Neues Arbeitspapier der BMI-Fokusgruppe Datenschutz zur Pseudonymisierung
Die Fokusgruppe Datenschutz des Bundesministeriums des Innern, für Bau und Heimat (BMI) stellt auf dem heute beginnenden Digitalgipfel 2018 das Arbeitspapier zu Anforderungen an den datenschutzkonformen Einsatz von Lösungen für Pseudonymisierung vor. Das Papier wurde unter Leitung von Professor Dr. Schwartmann erarbeitete und gemeinsam mit Steffen Weiß von der Gesellschaft für Datenschutz und Datensicherheit (GDD) herausgegeben.
Pseudonyme schützen Daten und können deren datenschutzkonforme Nutzung
Um personenbezogene Daten wirtschaftlich nutzbar zu machen setzt die DS-GVO auf die Pseudonymisierung. Sie hat eine Doppelfunktion, indem sie personenbezogene Daten zugleich schützen und deren wirtschaftliche Nutzung ermöglichen soll. Der Kern
der Pseudonymisierung besteht darin, Identitätsdaten einer Person wie bei einem KfZ-Kennzeichen durch eine Zeichenkette zu ersetzen. Im Gegensatz zur Anonymisierung ist bei pseudonymisierten Daten eine Rückführung auf die Einzelperson (Re-Identifizierung) möglich. Der Rückschluss vom Pseudonym auf die Person erfolgt nach festen Regeln.
Arbeitspapier liefert praktischen Mehrwert
In dem Leitfaden werden neben Voraussetzungen für einen rechtssicheren Pseudonymisierungsprozess die Anforderungen aufgezeigt, die eine Pseudonymisierung typischerweise erfüllen muss. Hier sind die datenschutzrechtlichen Pflichten wie das Prüfen der Zulässigkeitsvoraussetzungen, die Zuweisung von Verantwortlichkeit, das Erfüllen von Betroffenenrechten sowie die Dokumentation zu erfüllen. Danach steht die Frage, welches Verfahren zur Pseudonymisierung gewählt wird. In dem Arbeitspapier wird einerseits die Möglichkeit von Pseudonymisierungslisten als Zuordnungstabellen thematisiert. Andererseits wird die Bildung einer kryptographischen
Prüfsumme als Berechnungsverfahren von Hash-Werten mit all ihren jeweiligen Vor- und Nachteilen ausführlich dargestellt.
Wie geht es weiter?
Nach der Veröffentlichung von Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen widmet sich die künftige Arbeit der Arbeitsgruppe dem Vorschlag für einen Pseudonymisierungsstandard. Damit wird sich die Fokusgruppe Datenschutz im Jahr 2019 befassen. Dieser soll auf dem Digital-Gipfel 2019 vorgelegt werden und der Wirtschaft zu mehr Investitionssicherheit verhelfen.
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
