Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

DSGVO Businessman Shutterstock 1036519363 700

Obwohl die DSGVO längst in Kraft getreten ist, gibt es weiterhin viel Klärungsbedarf. Ein Grund ist die mangelnde Wahrnehmung einiger grundlegender Konzepte der Datenschutzverordnung. Bei vielen Kunden fällt uns auf, dass zwar der Begriff der Anonymisierung häufig im Zusammenhang fällt, aber großes Unwissen über das Konzept der Pseudonymisierung herrscht. 

Letztere ist mindestens genauso wichtig wie erstere, denn nur wenn sie erfüllt ist, dürfen personenbezogene Daten weiterhin ausgewertet werden. Das ist für fast alle Unternehmen relevant, nicht zuletzt im immer größer werdenden Big Data-Bereich und bei Anwendungen der Künstlichen Intelligenz.

Begriffsschärfung Anonymisierung und Pseudonymisierung

Anonymisierung gemäß der DSGVO verlangt, dass alle Verbindungen zwischen Daten und der betroffenen Person unwiderruflich getrennt werden. Im Gegensatz dazu bedeutet Pseudonymisierung (wie neu in DSGVO-Artikel 4 Absatz 5 definiert), dass diese Verbindungen (angemessen zugänglich durch verschlüsselte Schlüssel und dergleichen) nur in den Händen von berechtigten Parteien gehalten werden und der Zugang zu gesicherten Schlüsseln erforderlich ist, um die zugrunde liegenden Daten zu sehen oder Verknüpfungen mit den zugrunde liegenden Daten offenzulegen.

Stellen Sie sich zum Beispiel vor, dass die Gesundheitsdaten von jemandem mit einer unheilbaren Krankheit für weitere Erforschung der Arzneimittelentdeckung verwendet werden. Wird ein wirksames Medikament entdeckt, würde die von der DSGVO definierte Pseudonymisierung es ermöglichen, die Person zu kontaktieren, zu behandeln und zu heilen, während die Anonymisierung es theoretisch unmöglich machen würde, diese Person wiederzufinden.

Die Pseudonymisierung ist in der DSGVO nicht nur ein spezifisch aufgezähltes Mittel, um Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu erreichen . Sie wird zusätzlich auch mehr als zehn Mal als exemplarischer Schutz genannt , um "den Schutz der Grundrechte und der Grundfreiheiten natürlicher Personen bei der Verarbeitung zu harmonisieren und den freien Fluss personenbezogener Daten zu gewährleisten" und gleichzeitig durch diesen freien Datenfluss legitime Geschäftsziele zu erreichen.

Datenminimierung und Funktionale Trennung

Ein langjähriger Grundsatz des EU-Datenschutzrechts, der in der DSGVO verankert ist, ist das Konzept der Datenminimierung. Dies beinhaltet die Offenlegung der kleinsten Datenmenge, die für die kleinste Anzahl von Personen, die diese Daten benötigen, erforderlich ist, und die Möglichkeit, verschiedene Daten an verschiedene Personen weiterzugeben, und zwar in Übereinstimmung mit dem tatsächlichen Bedarf und den tatsächlichen Anforderungen an die Verwendung der Daten durch diese Personen. Die Grundsätze der Datenminimierung stehen im Mittelpunkt des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Um Trends und Zusammenhänge unabhängig von der Anwendung der gewonnenen Erkenntnisse auf die betroffenen Personen erkennen zu können, ist es notwendig, den Informationswert von der Identität zu trennen. Das so genannte Prinzip der "Funktionalen Trennung" besteht darin, durch technische und organisatorische Sicherheitsmaßnahmen eine solche Trennung zu realisieren. Gemäß der DSGVO ist die Funktionale Trennung innerhalb der Definitionsanforderungen für die DSGVO-konforme Pseudonymisierung verankert, dass der Informationswert von Daten von der Identität getrennt wird und dass zusätzliche gesicherte Informationen erforderlich sind, um den Informationswert mit der Identität zu verknüpfen, und das nur unter autorisierten Bedingungen.

Das Prinzip der Funktionalen Trennung existiert in anderen Datenschutzwerken unter unterschiedlichem Namen, z.B. "De-Identification" im California Consumer Protection Act und im vorgeschlagenen indischen Datenschutzgesetz und "Anonymization" im brasilianischen Datenschutzgesetz.

GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…