Für pseudonymisierte Daten gelten alle Anforderungen der DS-GVO

Lesezeit: 2 Minuten

Der folgende Auszug aus der Ausarbeitung der Arbeitsgruppe Datenschutz & IT-Sicherheit des Bundesverbandes Gesundheits-IT e. V. stellt den Standpunkt der Autoren dar bezüglich der Bedeutung von Pseudonymisierung.

Sicherheit personenbezogener Daten: Umgang mit Art. 32 DS-GVO

4.1 Pseudonymisierung

4.1.1 Was bedeutet Pseudonym?

Art. 4 Abs. 5 definiert Pseudonymisierung als „die Verarbeitung personenbezogener Daten in einer Weise, dass

  • die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können,
  • sofern diese zusätzlichen Informationen gesondert aufbewahrt werden − und technischen und organisatorischen Maßnahmen unterliegen,
  • die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

Aus der in der DS-GVO enthaltenen Begriffsbestimmung lassen sich somit verschiedene implizit enthaltene Feststellungen ableiten:

  1. Pseudonyme Daten stellen gemäß Art. 4 Abs. 1 personenbezogene oder personenbeziehbare Daten dar, da eine grundsätzliche Möglichkeit zur Identifikation der Person besteht.
  2. Der Vorgang der Pseudonymisierung stellt eine Verarbeitung im Sinne von Art. 4 Abs. 2 dar, somit gelten für eine Pseudonymisierung alle Vorgaben bzgl. der Verarbeitung, insbesondere die Vorgaben von Art. 5 und Art. 6 bzw. Art. 9. D. h. auch bei einer Pseudonymisierung der Daten muss immer die Rechtmäßigkeit der Verarbeitung gewährleistet sein. Insbesondere muss bei der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 ein Erlaubnistatbestand zur Pseudonymisierung vorhanden sein.
  3. Pseudonyme Daten gelten nur dann als pseudonym, wenn der die Daten Verarbeitende keine Möglichkeit hat, die Zuordnungsvorschrift zwischen Pseudonym und Personenkennung zu erhalten und eine „De-Pseudonymisierung“ mittels dieser Liste vornehmen kann.

Pseudonymisierte Daten sind nicht mit anonymisierten Daten gleichzusetzen. D. h., dass für pseudonymisierte Daten alle Anforderungen der DS-GVO gelten. Pseudonymisierung verringert lediglich die Verknüpfbarkeit eines Datenbestands mit der wahren Identität einer betroffenen Person. Somit stellt eine Pseudonymisierung eine sinnvolle Sicherheitsmaßnahme dar.

Das Dokument listet zum Thema Pseudonymisierung außerdem noch auf:

4.1.2 Arten von Pseudonymen
4.1.3 Güte einer Pseudonymisierung
4.1.4 Methoden der Pseudonymisierung

Quelle: Sicherheit personenbezogener Daten: Umgang mit Art. 32 DS-GVO

Urheber: Bundesverband Gesundheits-IT e. V.
Arbeitsgruppe Datenschutz & IT-Sicherheit

Das oben übernommene Material steht unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz


Fragen für die schulische Praxis, die sich hieraus ableiten

Zentral scheint mir bei der Ausarbeitung der Arbeitsgruppe die Feststellung,

dass für pseudonymisierte Daten alle Anforderungen der DS-GVO gelten.

Das bedeutet letztlich, Pseudonymisierung nimmt Schule nicht aus der datenschutzrechtlichen Verantwortung. Dabei kommt es jedoch darauf an, in welchem Zusammenhang die Pseudonymisierung genutzt wird und wie.

Was bedeutet das im schulischen Alltag?

Angenommen, Schüler melden sich mit einem selbstgewählten Pseudonym bei einem ZUMpad an, um gemeinsam einen Text zu schreiben. Der Text ist eine Sammlung von Fakten zu einem historischen Ereignis.

wird noch fortgesetzt …

Pseudonymisierung

Lesezeit: 2 Minuten

Gerade wenn es um die Nutzung von Diensten geht, bei welchen man aus Datenschutzgründen nicht mit Klarnamen arbeiten kann oder möchte, kommen die Begriffe Anonymisierung und Pseudonymisierung in Spiel. Die DSGVO definiert den Begriff Pseudonymisierung als:

die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

Quelle: Art. 4 DSGVO Begriffsbestimmungen

Das bedeutet, durch die Pseudonymisierung liegen die personenbezogenen Daten in einer Form vor, die keinen direkten Rückschluss auf die Person zulassen. Eine Zuordnung ist nur möglich, wenn die Pseudonyme mit einer Liste abgeglichen werden, aus welcher diese Zuordnung ersichtlich ist. Das bedeutet, die pseudonymisierten personenbezogenen Daten nicht mit der Liste zusammen gespeichert werden dürfen, die eine eindeutige Zuordnung erlauben.

Was bedeutet das für die schulische Praxis?

  • Werden in einer Software oder Plattform personenbezogene Daten verarbeitet, die für sich alleine keinen Rückschluss auf die Person zulassen, kann die Pseudonymisierung ein Mittel sein, um den Schutz dieser Daten zu erhöhen für den Fall, dass es zu einem Zwischenfall kommt und Fremde Zugiff auf die Daten erhalten.
    • Ein Beispiel für eine solche Plattform könnte ein Online-Diagnoseangebot eines Verlages sein. Für die Schüler werden Pseudonyme als Nutzernamen eingegeben. Die Lehrkraft hat jedoch eine Liste, über welche sie die Ergebnisse der Diagnose den Schülern zuordnen kann.
    • Die Plattform des Landes NRW, über welche die Ergebnisse der Lernstandserhebung 8 erfasst werden, arbeitet ebenfalls mit einer Pseudonymisierung der Schüler.
  • Pseudonymisierung kann auch ein Weg sein, um Plattformen oder Dienste zu nutzen, bei denen eine Nutzerkennung erforderlich ist, wo aber sonst keine weiteren persönlichen Daten anfallen oder erst entstehen, wenn diese im Zusammenhang mit einer zuordenbaren Identität geschieht.
    • Ein Beispiel hierfür wäre ein App wie Kahoot, wo die Schüler sich einen Namen ausdenken, mit dem sie teilnehmen. Die Plattform Kahoot kennt nur dieses Pseudonym.
  • Der LDI von Rheinland Pfalz sieht in der Pseudonymisierung eine Möglichkeit, wie Schulen Google Classroom nutzen, ohne mit dem Datenschutz in Konflikt zu geraten. Siehe dazu auch Anforderungen für den schulischen Einsatz von Google Classroom.pdf
    • In der Praxis könnte eine Schule zur Erzeugung von Nutzerkennungen für Accounts in Google Classroom beispielsweise die Schülernummer aus der Schulverwaltung nutzen.
  • Das Problem im Alltag kann für Lehrkräfte in der Zuordnung der Pseudonyme zu den tatsächlichen Personen der Schüler bestehen, etwa wenn es um die Bewertung von Leistungen geht.
    • Die sicherste Lösung ist hier eine Liste, am besten ausgedruckt, über die der Abgleich erfolgt.
    • Sonst könnte man sich damit behelfen, wie man das Pseudonym gestaltet. Man könnte beispielsweise die Initialen in unauffälliger Form integrieren.

Vertiefende Betrachtung des Themas Pseudonymisierung

Das Thema Pseudonymisierung ist weitaus komplexer als es auf den ersten Blick erscheinen mag. Sehr ausführlich hat sich die Arbeitsgruppe Datenschutz & IT-Sicherheit des Bundesverbandes Gesundheits-IT e. V. mit dem Thema Pseudonymisierung beschäftigt. Im Gesundheitsbereich hat man es mit sehr sensiblen Daten zu tun und vieles lässt sich auf den Bereich Bildung übertragen.

Unter Für pseudonymisierte Daten gelten alle Anforderungen der DS-GVO habe diese Ausarbeitung aufgeführt und mir Gedanken gemacht, was das letztlich für Schule bedeutet.