Im Zusammenhang mit personenbezogenen Daten erscheinen fast täglich die Begriffe Anonymisierung, Verschlüsselung und Pseudonymisierung. Obwohl viele Menschen diese Termini oft gebrauchen, sind ihnen die feinen Unterschiede nicht immer geläufig. Allen gemein ist die Tatsache, dass es sich um Maßnahmen im Datenschutz handelt, mit deren Hilfe personenbezogene Daten so verändert werden, dass sie zeitweilig oder fortdauernd nicht mehr mit den entsprechenden Personen in Beziehung gesetzt werden können, beziehungsweise nur mit weiteren Hilfsmitteln erkannt werden können. Im Folgenden werden die Unterschiede zwischen den einzelnen Maßnahmen aufgezeigt und ihr Einsatz im Unternehmen beispielhaft erläutert.
Die Anonymisierung
Mithilfe dieser Maßnahme werden personenbezogene Daten so verändert, dass sie der entsprechenden individuellen Person nicht mehr zugeordnet werden können. Wird beispielsweise eine Bestellnummer gelöscht, kann kein Bezug mehr zu dem bestellenden Kunden hergestellt werden. Ein weiteres Beispiel bildet die geheime Wahl in unserem politischen System, bei der der einzelne Wahlzettel dem einzelnen Wähler nicht mehr zugeordnet werden kann. Es kann zwar im Nachhinein festgestellt werden, wer wann gewählt hat, jedoch nicht für welche Partei sich der Wähler entschieden hat.
Die Pseudonymisierung
Hingegen geht es bei der Pseudonymisierung darum, dass bestimmte Daten zwar im allgemeinen Internetverkehr nicht einer bestimmten Person zugeordnet werden können, die Zuordnung aber bestimmten Stellen oder Personen möglich ist. Typisches Beispiel ist die Verwendung von personalisierten Nicknames oder Webidentitäten, deren Zuordnung dem Provider zu einer real existierenden Person möglich ist. Er kann diese Zuordnung zum Beispiel zur Erfüllung gesetzlicher Verpflichtungen auf Verlangen vornehmen.
Die Verschlüsselung
Bei der Verschlüsselung werden Datensätze von einem Klartext in einen geheimen, also verschlüsselten Text umgewandelt. Die Rückumwandlung in einen Klartext ist nur mit Kenntnis des Schlüssels möglich. Der Übertragungsstandard HTTPS in der Internetkommunikation setzt etwa die Verschlüsselung neben der Authentifizierung als Sicherheitsstandard ein.
Anwendung von Anonymisierung, Pseudonymisierung und Verschlüsselung im Unternehmen
Ein Unternehmen verkauft im Internet über einen Onlineshop exklusive Designer Kleinmöbel an seine Kunden. Im Rahmen der Bestellvorgänge werden zunächst personenbezogene Daten der Kunden zur Abwicklung des Bestell- sowie Bezahlvorganges erhoben und verarbeitet. Dieses ist auch im Rahmen der geltenden Vorschriften im Datenschutz zulässig. Nun möchte das Unternehmen ein Kundenbindungsprofil erstellen. Es möchte also feststellen, ob es Kunden über längere Zeit halten kann, diese immer wieder Produkte des Unternehmens kaufen, wie es sich mit der allgemeinen Kundenzufriedenheit verhält und ob es auf einen bestimmten Prozentsatz an Stammkunden vertrauen kann. Da allgemein im Bereich des Datenschutzes der Grundsatz der Datensparsamkeit gilt, muss sich das Unternehmen an dieser Stelle die Frage stellen, ob zur Erstellung des entsprechenden Profils die personenbezogenen Klardaten der Kunden notwendig sind. Im Ergebnis wird man sagen müssen, diese sind nicht notwendig. Daher wird das Unternehmen bei Erstellung des Kundenbindungsprofils die entsprechenden personenbezogenen Daten der Kunden anonymisieren, beziehungsweise pseudonymisieren. Der Anonymisierung ist in diesem Fall der Vorzug zu geben, weil die fraglichen personenbezogenen Kundendaten auch später nicht mehr dem einzelnen Kunden zugeordnet werden können sollen. Das Unternehmen setzt Verschlüsselungstechniken in der Kommunikation mit seinen Kunden ein. So benutzt es etwa im Zuge der Bestellvorgänge das Hypertext Transfer Protocol Secure (HTTPS - sicheres Hypertext Übertragungsprotokoll). Ferner setzen die Mitarbeiter untereinander im Rahmen ihrer E-Mail Korrespondenz verschlüsselte E-Mails ein. Diese Verschlüsselungstechniken werden auch im Kontakt mit den Lieferanten der Produkte zur Anwendung gebracht. Auf diese Weise versucht sich das Unternehmen davor zu schützen, dass mögliche Wettbewerber Kenntnisse über die Einkaufsbedingungen und Lieferantenbeziehungen gewinnen können. Da einige der Mitarbeiter des Unternehmens im Home Office tätig sind, hat der Einsatz von Verschlüsselungstechniken im Kontakt mit dem Unternehmen eine besonders große Bedeutung. Die Mitarbeiter dürfen im Home Office mit Blick auf die Datensicherheit nur betriebliche Geräte und keine privaten verwenden.
Datenschutzstandards von praktischer Bedeutung
Lassen Sie sich von externen Datenschutzexperten über die inhaltlichen und technischen Möglichkeiten der Anonymisierung, der Pseudonymisierung und der Verschlüsselung von Daten ausführlich informieren. Sie kommen besonders mit Blick auf die nahende EU-Datenschutzgrundverordnung im Mai 2018 als Unternehmen nicht mehr an diesen Datenschutzstandards vorbei.
Artikel veröffentlicht am: 12. August 2017