Pseudonymisierung.

Pseudonymisierung ist die in GDPR Artikel 4(5) definierte Technik, bei der direkte Identifikatoren durch umkehrbare Token ersetzt werden und der Schlüssel separat gespeichert wird. Sie reduziert das Risiko und schafft Vertrauen bei den Aufsichtsbehörden, doch die Daten gelten weiterhin als personenbezogene Daten. Die Anonymisierung ist die Variante, die vollständig aus dem Anwendungsbereich des GDPR herausfällt; die Pseudonymisierung hingegen nicht. Verwechseln Sie beide Begriffe nicht.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Die Einschätzung der Cyber Academy

Pseudonymisierung ist die in GDPR Artikel 4(5) definierte Technik, bei der direkte Identifikatoren durch umkehrbare Token ersetzt werden und der Schlüssel separat gespeichert wird. Sie reduziert das Risiko und schafft Vertrauen bei den Aufsichtsbehörden, doch die Daten gelten weiterhin als personenbezogene Daten. Die Anonymisierung ist die Variante, die vollständig aus dem Anwendungsbereich des GDPR herausfällt; die Pseudonymisierung hingegen nicht. Verwechseln Sie beide Begriffe nicht.

Was Pseudonymisierung tatsächlich bewirkt

Pseudonymisierung ist eine Technik des Datenschutzes, kein Zustand, den die Daten erreichen. Sie nehmen die Felder, die unmittelbar auf eine Person verweisen, den Namen, die E-Mail-Adresse, die nationale Identifikationsnummer, und ersetzen sie durch ein Token: eine zufällige Kennung, eine codierte Referenz, einen verschlüsselten Wert. Die Zuordnung, die das Token wieder in die echte Identität zurückführt, der Schlüssel, wird getrennt aufbewahrt und mit eigenen technischen und organisatorischen Maßnahmen geschützt. Wer mit dem pseudonymisierten Datensatz arbeitet, kann ihn analysieren, weitergeben oder zum Testen nutzen, ohne zu sehen, wem die Datensätze gehören, während die Organisation die Fähigkeit behält, neu zu identifizieren, wenn sie einen berechtigten Grund dafür hat.

Die DSGVO benennt diese Technik ausdrücklich und behandelt sie als empfohlene Schutzmaßnahme. Sie erscheint als Weg, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu erfüllen, als Maßnahme, die das Restrisiko einer Verarbeitungstätigkeit senken kann, und als Faktor, den Aufsichtsbehörden wohlwollend gewichten, wenn sie beurteilen, ob Sie genug getan haben. Sie einzusetzen ist ein Signal, dass Sie Sicherheit und Minimierung ernst genommen haben. Das ist das Wohlwollen, auf das die kurze Definition verweist, und es ist real, doch es ändert nichts an der rechtlichen Natur der Daten.

Pseudonymisierung ist nicht Anonymisierung

Das ist die Verwechslung, die Organisationen in Schwierigkeiten bringt. Weil ein pseudonymisierter Datensatz keinen sichtbaren Namen mehr trägt, wird angenommen, er habe den Geltungsbereich der Verordnung verlassen. Hat er nicht. Pseudonymisierung ist von ihrer Anlage her umkehrbar: Der Schlüssel existiert, also können die Daten wieder einer identifizierbaren Person zugeordnet werden, also bleiben sie personenbezogene Daten und jede Pflicht gilt weiterhin. Anonymisierung ist der gegenteilige Handel. Sie ist irreversibel, die Verbindung zur Person wird so vollständig zerstört, dass eine Neuidentifizierung mit keinem nach allgemeinem Ermessen wahrscheinlich genutzten Mittel mehr vernünftigerweise möglich ist, und erst dann fallen die Daten vollständig aus der DSGVO heraus.

Pseudonymisierung versus Anonymisierung
AspektPseudonymisierungAnonymisierung
UmkehrbarJa, über den getrennt aufbewahrten SchlüsselNein, die Verbindung wird zerstört
Weiterhin personenbezogene DatenJaNein
DSGVO giltJa, in vollem UmfangNein
Typischer ZweckRisiko senken bei gleichzeitiger Wahrung von Nutzbarkeit und NeuidentifizierungDaten aus dem Geltungsbereich nehmen, oft zur offenen Veröffentlichung

Was Praktiker tatsächlich tun

In der Praxis ist Pseudonymisierung eher eine Disziplin aus Technik und Governance als ein einzelner Schalter. Der Sinn, den Schlüssel zu trennen, ist zunichtegemacht, wenn dasselbe Team, System oder Backup sowohl die Token als auch die Zuordnung hält, sodass die Kontrollen rund um den Schlüssel ebenso sehr zählen wie die Tokenisierung selbst.

  • Direkte Identifikatoren durch Token ersetzen, mit Methoden wie schlüsselbasiertem Hashing, Verschlüsselung oder einer Nachschlagetabelle aus zufälligen Referenzen.
  • Den Schlüssel zur Neuidentifizierung getrennt speichern, unter strengerer Zugriffskontrolle als der Arbeitsdatensatz, idealerweise in der Verantwortung eines anderen Teams.
  • Gegen indirekte Neuidentifizierung absichern, bei der seltene Kombinationen verbleibender Felder (eine Postleitzahl, dazu ein Geburtsdatum, dazu eine Berufsbezeichnung) jemanden auch ohne Namen herausstellen.
  • Die Technik im Verzeichnis von Verarbeitungstätigkeiten und in der DSFA dokumentieren und die pseudonymisierten Daten für Verletzungsbewertung, Aufbewahrung und Betroffenenrechte als personenbezogene Daten behandeln.

Gut umgesetzt lässt Pseudonymisierung Analytik, Forschung und Softwaretests auf realistischen Daten laufen und verkleinert zugleich den Wirkungsradius einer Verletzung, denn ein Angreifer, der die Token ohne den Schlüssel erlangt, hält weit weniger in Händen. Nachlässig umgesetzt, mit erreichbarem Schlüssel oder ignorierten indirekten Identifikatoren, bietet sie den Anschein von Schutz ohne dessen Substanz, und die Organisation trägt weiterhin jede Pflicht, der sie entkommen zu sein glaubte.

Frequently asked questions

01Nimmt Pseudonymisierung meine Daten aus dem Geltungsbereich der DSGVO heraus?

Nein. Pseudonymisierte Daten sind umkehrbar, weil der Schlüssel zur Neuidentifizierung weiterhin existiert, also bleiben sie personenbezogene Daten und die DSGVO gilt in vollem Umfang. Nur die irreversible Anonymisierung nimmt Daten aus dem Geltungsbereich der Verordnung heraus.

02Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?

Pseudonymisierung ist umkehrbar und hält die Daten über einen getrennt aufbewahrten Schlüssel mit einer Person verknüpfbar, also bleiben sie personenbezogene Daten. Anonymisierung ist irreversibel und zerstört diese Verknüpfung, sodass eine Neuidentifizierung nicht mehr vernünftigerweise möglich ist, was die Daten aus dem Geltungsbereich der DSGVO herausnimmt.

03Warum lohnt sich Pseudonymisierung, wenn die Daten weiterhin reguliert sind?

Sie senkt das Risiko und unterstützt Datenschutz durch Technikgestaltung. Sie schränkt ein, wer echte Identitäten sehen kann, verringert die Auswirkung einer Verletzung und zählt als günstige Sicherheits- und Minimierungsmaßnahme, wenn eine Aufsichtsbehörde Ihre Verarbeitung beurteilt.

04Wo speichere ich den Schlüssel zur Neuidentifizierung?

Getrennt vom pseudonymisierten Datensatz, unter strengeren Zugriffskontrollen und idealerweise verwaltet von einem anderen Team oder System. Wenn dieselben Personen oder Backups sowohl die Token als auch den Schlüssel halten, ist die Trennung, die Pseudonymisierung sinnvoll macht, dahin.

05Können pseudonymisierte Daten dennoch versehentlich neu identifiziert werden?

Ja. Auch ohne direkte Identifikatoren können seltene Kombinationen verbleibender Attribute wie Postleitzahl, Geburtsdatum und Beruf eine einzelne Person herausstellen. Die Absicherung gegen diese indirekte Neuidentifizierung gehört dazu, Pseudonymisierung richtig zu betreiben.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.