Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) ist der Schutz von digitalen Daten ein zentrales Anliegen für einzelne Internetnutzer, aber auch für Unternehmen geworden. Zu den Schutzmethoden gehört die „Pseudonymisierung“, eine Technik zur Verschlüsselung von personenbezogenen Daten. Doch was steckt wirklich dahinter? Sehen wir uns an, was dieser Fachbegriff genau bedeutet.
Der Ursprung des Wortes „Pseudonymisierung“
Erstes Auftreten
Der Begriff „Pseudonymisierung“ tauchte erstmals 2009 im Rahmen des Standards der Internationalen Organisation für Normung ISO / TS 25237: 2008 für Gesundheitsinformatik auf. Dort ist die Definition der Pseudonymisierung relativ einfach: „Ersetzen eines Namens durch ein Pseudonym“. Eine etwas technischere Definition lautet: „Prozess, durch den Daten ihren personenbezogenen Charakter verlieren“. Hier wird deutlich, dass es sich um ein System zum Verbergen von personenbezogenen Informationen, insbesondere des Vor- und Nachnamens, handelt.
DSGVO und die Weiterentwicklung der Definition
Als 2016 die DSGVO in Kraft trat, blieb das Konzept der Pseudonymisierung bestehen, aber die Definition wurde etwas neuinterpretiert. So steht im Artikel 4 der neuen Datenschutz-Grundverordnung: “Pseudonymisierung bedeutet personenbezogene Daten in einer Weise zu verarbeiten, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“. Pseudonymisierung soll also verhindern, dass Personen in einer Datensammlung durch Merkmale eindeutig identifizierbar sind. Die grundsätzliche Zuordnungsmöglichkeit bleibt in den pseudonymen Daten nach der Pseudonymisierung somit erhalten, ist jedoch ausgelagert.
In der Praxis besteht die Pseudonymisierung darin, dass direkt identifizierende Daten, wie z.B. Name und Vorname, durch indirekt identifizierende Kennzeichen wie Schlüssel oder Pseudonyme ersetzt werden. Es ist somit immer noch möglich, die Identität der Person über die Daten von Dritten zu ermitteln. Pseudonymisierte Daten bleiben also personenbezogene Daten und der Vorgang der Pseudonymisierung ist grundsätzlich umkehrbar.
Nicht zu verwechseln – Pseudonymisierung und Anonymisierung
Die Pseudonymisierung ist per Definition eine reversible Sicherheitstechnik, da die Identifizierung der Person durch die Verknüpfung der Scheindaten mit den Originaldaten möglich bleibt. Umgekehrt besteht die Anonymisierung darin, die Identifizierung der Person, auf irgendeine Art und Weise irreversibel unmöglich zu machen.
Wie funktioniert die Pseudonymisierung?
Um die Pseudonymisierung nach der DSGVO zu realisieren, werden verschiedene Techniken eingesetzt.
Verschlüsselung mit Geheimschlüssel
Bei der Verschlüsselung mit geheimen Schlüsseln ist die Person, die die Daten verarbeitet, im Besitz des Verschlüsselungscodes. Sie kann also die Identität der betroffenen Person wiederherstellen, indem sie die mit diesem Schlüssel verwendeten Daten entschlüsselt. Personenbezogene Daten sind immer vorhanden, auch wenn sie in verschlüsselter (oder codierter) Form vorliegen.
Die Hash-Funktion
Mit der Hash-Funktion können Sie ein Ergebnis mit einer festen Größe abrufen, unabhängig von der Größe des eingegebenen Attributs oder der Menge der Attribute. Diese Art von Technik birgt jedoch ein Risiko, da die versteckten Daten wiederhergestellt werden können, wenn ihre minimalen und maximalen Grenzen gefunden werden. Um das Risiko zu verringern, kann eine „Salt“-Funktion hinzugefügt werden, d.h. ein zusätzlicher Zufallswert namens „Salt“. Es ist die Zufälligkeit dieser zusätzlichen Daten, die die Möglichkeit des Datenabrufs reduziert.
Die Hash-Funktion durch Schlüssel und gespeicherten Schlüssel
Der „Salt“ ist im Allgemeinen nicht geheim, was unweigerlich ein Risiko bedeutet. Es kann ein geheimer Schlüssel als zusätzlicher Wert verwendet werden, um es für einen Hacker schwieriger zu machen, den Eingabewert abzurufen, da er den Wert des Schlüssels vorher nicht kennt, den der Daten-Controller nach Belieben ändern kann. Ein regelmäßiger Schlüsselwechsel ist auch wichtig, um zu verhindern, dass der Hacker eine unendliche Anzahl von Möglichkeiten testen kann.
Deterministische Verschlüsselung
Das deterministische Verschlüsselungsverfahren könnte man mit einem Hash mit Schlüssel vergleichen, bei dem jedoch der Schlüssel entfernt wurde. Diese Methode erzeugt für jedes Element in der Datenbank eine Zufallszahl als Alias. Nach der Alias-Generierung wird die „Korrespondenztabelle“ gelöscht. Dies ist die gründlichste Pseudonymisierungstechnik, da das Wiederfinden der Originaldaten nicht nur das Finden des Algorithmus und das Entschlüsseln der Daten erfordert, sondern auch das Ausprobieren aller möglichen Schlüssel, da der verwendete Schlüssel nirgendwo verfügbar ist.
Die Pseudonymisierung ist eine unverzichtbare Methode zum Schutz von personenbezogenen Daten. Auch wenn es nicht die radikalste Technik ist, so erlaubt sie doch, die sensibelsten Daten zu verbergen, und bietet zugleich den Vorteil, sie im erforderlichen Umfang wiederherstellen zu können.