[datensicherheit.de, 02.02.2025] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern (DSK) hat nach eigenen Angaben auf ihrer 1. Zwischenkonferenz am 29. Januar 2025 in Berlin beschlossen, praktische Hilfestellungen für die effektive Anonymisierung und Pseudonymisierung von personenbezogenen Daten zu erarbeiten. Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes sowie der Länder und hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten – dies geschieht vor allem durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.

Richtig angewendet sind Anonymisierung und Pseudonymisierung wertvolle Werkzeuge für die Datenverarbeitung

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI ) und 2025 die DSK-Vorsitzende erläutert: „Richtig angewendet können Anonymisierung und Pseudonymisierung wertvolle Werkzeuge für die Datenverarbeitung in Forschung, Wirtschaft und im öffentlichen Sektor sein. Allerdings ist es für viele Stellen eine Herausforderung, ein geeignetes Verfahren für die Anonymisierung oder Pseudonymisierung personenbezogener Daten auszuwählen. Die Datenschutzkonferenz wird dazu konkrete Unterstützung entwickeln, die die europäischen Leitlinien für ausgewählte Einzelfälle konkretisiert.“

Europäischer Datenschutzausschuss plant, 2025 Leitlinien zur Anonymisierung zu veröffentlichen

Der Europäische Datenschutzausschuss (EDSA) plant laut Kamp, in diesem Jahr – 2025 – Leitlinien zur Anonymisierung zu veröffentlichen. Die Leitlinien zur Pseudonymisierung seien bereits erschienen. Das DSK-Papier werde auf diesen EDSA-Leitlinien aufbauen und anhand konkreter Beispiele aus medizinischer Forschung, KI-Entwicklung oder Statistik zeigen, „welche Anforderungen und Verfahren für die Pseudonymisierung und Anonymisierung wichtig sind“.

Datenschutzkonferenz hat zudem Einsatz KI-basierter Systemen in der öffentlichen Verwaltung erörtert

Die DSK habe außerdem den Einsatz von KI-basierten Systemen in der öffentlichen Verwaltung diskutiert. Eine Umfrage unter den Aufsichtsbehörden habe ergeben, dass öffentliche Stellen eine große Breite an KI-Verfahren in unterschiedlichen Bereichen und für vielfältige Zwecke entwickelten oder bereits einsetzten. Die DSK habe beschlossen, dass sich ihr seit Januar 2025 bestehender Arbeitskreis „Künstliche Intelligenz“ mit den daraus entstehenden Fragen befassen solle.

Weitere Informationen zum Thema:

datensicherheit.de, 20.01.2025
Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen / Berliner Beauftragte für Datenschutz und Informationsfreiheit begrüßt Beschluss

[datensicherheit.de, 20.01.2025] Laut einer aktuellen Mitteilung begrüßt die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, die Leitlinien des Europäischen Datenschutzausschuss (EDSA) zur Pseudonymisierung. Die BlnBDI war demnach an der Erarbeitung dieser Leitlinien federführend beteiligt.

Effektiver Weg, Vertraulichkeit personenbezogener Daten zu bewahren

„Pseudonymisierung bietet einen effektiven Weg, die Vertraulichkeit personenbezogener Daten zu bewahren. Gleichzeitig ermöglicht es Weiterverarbeitungen von Daten, die ansonsten wegen der mit ihnen verbundenen Risiken nicht durchgeführt werden dürften“, erläutert Kamp. In Zeiten der Digitalisierung könne effektive Pseudonymisierung dabei helfen, die Risiken von Datenverarbeitungen zu minimieren und das Vertrauen der Menschen in den Schutz ihrer Daten zu stärken.

Kamp kommentiert: „Daher freue ich mich sehr, dass der Europäische Datenschutzausschuss nun Leitlinien zur Anwendung dieser wichtigen Technischen und Organisatorischen Maßnahme erlassen hat. Ich verspreche mir davon mehr Rechtssicherheit für Unternehmen und andere Organisationen, die auf Pseudonymisierung setzen.“

Verarbeitung personenbezogener Daten in einer Weise, dass diese nicht mehr ohne Weiteres einer spezifischen Person zugeordnet werden können

Unter „Pseudonymisierung“ verstehe die Datenschutz-Grundverordnung (DSGVO) eine Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden könnten. „Die Identität der betroffenen Personen soll denjenigen verborgen bleiben, die keinen Zugang zu solchen zusätzlichen Informationen haben.“

Für eine Pseudonymisierung würden die Daten umgestaltet, Namen und andere identifizierende Angaben würden entfernt und in der Regel durch Pseudonyme ersetzt. „Eine Tabelle, die Pseudonyme den Daten gegenüberstellt, die sie ersetzt haben, stellt eine typische Zusatzinformation dar.“ Verantwortliche schützten die von ihnen gehaltenen Zusatzinformationen durch Technische und Organisatorische Maßnahmen (TOM), um die Fähigkeit zur Zuordnung der pseudonymisierten Daten zu spezifischen betroffenen Personen zu kontrollieren.

Dachorganisation der nationalen europäischen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten nahm Leitlinien an

In seiner Sitzung am 16. Januar 2025 habe der EDSA die Leitlinien zur Pseudonymisierung angenommen. Der EDSA sei die Dachorganisation der nationalen europäischen Datenschutzbehörden und des Europäischen Datenschutzbeauftragten. „Die Leitlinien bestehen aus zwei Teilen, von denen der erste einen rechtlichen und der zweite einen technischen Schwerpunkt hat.“

Ein Anhang veranschauliche anhand von Fallbeispielen aus der Praxis die Verwendung und die Vorteile der Pseudonymisierung. Pseudonymisierung und Anonymisierung seien die Schwerpunktthemen der BlnBDI für ihren diesjährigen Vorsitz der Datenschutzkonferenz (DSK).

Weitere Informationen zum Thema:

edpb European Data Protection Board, 17.01.2025
EDPB adopts pseudonymisation guidelines and paves the way to improve cooperation with competition authorities

edpb European Data Protection Board, 17.01.2025
Guidelines 01/2025 on Pseudonymisation