Hands on: Wie geht man vor bei Pseudonymisierung und Anonymisierung?

Hands on: Wie geht man vor bei Pseudonymisierung und Anonymisierung?

08/2018

1. Identifizierung der direkten und indirekten identifizierenden Daten

Will man eine Pseudo- bzw. Anonymisierung durchführen, müssen in einem ersten Schritt sowohl direkte als auch indirekte Identifikationsmerkmale im Datensatz identifiziert und bzgl. der Notwendigkeit der Änderung/Löschung hinsichtlich des Prozesses einer Pseudonymisierung oder Anonymisierung bewertet werden.

 

Die zur Verarbeitung vorgesehenen Daten sind also in drei Kategorien einzuteilen:

  1. Direkte Identifikationsmerkmale: Alle Daten, welche eine direkte Identifizierung zulassen. Beispiele für direkte Identifikationsmerkmale sind insbesondere Namen (der bürgerlicher Name sowie alle sonstige Namen wie beispielsweise der Rufname oder der Chat Name), unter denen die Person bekannt ist.
  2. Indirekte Identifikationsmerkmale: Alle Daten, welche in Verbindung mit anderem indirektem oder externem Wissen eine Identifikation potentiell ermöglichen. Beispiele für indirekte Identifikationsmerkmale sind:
    • Personenbezeichner (z. B. Patienten-ID, Sozialversicherungsnummer, Steuernummer, Autokennzeichen, Kontonummer, Versicherungsnummer, Geburtsdatum)
    • Erscheinungsmerkmale (z. B. Körpergrösse, Haarfarbe, Kleidung, Tätowierungen)
    • Biometrische Kennzeichen (z. B. Gesicht, Stimmprofile, Fingerabdrücke)
    • Genetische Daten
    • Digitale Zertifikate, welche eine Identifikationsmöglichkeit beinhalten (z. B. Zertifikate zur elektronischen Unterschrift)
    • Identifikationsmerkmale basierend auf elektronischer Kommunikation (z B. Telefonnummer, Faxnummer, E-Mailadresse, IP-Adresse)
    • Demographische Daten (z. B. Religion, Geburtsland, Muttersprache, Vorstrafen)
    • Zuordnungsmerkale (z. B. Beruf, Funktion, Anschriften, Vorstrafen, Name der Mutter/des Vaters)
    • Ausreisservariablen (z. B. seltene Diagnosen, Behandlungsbesonderheiten, körperliche Fehlbildungen, für die untersuchte Population untypische Merkmale).

      Je nachdem, welche weiteren Informationen dem oder den Verantwortlichen zur Verfügung stehen, sind indirekte Identifikationsmerkmale ggf. als direkte Identifikationsmerkmale anzusehen.

  3. Nicht identifizierende Daten: alle anderen Daten, die weder direkte oder indirekte Identifikationsmerkmale darstellen.

 

Gerade bei der Analyse der sogenannten indirekten Identifikationsmerkmale ist häufig eine individuelle, kontextbezogene Betrachtung erforderlich. So kann bspw. in einem Fall die Haarfarbe ein indirektes Identifikationsmerkmal darstellen, durch die eine Person eindeutig identifizierbar wird. In anderen Fällen beinhaltet das Datum „Haarfarbe“ vielleicht keine Re-Identifikationsmöglichkeit. Desgleichen können medizinische Bilddaten neben den zur Identifizierung geeigneten Metadaten (z. B. DICOM StudyUID) auch in sich selbst eine Identifikationsmöglichkeit enthalten, z. B. wenn eine 3D-Rekonstruktion des Kopfes eine Gesichtserkennung ermöglichen würde.

 

2. Arten von Pseudonymen und ihre Unterscheidungsmöglichkeiten

Pseudonyme können einerseits durch den Inhaber der Zuordnungsregel unterschieden werden:

  1. Pseudonyme werden ausschliesslich vom Betroffenen selbst vergeben. Ein Beispiel hierfür ist der „Nickname“ des Nutzers im Chat.
  2. Pseudonyme werden natürlich auch vom ursprünglichen Verarbeiter vergeben, wie dies beispielsweise bei der IP-Adress-Vergabe durch einen Internet-Provider erfolgt.
  3. Pseudonyme können von einem vertrauenswürdigen Dritten vergeben werden, wie dies beispielsweise häufig bei der Einschaltung einer sog. Trusted-Third-Party in medizinischen Forschungsnetzen geschieht.

Eine andere Unterscheidungsmöglichkeit bzgl. Pseudonyme besteht in der Art ihrer Erzeugung:

  1. Das Pseudonym wird durch eine schlüsselabhängige Einweg- oder Hashfunktion aus invarianten Daten (Bsp. Identitätsdaten) erzeugt.
  2. Das Pseudonym wird (willkürlich) nach einem festen Einweg-Algorithmus vom Benutzer aus einem Geheimnis (z. B. Passphrase) erzeugt.
  3. Das Pseudonym wird (zufällig) frei gewählt oder nach einem Zufallsverfahren erzeugt.

Eine dritte Unterscheidungsmöglichkeit bei Pseudonymen besteht in ihrer gesellschaftlichen Verwendung. Pseudonyme können als

  • Personenpseudonyme, z. B.
    • Öffentliches Personenpseudonym (z. B. Telefonnummer)
    • Nichtöffentliches Personenpseudonym (z. B. Kontonummer)
    • Anonymes Personenpseudonym (z. B. Genom)

oder auch als

  • Rollenpseudonyme, wie beispielsweise
    • Geschäftsbeziehungspseudonym (z. B. Chat- Name)
    • Transaktionspseudonym (z. B. PIN, TAN)

genutzt werden.

 

3. Methoden zur Pseudonymisierung/Anonymisierung

Sowohl bei der Pseudonymisierung als auch bei der Anonymisierung gibt es unterschiedliche Methoden, die im Einzelfall danach evaluiert werden sollten, wie mit ihnen am besten der individuell verfolgte Zweck erreicht werden kann.

 

3.1. Nichtangabe

Das zu schützende Datum wird bei dieser Methode nicht verwendet, sondern weggelassen, z. B. durch Löschung oder Nicht-Exportieren von Spalten einer Tabelle einer Datenbank oder auch von Teilbereichen der Werte.

 

Beispiel: Die Daten aus Tabelle 1 wurden durch Weglassen von Vorname und Nachname sowie Tag und Datum beim Geburtsdatum wie auch die letzten Ziffern bei ICD entpersonalisiert:

 

2018 08 02 14h01 12

 

Allerdings muss man dabei darauf achten, dass sich durch Nichtangabe von Teilbereichen auch die Information selbst ändert. So kann bspw. die Verringerung des Wertes des ICD im obigen Beispiel zu einer ggf. nicht unerheblichen Änderung der Diagnosen führen:

 

2018 08 02 14h03 29

Insofern gilt es die Anwender darüber aufzuklären, dass gewisse Daten verändert wurden:

 

3.2. Maskierung/Ersetzung

Zu schützende Daten werden mit einem konstanten oder sich ändernden Wert, Zeichen oder Zeichenkette ersetzt.

 

Beispiel: Die Daten aus Tabelle 1 wurden maskiert, indem der Tag und der Monat des Datums jeweils auf „01“ geändert wurden, die Namen auf feste Zeichenkette unter Beibehaltung der Geschlechterzuordnung:

 

2018 08 02 14h04 51

 

3.3. Mischung/Shuffeling

Bei der Nutzung dieser Methode werden die in den Datensätzen enthaltenen Werte getauscht („verwürfelt“). Dabei ist zu beachten, dass etwaige, eine Person eindeutig identifizierende Informationen wie bspw. eine Telefonnummer oder eine Kreditkartennummer zur Auflösung des Personenbezugs noch zusätzlich mit einer weiteren Methode verfremdet werden müssen, um einen Personenbezug ausschliessen zu können.

 

Die Grundlage für diese Durchmischung sollte eine Zufallsverteilung sein, die jedem Datenfeld die Daten bzw. Teilmenge der Daten eines anderen Datenfeldes zuordnet, wodurch letztlich ein neuer Datensatz gebildet wird. Bei einer zufälligen Vertauschung ist grundsätzlich nicht auszuschliessen, dass ein Datensatz auf sich selbst abgebildet wird, wodurch im Ergebnis keine Veränderung stattfinden würde. Dies ist natürlich durch entsprechende Vorkehrungen auszuschliessen.

 

Beispiel: Die Daten aus Tabelle 1 werden untereinander vermischt, um so die Identifizierung auszuschliessen:

 

2018 08 02 14h09 03

 

3.4. Varianzmethode

Bei dieser Methode werden Daten, die auf Zahlen basieren, dadurch verfremdet, dass die Zahlenwerte in festgelegten, zufällig erhöhten oder verringerten Streuungsintervallen geändert werden.

 

Beispiel: Das Geburtsdatum aus Tabelle 1 wurde mittels der Varianzmethode bearbeitet, wodurch das Geburtsdatum willkürlich verändert wurde, die statistische Aussage der Tabelle jedoch erhalten blieb:

 

2018 08 02 14h10 36

 

3.5. Kryptografische Methoden

Hierbei kommen Verschlüsselungs- und/oder Hash-Algorithmen zum Einsatz. Dabei ist zu beachten, dass kryptografische Eigenschaften wie Blocklänge, Ausgabealphabet und Kollisionen der jeweils verwendeten Methoden Auswirkungen auf das Ergebnis der Anonymisierung haben. Weiterhin ist zu beachten, dass hier kryptografische Methoden im speziellen Kontext der Anonymisierung bzw. Pseudonymisierung betrachtet werden, d. h. einige Betrachtungen im anderen Kontext ggf. zu anderen Ergebnissen führen können.

 

3.5.1. Rahmenbedingungen abklären

Mit der Fachseite, welche die pseudonymisierten oder anonymisierten Daten verarbeiten will, müssen die Randbedingungen geklärt werden. So muss z. B. geklärt werden, ob

  • der Zeichensatz (arabisch, deutsch, …),
  • die Zeichenart (numerisch, Buchstabenerhalt, Sonderzeichen bleibt Sonderzeichen),
  • Zeichenlänge

bei der Pseudonymisierung/Anonymisierung erhalten bleiben sollen.

 

Weiterhin können funktionelle Anforderungen wie z. B.

  • Kollisionsfreiheit; d. h. unterschiedliche Eingaben führen immer zu unterschiedlichen Ergebnissen, so dass die Unterschiede erhalten bleiben und ggf. Datensätze trotz Pseudonymisierung/Anonymisierung zusammengeführt werden können,
  • Eindeutigkeit; gleiche Eingaben führen immer zu gleichen Abbildungen,
  • Erhalt der statistischen Verteilung

hinzukommen.

Grundsätzlich gilt: Je mehr Randbedingungen an die Pseudonymisierung bzw. Anonymisierung seitens der Fachseite gestellt werden, umso grösser wird das Risiko der Re-Identifizierbarkeit durch statistische Analysen.

 

3.5.2. Verschlüsselungsverfahren

Moderne kryptografische Methoden sind nahezu ausschliesslich Binärchiffren, die sich in Block- und Stromchiffren sowie in symmetrische und asymmetrische Verfahren unterteilen lassen. Hierbei ist Folgendes zu beachten:

  1. Stromchiffren müssen zum Erhalt von Eigenschaften mehrfach denselben Schlüsselstrom verwenden, was die kryptografische Stärke der Verfahren abschwächt. Daher sind Stromchiffren für die Pseudonymisierung/Anonymisierung i.d.R. eher ungeeignet.
  2. Den Vorteilen im Umgang mit dem Schlüsselmaterial stehen bei asymmetrischen Verfahren sehr hohe Performance-Einbussen und relativ grosse Chiffrat-Blöcke entgegen.

Dabei erhalten Binärchiffren weder den Zeichensatz noch die Zeichenart oder die Zeichenlänge. Jedoch sind Binärchiffren sowohl kollisionsfrei als auch eindeutig.

 

Andere Verschlüsselungsverfahren können Anforderungen bzgl. Zeichenart, Zeichensatz und Zeichenlänge ggf. erhalten. Dieses ist z. B. bei entsprechender Implementierung beim symmetrischen Verfahren „One-Time-Pad“ der Fall. Hier wiederum kann ggf. die Anforderung der Eindeutigkeit nicht mehr gegeben sein.

 

D. h., ob eine Verschlüsselung zur Anonymisierung/Pseudonymisierung genutzt werden kann, ist abhängig von den Anforderungen der Fachabteilung.

 

3.5.3. Hash-Funktionen

Hash-Funktionen (auch: kryptografische Checksumme oder Einwegfunktion genannt) bilden eine beliebig lange Eingabedatenmenge auf einen binären String fester Länge ab. Somit können auch Hash-Funktionen weder den Zeichensatz noch die Zeichenart oder die Zeichenlänge erhalten. Die Möglichkeit der Kollisionsfreiheit ist abhängig von der Ausgabelänge und dem Algorithmus. Bei MD5 beispielsweise ist nachgewiesen, dass Kollisionsfreiheit nicht gegeben ist. Die Anforderung der Eindeutigkeit wird von Hash-Funktionen gewährleistet.

 

3.5.4. Salt

„Salt“ (= „Salz“) bezeichnet in der Kryptografie eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hash-Funktion angehängt wird, um die Entropie der Eingabe zu erhöhen, was letztlich zu einer höheren Streuung des Ergebnisses führt. Hierdurch kann z. B. verhindert werden, dass Originaldaten bspw. mit Hilfe von Rainbow-Tabellen identifiziert werden können.

 

Stand heute wird eine Entropie von 100 Bit als resistent gegen Brute-Force Angriffe mit hohem Angriffspotential angesehen. D. h. der Wertebereich muss eine Mindeststreuung von 2100 bzw. 1030 haben. Zu jedem Datensatz sollte ein eigener Salt existieren, um den grösstmöglichen Schutz zu erhalten. Werden alle Datensätze mit ein und derselben Zeichenfolge kombiniert, so wird dies als „Pepper“ bezeichnet.

 

Bei der Überprüfung eines Datums wird jedoch nicht jedes Mal ein neuer Salt erzeugt, da sich sonst der entstandene Hashwert von dem gespeicherten unterscheidet und somit der Wahrheitsgehalt der Information nicht überprüft werden kann. D. h. die Anforderung der Eindeutigkeit wäre nicht mehr gegeben. Deshalb wird – sofern die Eindeutigkeit eine einzuhaltende Anforderung darstellt - bei der Generierung der zur jeweiligen Information verwendete Salt zusammen mit dem entstandenen Hashwert gespeichert. Dabei müssen Salt und Hashwert natürlich voneinander getrennt aufbewahrt werden, der Salt unbedingt geheim gehalten werden, da ansonsten der Schutz abgeschwächt wird.

 

3.6 Was wird wann mit welcher Methode erreicht?

2018 08 02 14h12 09

 

3.7 k-Anonymität

Direkte und indirekte Identifikationsmerkmale werden zu Gruppen mit gleichen Inhalten zusammengefasst, d. h. die Identifikationsmerkmale so verändert, dass die Merkmale zu Gruppen zusammengefasst werden können. Damit sind die hinter den Daten stehenden Individuen nicht mehr unterscheidbar, d. h. eine eindeutige Identifikation ist nicht mehr möglich.

 

Um k-Anonymität zu erreichen, können alle oben beschriebenen Methoden eingesetzt werden. Dabei gilt: Je grösser die Gruppe, je grösser ist das Mass an Anonymität bzw. je kleiner ist die Wahrscheinlichkeit als Angehöriger einer Gruppe mit bestimmten Merkmalen identifiziert zu werden.

 

Der Parameter k definiert bei der k-Anonymität die Mindestgrösse der Gruppen. Er ist damit gleichzeitig das Mass der Anonymität. In einer Gruppe von k Individuen liegt die Wahrscheinlichkeit bei 1/k ein einzelnes Individuum korrekt zu identifizieren.

 

In der Literatur wird ein Schwellwert von mindestens 5 angegeben, d. h.: Bei jeder Auswertung umfasst das Ergebnis zu jedem Zeitpunkt des Auswertungszeitraumes mindestens 5 Betroffene, sodass kein Rückschluss auf Einzelpersonen gegeben ist. Kann eine Rückführbarkeit auf eine Personengruppe unter 5 Personen nicht ausgeschlossen werden, sind sowohl der Schwellwert aus auch die Merkmale/Items für die jeweilige Auswertung so zu definieren, dass trotzdem der Identifikationsschutz gewährleistet ist.

 

3.8. Beispiele bzgl. Vorgehen

2018 08 02 14h13 28

 

4. Darstellung des Risikos der Re-Identifizierung

Eine Re-Identifizierung kann Teil des geplanten Ablaufes sein, wenn eine Re-Identifikation unter zuvor festgelegten Bedingungen beabsichtigt erfolgt, z. B. Kontaktierung des Patienten, da die Verarbeitungsergebnisse Einfluss auf seine Behandlung haben. Erfolgt eine Re-Identifikation als ungeplantes, insbesondere nicht beabsichtigtes Ereignis, kann eine derartige Re-Identifikation Risiken für die betroffene Person bergen.

 

4.1. Risikodarstellung

Entscheidend für die Beurteilung des Risikos ist bereits das Vorhandensein der abstrakten Möglichkeit zur Identifikation von Betroffenen. Dabei sind die wesentlichen Risikofaktoren für eine Re-Identifizierung statistische Strukturen und Zusatzwissen. Selbst wenn Datensätze hoch effektiv und nach den aktuellsten kryptologischen Methoden geschützt sind, können statistische Auffälligkeiten dazu führen, dass ein Personenbezug - ggf. auch nur teilweise - wiederhergestellt werden kann. Dieses Risiko wird durch Verfügbarkeit von Zusatzwissen erheblich verstärkt.

 

Beispiel: Die nachfolgende Tabelle scheint zunächst anonyme Daten zu enthalten.

 

2018 08 02 14h14 26

 

2018 08 02 14h15 49

 

Existiert hingegen auch nur ein teilweise möglicher Zugriff auf die Originaldaten aus Tabelle 9, so ist eine Re-Identifikation der Daten aus Tabelle 8 möglich: Nur Frau Richter und Herr Schröder wohnen in einem Bereich, dessen PLZ mit „1011“ beginnt und durch die Geschlechtsangabe ist eine eindeutige Zuordnung möglich. Die Daten sind also nicht als anonyme Daten anzusehen, sondern als pseudonyme Daten.

 

4.2 Grundbedingung für eine Prüfung

Bei einer Prüfung des Ergebnisses einer Pseudonymisierung/Anonymisierung muss sowohl das Vorgehen der Verarbeitung, also die Methodik und der Umsetzung der Methodik beurteilt werden, wie das vorhandene Ergebnis. Dafür ist es erforderlich, dass alles nachvollziehbar dokumentiert wurde. Die/Der Prüfende benötigt:

  • Eine ausführliche Dokumentation der Methodik,
  • eine detaillierte Darstellung der Umsetzung der Methodik,
  • die Ergebnistabellen.

 

Bei den Ergebnissen ist darauf zu achten, dass auch statistische Kennzahlen Informationen zu einzelnen Individuen beinhalten können:

  • Ein Mittelwert basierend auf wenigen Beobachtungen kann ggf. Rückschlüsse bzgl. gering besetzter Gruppen beinhalten. Um diese Randgruppen identifizieren und diese bzgl. einer Möglichkeit des Rückschlusses auf einzelne Individuen prüfen zu können, muss neben der Fallzahl immer auch Minimum, Maximum und Standardabweichung angegeben werden.
  • Die Angabe von Perzentilen (Prozentränge) bei einer geringen Fallzahl beinhaltet nahezu immer die Möglichkeit von Rückschlüssen auf einzelne.

 

Hochfellner empfiehlt als Mindestgrössen:

  • Mindestens 20 Beobachtungen für die Ausgabe von Mittelwerten
  • Mindestens 40 Beobachtungen für die Ausgabe von 50%-Perzentilen
  • Mindestens 80 Beobachtungen für die Ausgabe von 25%- oder 75%-Perzentilen
  • Mindestens 200 Beobachtungen für die Ausgabe von 10%- oder 90%-Perzentilen
  • Mindestens 400 Beobachtungen für die Ausgabe von 5%- oder 95%-Perzentilen
  • Mindestens 2000 Beobachtungen für die Ausgabe von 1%- oder 99%-Perzentilen

4.3 Risikobeurteilung

Gemäss den Anforderungen von Art. 25 DS-GVO sind sowohl „zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung [also der Planung der Verarbeitung] als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Massnahmen“ zu treffen, welche die Rechte der betroffenen Personen schützen. Auch Art. 32 DS-GVO verlangt abhängig vom Risiko für die betroffenen Personen die Ergreifung geeigneter Massnahmen zum Schutz der betroffenen Person.

 

Daher muss zwingend das Risiko, welches durch eine Re-Identifikation für die betroffene Person existieren kann, beurteilt werden. Dazu werden Risiken am besten einerseits in Kategorien eingeteilt, welche eine Zuordnung der Risiken in individuelle und Individuen übergreifende Risiken erlaubt, z. B. sein:

  • Strukturelle Risiken, beispielsweise gesellschaftlich-politische Risiken (wie z. B. die Informationsmacht, die gegenüber einem Individuum gewonnen wird) oder wirtschaftliche Risiken;
  • Individuelle Risiken, wie z. B. die Erhöhung individueller Verletzlichkeit für Straftaten, da jemand erfährt, wo betroffene Personen angreifbar sind;
  • Risiken für Gesellschaft und Individuum, z. B. durch Bildung von Persönlichkeitsprofilen oder Fremdbestimmung oder auch die Enttäuschung von Vertraulichkeitserwartungen.

 

Weiterhin müssen Risiken hinsichtlich der Bedeutung erfasst werden, d. h. eine Quantifizierung vorgenommen werden. Naturgemäss wird das jeweilige Risiko nur abgeschätzt werden können, sodass das Risiko entsprechend einem zuvor definierten Skalenniveau eingeteilt werden kann, z. B.:

 

2018 08 02 14h16 50

 

Entsprechend ErwGr. 26 DS-GVO wird eine objektive Bewertung bzgl. des Risikos verlangt. Die deutsche Datenschutzkonferenz veröffentlichte ein Kurzpapier „Risiko für die Rechte und Freiheiten natürlicher Personen, welches auch Hinweise bzgl. der Schweregradbeurteilung aus Sicht der deutschen Aufsichtsbehörden enthält.

 

5 Aufbau und Struktur einer Verfahrensbeschreibung

Entsprechend Art. 30 DS-GVO müssen Verarbeitungstätigkeiten in einem Verzeichnis geführt werden. Dies gilt selbstverständlich auch für die Verarbeitung im Rahmen einer Pseudonymisierung oder Anonymisierung. Darüber hinaus enthält Art. 32 Abs. 3 DS-GVO eine implizite Aufforderung, dass die ergriffenen technischen und organisatorischen Massnahmen, zu denen sowohl die Pseudonymisierung als auch die Anonymisierung gehören, einer Nachweisfähigkeit genügen müssen. Somit ist es erforderlich, dass die Verfahren hinreichend genau beschrieben werden.

 

Eine entsprechende Beschreibung der Durchführung einer Pseudonymisierung bzw. Anonymisierung sollte folgende Informationen enthalten:

  • Beschreibung der Verarbeitung, für welche die Daten erhoben wurden;
  • Beschreibung der Verarbeitung, für welche die Anonymisierung oder Pseudonymisierung benötigt wird;
  • ID des für die Verarbeitung der personenbezogenen Daten Verantwortlichen;
  • ID des für die Verarbeitung der anonymisierten oder pseudonymisierten Daten Verantwortlichen;
  • Beschreibung des Verfahrens, mit welchem eine Anonymisierung oder Pseudonymisierung durchgeführt wird;
  • Beschreibung, welche Daten für die Anonymisierung oder Pseudonymisierung ausgewählt wurden sowie eine Begründung, warum diese Daten relevant bzgl. einer Identifikationsmöglichkeit waren, andere nicht;
  • ID der Person oder des automatisierten IT-Systems, welches die Anonymisierung oder Pseudonymisierung durchführt;
  • Bei einer Anonymisierung der Nachweis der Anonymität, d. h. der Nachweis der Nicht-Beziehbarkeit der verarbeiteten Daten auf eine identifizierte oder identifizierbare natürliche Person;
  • Umgang mit ggf. zur Anonymisierung oder Pseudonymisierung genutzten kryptographischen Schlüssel oder einer entsprechenden Verknüpfungstabelle; hierzu gehört insbesondere auch
    • eine Beschreibung dessen, was geschieht, wenn die Organisation ihren Betrieb hinsichtlich der Anonymisierungs- oder Pseudonymisierungsaktivitäten einstellt,
    • eine Beschreibung, in welchen Bereichen und für welche Anwendungen die kryptographischen Schlüssel oder die entsprechenden Verknüpfungstabelle verwendet werden
    • eine Beschreibung des Gültigkeitszeitraum (aus welchem sich letztlich auch der späteste Zeitpunkt zur Validierung der durchgeführten Pseudonymisierung oder Anonymisierung ergibt),
    • eine Beschreibung der Möglichkeiten und Verfahren zur Verknüpfung mit Alt-Daten oder neu hinzugekommenen Daten, sofern die Möglichkeit vorhanden ist;
  • Ausführliche Beschreibung, unter welchen Umständen die Pseudonymisierung durch wen auf welche Art umkehrbar ist und welche Berechtigung hierzu von wem erforderlich ist;
  • Festlegung der Beschränkungen, denen der Empfänger der anonymisierten oder pseudonymisierten Daten unterliegt, z. B. vertragliche Regelungen oder die vereinbarten Verarbeitungsgrundsätze zu informationsbezogenen Aktionen mit diesen Daten, insbesondere bzgl. Weiterleitung und Aufbewahrung wie beispielsweise:
    • Der Empfänger darf die Daten nicht öffentlich zugänglich machen.
    • Der Empfänger muss die Daten vor unberechtigtem Zugriff schützen.
    • Der Empfänger darf die Daten nur intern nutzen, um entpersonalisierte Daten zu erzeugen und erst diese dürfen öffentlich zugänglich gemacht oder an Kunden veräussert werden.
    • Der Empfänger muss die Daten zerstören, wenn die Verarbeitung hinsichtlich der vereinbarten Zwecke beendet wurde und kein weiterer rechtlicher Aufbewahrungsgrund für die Daten mehr existiert.

 

Gesundheitsdatenschutz.org; Arbeitsgruppe Datenschutz gmds; 31.07.2018

http://ds-gvo.gesundheitsdatenschutz.org/download/Pseudonymisierung-Anonymisierung.pdf

Veröffentlicht unter CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0/deed.de