BDSG a.F. Kommentare und Erläuterungen

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisieren Sie Ihre Browser-Lesezeichen und verwenden Sie stattdessen die Standard-Druckfunktion des Browsers.

§ 3 Weitere Begriffsbestimmungen

Absatz 6a Text

(6a) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Pseudonymisieren

Der Begriff des Pseudonymisierens wird im BDSG in § 3a verwendet. Er bezeichnet dort ein Verfahren zur Umsetzung des Grundsatzes der Datenvermeidung und Datensparsamkeit. Auch datenschutzrechtliche Regelungen anderer Gesetze sowie die meisten Datenschutzgesetze der Länder greifen auf den Begriff zurück. Die EU-Datenschutzrichtlinie kennt den Begriff nicht.


„Pseudonym“ bedeutet im allgemeinen Sprachgebrauch einen erfundenen Name, einen Künstlernamen oder einen Decknamen. Das verfassungsrechtlich geschützte allgemeine Persönlichkeitsrecht umfasst die Befugnis, gegenüber Dritten und in der Öffentlichkeit unter einem Pseudonym aufzutreten. Das Pseudonym macht es unmöglich, die Äußerungen dem Autor persönlich zuzurechnen. Mehrere Pseudonyme können verbergen, dass mehrere Äußerungen von einer einzigen Person stammen. Der Schutz vor solcher Verknüpfung hat im Internet besondere Bedeutung.


Das Gesetz spricht vom "Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen. Ein Pseudonym kann aber auch von Anfang verwendet werden.


Gibt es mehrere direkte Identifikationsmerkmale (z.B. Personennummer oder -kennzeichen), so müssen alle ersetzt werden, damit von einer Pseudonymisierung gesprochen werden kann.


Wie das Anonymisieren dient das Pseudonymisieren dazu, den Personenbezug „auszuschließen oder wesentlich zu erschweren“. Beim Pseudonymisieren gibt es jedoch eine Möglichkeit, die Verknüpfung mit dem echten Namen wieder herzustellen.


Ob pseudonyme Daten als personenbezogen, weil personenbeziehbar einzustufen sind, ist kontextbezogen festzustellen. Durch den Anfall von weiteren Daten kann sich im Zeitablauf eine Bestimmbarkeit ergeben. Die Definition des Absatzes 6a umfasst sowohl personenbeziehbare Pseudonyme, bei denen die Bestimmung der dahinter stehenden Person nur „wesentlich erschwert“ wird, als auch für anonyme Pseudonyme, bei denen die Zuordnung faktisch ausgeschlossen ist.


Werden statt direkt personenbezogener Daten pseudonyme Daten übermittelt, kann dies bei einer gesetzlich vorgesehenen Interessenabwägung berücksichtigt werden.


Bei selbst generierten Pseudonymen (z.B. Nickname) kann nur der Betroffene selbst den direkten Personenbezug herstellen. Ein vergleichbar hoher Schutz besteht bei der Vergabe von Pseudonymen durch eine unabhängige vertrauenswürdige Instanz, wenn bei dieser rechtlich und organisatorisch sichergestellt ist, dass sie die Identität des Betroffenen nur mit dessen Zustimmung oder unter gesetzlich geregelten, engen Bedingungen offen legt. Vergibt die verantwortliche Stelle die Pseudonyme, so sind die Betroffenen zwar nicht ihr gegenüber, wohl aber gegenüber allen Dritten, z.B. anderen Nutzern, geschützt.


Transaktionspseudonyme, wie zum Beispiel eine dynamische IP-Adresse oder eine Session-ID, werden nur für eine Transaktion benutzt. Rollenpseudonyme, etwa für die Rolle als Kunde oder Proband, ermöglichen eine Verkettung von Aktivitäten die Aufdeckung der Identität.


Pseudonyme können durch Ableitung (Verschlüsselung) aus den Identifikationsdaten hergestellt werden oder durch Erzeugung von Zufallswerten.


Die Pseudonyme werden mittels einer Matrix oder Liste (Referenzliste, Referenztabelle) den ID-Daten (personenbezogenen Daten) der Betroffenen zugeordnet. Erfolgt die Ableitung durch Verschlüsselung, so können bei symmetrischer Verschlüsselung die ID-Daten aus dem Pseudonym zurück gewonnen werden. Die Aufbewahrung einer Referenzliste erübrigt sich dann.


Online-Kommentare

← § 3 BDSG a.F. Kommentar Absatz 6   § 3 BDSG a.F. Kommentar Absatz 7 →

← § 2 BDSG a.F. Kommentare   § 3a BDSG a.F. Kommentare →

Weitere Informationen

Empfehlungen zur Umsetzung beim Anonymisieren und Pseudonymisieren

Weblinks

Orientierungshilfe: Pseudonymisierung in der medizinischen Forschung


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.