Immer wieder tauchen in Gesetzen, vor allem im Bereich Datenschutz, die Begriffe Anonymisierung, Pseudonymisierung und Verschlüsselung auf. Ich musste feststellen, dass diese Begriffe häufig von Juristen, Behörden und IT-lern unterschiedlich verwendet werden bzw. für die jeweiligen Beteiligten eine unterschiedliche Bedeutung haben.

Wie komme ich eigentlich auf das Thema?

Schauen wir uns beispielsweise §11 Abs. 1 des Bremer Krebsregistergesetzes (BremKRG) an, indem die Begriffe „Pseudonymisierung“ und „Verschlüsselung“ auftauchen:

„(1) Die von den meldepflichtigen Einrichtungen übermittelten Daten nach § 8 Absatz 1 sind unverzüglich von der Vertrauensstelle unter Einsatz einer elektronischen Datenverarbeitungsanlage zu speichern. Die von einer diagnostizierenden Einrichtung übermittelten Daten sind, soweit Satz 3 nicht etwas anderes bestimmt, vor der Speicherung zu pseudonymisieren, sofern und solange nicht eine behandelnde Einrichtung Daten über die betroffene Person und zu der betreffenden Krebserkrankung übermittelt hat. Abweichend von Satz 2 dürfen die von einer diagnostizierenden Einrichtung übermittelten Daten zum Zweck der Durchführung der Abrechnungs- und Erstattungsverfahren nach §§ 23 und 24 in unverschlüsselter Form verarbeitet oder genutzt werden.“

Mit anderen Worten haben Vertrauensstellen (vom Krebsregister) die Pflicht, gemeldete Krebsfälle in der Datenbank zu pseudonymisieren. Nur sofern eine Abrechnung erfolgt, kann darauf verzichtet werden, da andernfalls eine Erstattung nicht möglich wäre. Für eine z.B. statistische Auswertung der Daten darüber hinaus, ist der Name des konkreten Patienten für das Krebsregister aber nicht erforderlich. Bei der Vielzahl der Mitarbeiter des Krebsregisters und für den Fall eines unbefugten Zugriffs, ist es daher im Interesse des Patienten, wenn sein Name nicht unmittelbar ablesbar ist.

Der Gesetzgeber macht damit in der oben zitierten Norm einen Fehler, indem die Begriffe Pseudonymisierung und Verschlüsselung anscheinend als Synonym gebraucht werden. Vielmehr hätte der Gesetzgeber statt „unverschlüsselt“ das Merkmal „nicht pseudonymisiert“ wählen müssen.

Wieso diese Unklarheiten und welche Definitionen gibt es?

Das Krebsregistergesetz aus dem Beispiel oben enthält keine Definitionen zu den zwei Begriffen und kann insofern keine Klarheit schaffen. Das Bundesdatenschutzgesetzes (BDSG) kennt hingegen eine Begriffsbestimmung:

Anonymisierung

Laut § 3 Abs. 6 BDSG ist Anonymisieren „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“

Pseudonymisierung

Nach § 3 Abs. 6a BDSG ist Pseudonymisieren „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“

Verschlüsselung

Eine Definition zum Begriff der Verschlüsselung enthält das BDSG nicht. Der BDSG-Kommentar von Simitis (§ 9, Rn. 166)interpretiert den Begriff wie folgt: „Technisch versteht man unter Verschlüsselung den Vorgang, bei dem ein klar lesbarer Text (Klartext) oder auch Informationen anderer Art wie Ton- oder Bildaufzeichnungen mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) in eine „unleserliche“, das heißt nicht einfach interpretierbare Zeichenfolge (Geheimtext) umgewandelt wird. Als entscheidend wichtige Parameter der Verschlüsselung werden hierbei ein oder auch mehrere Schlüssel verwendet. Man unterscheidet deshalb zwischen symmetrischer und asymmetrischer Verschlüsselung. Bei der symmetrischen Verschlüsselung wird zum Ver- und Entschlüsseln der gleiche Schlüssel verwendet; bei der asymmetrischen Verschlüsselung sind dies immer verschiedene Schlüssel, die aber zueinander passen müssen. Das Gesetz lässt allerdings offen, welche Art der Verschlüsselung Verwendung finden soll.“

Ein paar Beispiele

Nun nachfolgend (m)eine Sichtweise auf die einzelnen Begriffe mit Beispiel:

Beispiel: Max hat folgende Tabelle

Anonymisierung: Max möchte seine Tabelle anonymisieren. Max löscht die Spalten „Vorname“ und „Nachname“.

Pseudonymisierung: Max möchte seine Tabelle pseudonymisieren. Max gibt jedem Datensatz in seiner Tabelle eine ID. Dann speichert er in einer zweiten Tabelle die jeweilige ID, den Vornamen und den Nachnamen. Aus der ersten Tabelle löscht er nun die Spalten „Vorname“ und „Nachname“.

Verschlüsselung: Max möchte, dass nur bestimmte Personen die Tabelle benutzen dürfen. Max erstellt einen Schlüssel. Diesen Schlüssel wendet er nun auf seine Tabelle an. Nun ist die Tabelle nur für denjenigen lesbar, der im Besitz des Schlüssels ist.

Rein begrifflich kommt es bei der Verschlüsselung nicht darauf an, ob es sich um personenbezogene oder nicht-personenbezogene Daten handelt. Nur für eine Anonymisierung und Pseudonymisierung werden zwangsweise personenbezogene Daten benötigt. Aus rechtlicher Sicht handelt es sich bei pseudonymisierten Daten für die verantwortliche Stelle weiter um personenbezogene Daten, für die das Datenschutzrecht Vorgaben trifft. Nur bei anonymisierten Daten, kann man auch von nicht-personenbezogenen Daten sprechen.