Begriffserklärung der Pseudonymisierung und Anonymisierung in der Gesundheitsversorgung

Begriffserklärung der Pseudonymisierung und Anonymisierung in der Gesundheitsversorgung

08/2018

1. Personenbezogene Daten: Entsprechend Art. 4 Ziff. 1 DS-GVO sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Damit fallen nicht nur Informationen darunter, welche direkt eine Person identifizieren, sondern auch alle Informationen, welche über Zwischenschritte eine Person identifizieren. D. h. soweit und solange die Informationen aus sich heraus Rückschluss auf eine einzelne Person zulassen, handelt es sich um Daten einer bestimmten Person.

 

Der Begriff „identifizierbar“ muss daher im Sinne von „als Einzelperson wahrnehmbar“ bzw. einer „Einzelperson zuordenbar“ verstanden werden. Die Identifizierbarkeit ist damit Dreh- und Angelpunkt hinsichtlich der Beurteilung, ob Daten als anonym oder pseudonym angesehen werden können.

 

2. Pseudonymisierung

Der Begriff der Pseudonymisierung wird in Art. 4 Ziff. 5 DS-GVO definiert. Dort heisst es:

 

„"Pseudonymisierung" die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Massnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

 

Dieser Definition folgend charakterisiert eine Pseudonymisierung daher Nachfolgendes:

  • Die Pseudonymisierung ist eine Verarbeitung personenbezogener Daten.
  • Pseudonyme Daten sind Daten, die ohne weitere Informationen einer spezifischen Person nicht zuordenbar sind.
  • Die zur Zuordenbarkeit benötigten Informationen stehen dem Verantwortlichen nicht zur Verfügung, sondern
    • werden gesondert aufbewahrt und
    • sind durch technische und organisatorische Massnahmen vor dem Zugriff durch den Verantwortlichen geschützt.
  • Für den Verantwortlichen besteht bei der Verarbeitung pseudonymisierter Daten keine Möglichkeit der Identifizierung der betroffenen Person.

Hinweis: ErwGr. 26 führt aus, dass zur Feststellung, ob eine natürliche Person identifizierbar ist, alle Mittel berücksichtigt werden sollten, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

 

3. Pseudonyme Daten

Entsprechend der in der DS-GVO enthaltenen Definition von Pseudonymisierung sind demnach pseudonyme Daten solche Daten, welche der oder die Verantwortlichen keiner spezifischen Person zuordnen können, jedoch für andere durch die Einbeziehung weitergehender Informationen („Zuordnungsregeln“) die grundsätzliche Möglichkeit der Zuordnung besteht. Dafür ist es nicht erforderlich, dass die betroffene Person durch die „Re-Identifizierung“ mit bürgerlichem Namen zu identifizieren ist1. Ausreichend ist vielmehr, wenn durch das Datum bzw. die Daten die betroffene Person individualisiert wird und Aussagen über deren sachliche und persönliche Verhältnisse möglich sind; ein Name muss nicht vorhanden sein.

 

4. Anonyme Daten

Entsprechend ErwGr. 26 DS-GVO sollten die Vorgaben der DS-GVO nicht für anonyme Daten gelten. D. h. für anonyme Daten gelten die Anforderungen der DS-GVO nicht. Jedoch muss der Verantwortliche, u. a. der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO folgend, zu jedem Zeitpunkt der Verarbeitung (und damit insbesondere auch während der gesamten Speicherdauer) nachweisen können, dass es sich um anonyme Daten handelt.

 

Daraus ergibt sich im Umkehrschluss, dass anonyme Daten weder direkt personenbezogene Daten noch pseudonymisierte Daten sein können. D. h., anonyme Daten sind Daten, bei denen keine Zuordnungsmöglichkeit zu einer spezifischen betroffenen Person existiert.

 

5. Anonymisierung

Anonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

 

Zur Klarstellung: Sowohl pseudonyme als auch anonyme Daten sind daher für den Verantwortlichen keiner spezifischen betroffenen Person zuordenbar. Der Unterschied zwischen anonymen und pseudonymen Daten liegt darin, dass bei pseudonymen Daten ausserhalb der Zugriffsmöglichkeiten des Verantwortlichen grundsätzlich eine Zuordnungsmöglichkeit besteht oder bestehen könnte, bei anonymen Daten hingegen für niemanden eine Zuordnungsmöglichkeit vorhanden ist.

 

Da es sich sowohl bei der Pseudonymisierung als auch bei der Anonymisierung um eine Verarbeitung gemäss Art. 4 Ziff. 2 DS-GVO handelt, ist daher auch für eine Anonymisierung bzw. Pseudonymisierung von Gesundheitsdaten ein Erlaubnistatbestand gem. Art. 9 Abs. 2,4 DS-GVO bzw. Art. 6 Abs. 1, 2 DS-GVO für Daten, die nicht zu den besonderen Kategorien zählen, erforderlich.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de