Pseudonymisierung: Was sind die Vorteile für Unternehmen gemäß den EDPB-Leitlinien?

veröffentlicht am 19 März 2025 | Lesedauer ca. 3 Minuten

Der Europäische Datenschutzausschuss (EDPB) hat vor kurzem die „Leitlinie 01/2025 zur Pseudonymisierung“ verabschiedet, die eine detaillierte Anleitung zur Verwendung der Pseudonymisierung als Maßnahme zum Schutz personenbezogener Daten im Rahmen der EU-Datenschutzverordnung Nr. 679/2016 (GDPR) enthält. Im Folgenden werden wir die wichtigsten Punkte für Unternehmen untersuchen, die das Mittel der Pseudonymisierung nutzen möchten, und dabei auch die Einhaltung der Datenschutzvorschriften berücksichtigen.

Zunächst ist es gut zu klären, worüber wir sprechen, wenn wir von Pseudonymisierung sprechen. Die Datenschutz-Grundverordnung definiert sie in Artikel 4 Absatz 5 als eine Verarbeitung personenbezogener Daten, die bewirkt, dass diese Daten nicht mehr einer bestimmten Person zugeordnet werden können, es sei denn, es werden zusätzliche Informationen gespeichert, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass diese personenbezogenen Daten nicht einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Dieser Kontext des Ausschlusses der Zuordnung der Daten zur betroffenen Person - in den Leitlinien als „Pseudonymisierungsbereich“ bezeichnet - ist jedoch nicht unumkehrbar (anders als im Falle der Anonymisierung), weshalb die pseudonymisierten (oder pseudonymisierten) Daten vollständig in den Anwendungsbereich der Datenschutz-Grundverordnung fallen.

Aber sehen wir uns einmal an, welche Vorteile die richtige Anwendung dieser Technik nach Ansicht des Europäischen Ausschusses haben kann:

Pseudonymisierung kann, wenn sie effektiv durchgeführt wird, in erster Linie ein guter Verbündeter bei der Verringerung der Risiken von Datenschutzverletzungen sein, insbesondere in folgender Hinsicht:
Verhinderung der Offenlegung direkter Identifikatoren der betroffenen Personen gegenüber einigen oder allen rechtmäßigen Empfängern pseudonymisierter Daten;
im Falle einer unbefugten Weitergabe von oder eines unbefugten Zugriffs auf tatsächlich pseudonymisierte Daten die Schwere des sich daraus ergebenden Risikos einer Verletzung der Vertraulichkeit sowie die Auswirkungen der negativen Folgen einer solchen Weitergabe oder eines solchen Zugriffs auf die betroffenen Personen zu verringern;
Verringerung des Risikos der „Funktionsausweitung“, d. h. des Risikos, dass personenbezogene Daten in einer Weise weiterverarbeitet werden, die mit den Zwecken, für die sie erhoben wurden, nicht vereinbar ist, in Übereinstimmung mit den Grundsätzen der Datenminimierung und Zweckbindung (Artikel 5 DSGVO).

Darüber hinaus kann der Einsatz von Pseudonymisierungstechniken die Risiken im Zusammenhang mit der Ungenauigkeit der Daten mindern und die Auswirkungen im Falle einer irrtümlichen Zuordnung von Daten zu anderen Personen reduzieren.

Es liegt also auf der Hand, dass der Einsatz dieses Instruments - wenn er von technischen und juristischen Fachleuten und durch eine vorherige Bewertung der mit der durchgeführten Verarbeitung verbundenen Risiken sinnvoll unterstützt wird - eine echte Sicherheitsmaßnahme darstellen kann, die das Risiko von Datenschutzverletzungen und folglich auch das mögliche Risiko von Sanktionen in Bezug auf die Privatsphäre verringern kann.

Doch welche Vorabbewertungen muss ein für die Datenverarbeitung Verantwortlicher vornehmen, bevor er mit der Umsetzung der Pseudonymisierung fortfährt?

Nach Ansicht des EDPB müssen zunächst die mit dieser Maßnahme zu erreichende Ziele festgelegt werden, um den Bereich der Pseudonymisierung (ein Begriff, mit dem wir den Umfang des Ausschlusses der Datenzuordnung bezeichnen) zu definieren und zu entscheiden, welche Datensätze in diesen Bereich einbezogen werden sollen.

Darüber hinaus muss eine Folge von technischen und rechtlichen Bewertungen durchgeführt werden, die sich sowohl auf die zu treffenden technischen Schutzmaßnahmen als auch auf das mit den durchgeführten Verarbeitungen verbundene Risiko beziehen. Abschließend lässt sich sagen, dass die EDPB-Leitlinien zur Pseudonymisierung Unternehmen einen klaren Fahrplan für die wirksame Umsetzung dieser Datenschutzmaßnahme bieten, und zwar für Unternehmen aller Branchen, denen der Schutz der Privatsphäre wichtig ist und die intern einen soliden Datenschutz entwickeln wollen.

Die Autoren:

Martina Ortillo - Manager

Flavia Salvatore - Associate