Die Klarstellung des EDPB im Januar 2025
Die Richtlinien 01/2025 des Europäischen Datenschutzausschusses zur Pseudonymisierung, veröffentlicht im Januar 2025, führten mehrere Klarstellungen mit erheblichen Compliance-Auswirkungen für Organisationen ein, die Datenanonymisierungstools verwenden.
Die folgenreichste Klarstellung: Die Richtlinien führen das Konzept eines "Pseudonymisierungsbereichs" ein – die Gruppe von Parteien, für die pseudonymisierte Daten mit realen Personen verknüpfbar bleiben. Pseudonymisierte Daten sind personenbezogene Daten gemäß GDPR für jede Partei innerhalb des Pseudonymisierungsbereichs (Parteien, die den Pseudonymisierungsschlüssel besitzen oder ableiten können). Die Richtlinien stellen ausdrücklich fest, dass pseudonymisierte Daten ihren Status als personenbezogene Daten nicht ändern – sie unterliegen weiterhin allen Verpflichtungen der GDPR – selbst wenn sie für Parteien außerhalb des Bereichs nicht identifizierbar erscheinen.
Diese Klarstellung betrifft Organisationen, die glaubten, dass "Tokenisierung" oder "Pseudonymisierung mit Schlüsseln" ihre Daten aus dem Geltungsbereich der GDPR entfernt hätten. Gemäß den Richtlinien vom Januar 2025 hat dies nicht stattgefunden. Die Organisation, die den Pseudonymisierungsschlüssel hält, bleibt ein GDPR-Datenverantwortlicher für die pseudonymisierten Daten.
Die Marketinglücke bei Tools
Viele als "Anonymisierung"-Tools vermarktete Werkzeuge produzieren tatsächlich pseudonymisierte Daten. Der Unterschied:
Echte Anonymisierung (irreversibel): Die Transformation kann von keiner Partei mit irgendwelchen jetzt oder in Zukunft verfügbaren Mitteln rückgängig gemacht werden. Echte Anonymisierung entfernt Daten vollständig aus dem Geltungsbereich der GDPR.
Pseudonymisierung (umkehrbar): Die Transformation kann mit einem Schlüssel, einer Nachschlagetabelle oder zusätzlichen Informationen, die separat gehalten werden, rückgängig gemacht werden. Pseudonymisierung entfernt Daten nicht aus dem Geltungsbereich der GDPR – sie bleiben personenbezogene Daten für Parteien, die den Schlüssel besitzen oder ableiten können.
Tokenbasierte Systeme (Ersetzen von PII durch konsistente Tokens und Beibehalten einer Zuordnungstabelle), verschlüsselungsbasierte Systeme (Ersetzen von PII durch verschlüsselte Werte und Beibehalten eines Entschlüsselungsschlüssels) und formatbewahrende Verschlüsselung produzieren alle pseudonymisierte Daten. Die Daten bleiben personenbezogene Daten gemäß den Richtlinien des EDPB vom Januar 2025.
Hashing (Anwendung einer Einweg-Hashfunktion auf PII-Werte) ist näher an Anonymisierung – wenn die Hashfunktion kryptographisch sicher ist und keine Vorabbildsuche möglich ist – aber die Richtlinien des EDPB weisen darauf hin, dass das Hashing von Daten mit niedriger Entropie (kurze Zeichenfolgen wie Namen oder gängige Identifikatoren) anfällig für Regenbogentabellenangriffe ist und möglicherweise keine echte Anonymisierung darstellt.
Compliance-Strategie unter den neuen Richtlinien
DPOs müssen ihre Datenklassifizierungsstrategie im Lichte der Richtlinien des EDPB vom Januar 2025 neu bewerten:
Für Daten, die als "anonymisiert" (außerhalb des Geltungsbereichs der GDPR) klassifiziert sind: Überprüfen Sie, ob die Transformation tatsächlich irreversibel ist. Wenn irgendeine Partei sie rückgängig machen kann – einschließlich des Datenverantwortlichen selbst – ist sie pseudonymisiert und die GDPR gilt weiterhin.
Für Daten, die außerhalb des Geltungsbereichs der GDPR bleiben müssen (für Analysen, Archivierung oder Forschung): Verwenden Sie irreversible Anonymisierungsmethoden – Schwärzung (dauerhafte Entfernung), Maskierung mit nicht wiederherstellbaren Werten oder kryptographisches Hashing von Daten mit hoher Entropie. Dokumentieren Sie die Methode und die Grundlage für die Anonymisierungsbestimmung.
Für Daten, die von kontrollierbarer Umkehrbarkeit profitieren (Forschung mit Rückkontaktanforderungen, Prüfpfade, Entdeckungsverpflichtungen): Klassifizieren Sie ausdrücklich als pseudonymisierte personenbezogene Daten, halten Sie alle Verpflichtungen der GDPR ein, dokumentieren Sie die Aufbewahrungsvereinbarungen für den Pseudonymisierungsschlüssel gemäß den Anforderungen zur Schlüsseltrennung des EDPB.
Der explizite Rahmen mit fünf Methoden – Ersetzen, Schwärzen, Maskieren, Hashen, Verschlüsseln – entspricht direkt dieser Klassifizierung: Ersetzen, Maskieren und Verschlüsseln produzieren pseudonymisierte Daten (GDPR gilt weiterhin). Schwärzen und Hashen (von Daten mit hoher Entropie) nähern sich der echten Anonymisierung (unterliegt der Vollständigkeits- und Entropieanalyse).
Quellen: