktionen oder Datensätzen derselben betroffenen Person, von der Zufälligkeit und Vorhersehbarkeit sowie der Menge der möglichen Pseudonyme ab.315
153
Ein gängiges Verfahren der Pseudonymisierung ist zunächst die Erstellung einer Referenzliste, in der die extrahierten identifizierenden Daten dem Pseudonym gegenübergestellt werden, um eine klare Zuordnung mit Hilfe dieser Liste zu ermöglichen.316 Dies bietet sich für Situationen an, bei denen eine Zuordnung nur in Ausnahmefällen notwendig ist, wie z.B. für fehlerhafte Zahlungsvorgänge.317 Die Referenzlisten können dabei auch von einem oder mehreren Dritten verwahrt werden (siehe dazu bereits oben Rn. 138).
154
Auch die Verschlüsselung von personenbezogenen Daten, eines der sog. kryptografischen Verfahren, kann ein Werkzeug zur Pseudonymisierung sein.318 Eine Verschlüsselung ist eine Maßnahme, durch die ein Datensatz (oder im Falle der Pseudonymisierung u.U. auch nur der Teil des Datensatzes, der sich auf natürliche Personen bezieht) mit kryptografischen Verfahren so unkenntlich gemacht wird, dass er nur durch einen oder mehrere Schlüssel (z.B. ein Passwort oder ein mathematischer Algorithmus) wieder lesbar gemacht werden kann.319 Unterschieden wird insofern zwischen der symmetrischen Verschlüsselung, d.h. ein Schlüsseltausch zwischen berechtigtem Sender und Empfänger, und der asymmetrischen Verschlüsselung, mithin eine Ver- und Entschlüsselung mittels eines öffentlichen und eines privaten Schlüssels.320 Die DSGVO unterscheidet zwar zwischen der Pseudonymisierung und der Verschlüsselung, eine Verschlüsselung dürfte aber jedenfalls dann als Pseudonymisierung anzusehen sein, wenn der Schlüssel getrennt und nicht für die Nutzer der Daten aufbewahrt wird und diese Trennung mit technisch-organisatorischen Maßnahmen gewährleistet wird.321 Unabhängig davon, ob die Verschlüsselung im konkreten Fall eine Pseudonymisierung erwirkt, gelten jedenfalls viele der Quasi-Privilegierungen (siehe oben Rn. 119) auch allgemein für Verschlüsselungen. Im Einzelfall wird nach erfolgter Verschlüsselung auch für einen Nicht-Schlüsselinhaber von einer Anonymisierung auszugehen sein (vgl. dazu bereits oben Rn. 54).322 Die Stärke der kryptografischen Verfahren richtet sich nach verschiedenen Faktoren, z.B. dem Einsatzgebiet, der Verschlüsselungsebene, dem Verschlüsselungsverfahren, dem Verschlüsselungsalgorithmus (bspw. AES oder RSA), der Schlüssellänge (bspw. 128 oder 256 Bit) und dem Einweg- oder Zweiweg-Charakter.323
155
Der gerade im Rahmen von Blockchains prävalente Einsatz von Hash-Funktionen (Streuwertfunktionen), die ebenfalls den kryptografischen Verfahren zugeordnet werden, kann je nach Ausgestaltung durch „Verhashung“ von identifizierenden Informationen auch zu einer wirksamen Pseudonymisierung führen. Mittels einer Hash-Funktion werden Eingabedaten auf Grundlage eines Algorithmus in einen Schlüsseltext (Hashwert) transformiert, der jedenfalls nicht mit verhältnismäßigem Aufwand reversibel ist und bei denselben Eingabedaten stets derselbe ist.324 Um eine Zusammenführung von unter Pseudonymen gespeicherten Einzelinformationen zu einem Profil zu verhindern, werden häufig vor der „Verhashung“ die Hashes gesalzen, also die identifizierenden Merkmale mit einem Zufallswert – dem „Salt“ – versehen.325
156
Bei all diesen Pseudonymisierungsverfahren ist zu beachten, dass es sich um anonyme (nicht nur pseudonyme) Daten handelt, wenn der jeweils verarbeitenden Stelle keine Mittel zur Verfügung stehen, um die Pseudonymisierung mit einem verhältnismäßigen Aufwand zu revidieren (siehe allgemein zur Voraussetzung der Anonymität oben Rn. 47ff.). Insofern sind verschlüsselte bzw. verhashte Daten in der Theorie rückrechenbar, etwa durch sog. Brute-Force-Attacken, bei denen alle möglichen Eingabewerte durchprobiert werden, bis das gesuchte Ergebnis erzielt wird und den unverschleierten Eingabewert preisgibt. Dieser Aufwand wird in der Regel jedoch unverhältnismäßig sein. Insofern werden den allermeisten Stellen die hierfür erforderlichen Ressourcen bereits nicht zur Verfügung stehen.
VII. Dateisystem (Nr. 6)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
157
Der Begriff des „Dateisystems“ dient der Konkretisierung des sachlichen Anwendungsbereichs der DSGVO und löst den in Art. 2 lit. c DSRl verwendeten Begriff der „Datei mit personenbezogenen Daten ab.326 Eine inhaltliche Änderung geht damit jedoch nicht einher.327
158
Gemäß Art. 2 Abs. 1, 1. Alt. DSGVO findet die DSGVO in erster Linie für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten Anwendung. Der Begriff der automatisierten Verarbeitung ist dabei weit zu verstehen; insofern genügt bereits, wenn nur einzelne Teilschritte eines