Rz. 47
Bereits im Jahr 2001 wurde sowohl im BDSG als auch im SGB X (§ 67a Abs. 8a SGB X a. F.) der Begriff des Pseudonymisierens eingeführt. Als abgeschwächte Form der Anonymisierung sah das Pseudonymisieren nur das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen vor. Dadurch sollte und soll weiterhin die Bestimmung der betroffenen Person ausgeschlossen oder zumindest wesentlich erschwert werden.
Seit 25.5.2018 enthält Art. 4 Nr. 5 DSGVO die Definition des Begriffes Pseudonymisierung. Können personenbezogene Daten "ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden", gelten sie danach als pseudonymisiert. Voraussetzung ist weiter, dass "diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden" (Art. 4 Nr. 5 DSGVO).
Laut EG 28 der DSGVO kann die Pseudonymisierung "die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der "Pseudonymisierung" in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen."
Rz. 48
Bis 24.5.2018 definierte § 67 Abs. 8 SGB X a. F. den Begriff des Anonymisierens, als das "Verändern von Sozialdaten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können".
Die DSGVO gilt nicht für die Verarbeitung anonymer Daten, auch nicht für statistische oder für Forschungszwecke. Laut EG 26 der DSGVO sollen die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Nach Art. 2 DSGVO gilt die Verordnung nur für die "Verarbeitung personenbezogener Daten". Die Definition von personenbezogenen Daten ergibt sich aus Art. 4 Nr. 1 DSGVO (vgl. Rz. 18). Eine Definition von Anonymisierung konnte daher in der DSGVO entfallen.
In den angepassten deutschen Datenschutzvorschriften wurde unterschiedlich vorgegangen. Während der Begriff Anonymisieren im BDSG weiter verwendet wird, z. B. in §§ 27, 38, 50 BDSG, wurde er in das SGB X – mit einer Ausnahme – nicht übernommen. Lediglich im Zusammenhang mit Forschung und Planung enthalten § 67c Abs. 5 und § 75 Abs. 3 Vorgaben zur Anonymisierung (vgl. die Komm. zu § 67c und zu § 75).
Zur Definition sollte auf o. g. § 67 Abs. 8 SGB X a. F. zurückgegriffen werden.
Das ist nur ein Ausschnitt aus dem Produkt Personal Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen