Inhalt
Nr. 2.7 – Pseudonymisierung
(Art. 32 Abs. 1 lit. a DSGVO)
Kriterium
Schutzklasse 1
(1) Der Cloud-Anbieter ermöglicht es dem Cloud-Nutzer, Daten zu verarbeiten, die der Cloud-Nutzer pseudonymisiert überträgt.
Schutzklasse 2 und 3
(2) Soweit mit dem Cloud-Nutzer vereinbart (Nr. 1.7), stellt der Cloud-Anbieter sicher, dass die Daten pseudonymisiert verarbeitet werden. Entsprechend der rechtsverbindlichen Vereinbarung pseudonymisiert der Cloud-Nutzer die personenbezogenen Daten selbst oder der Cloud-Anbieter führt die Pseudonymisierung auf Weisung des Cloud-Nutzers durch.
(3) Wird die Pseudonymisierung vom Cloud-Anbieter durchgeführt, so stellt dieser sicher, dass die zusätzlichen Informationen zur Identifizierung der betroffenen Person gesondert aufbewahrt werden. Der Datensatz mit der Zuordnung des Kennzeichens zu einer Person muss so geschützt werden, dass zu erwartende Manipulationsversuche hinreichend und sicher ausgeschlossen werden.
(4) Ist die Pseudonymisierung der Daten auf Weisung des Cloud-Nutzers nicht gegenüber allen Mitarbeitern des Cloud-Anbieters wirksam, ist der Kreis der privilegierten Mitarbeiter auf das unbedingt Erforderliche zu begrenzen.
(5) Erfordert die Art des Auftrags mit dem Cloud-Nutzer die De-Pseudonymisierung der Daten, stellt der Cloud-Anbieter sicher, dass die De-Pseudonymisierung nur auf dokumentierte Weisung des Cloud-Nutzers erfolgt.
(6) Der Cloud-Anbieter gewährleistet, dass er die technische Entwicklung im Bereich der Pseudonymisierungsverfahren laufend verfolgt und seine Verfahren den aktuellen technischen Empfehlungen (best practices) entsprechen.
Erläuterung
In Schutzklasse 1 muss der Cloud-Anbieter, sofern er personenbezogene Daten des Cloud-Nutzers verarbeitet, selbst keinen Pseudonymisierungsdienst anbieten, wohl aber pseudonyme Daten unter Wahrung der Pseudonymität verarbeiten.
Die Pseudonymisierung wird neben der Verschlüsselung in Art. 32 Abs. 1 lit. a DSGVO explizit als einzusetzende Sicherheitsmaßnahme benannt. Sie trägt dazu bei, das Gewährleistungsziel der Nichtverkettung (SDM C1.5) zu fördern. Da durch Pseudonymisierung Dritte selbst bei einem unbefugten Zugriff auf den Cloud-Dienst keine Kenntnis von den personenbezogenen Daten erlangen können oder der Personenbezug zumindest erheblich erschwert wird, mindert die Pseudonymisierung die Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen.
Umsetzungshinweis
Schutzklasse 1
Der Cloud-Anbieter sollte durch TOM sicherstellen, dass eine Pseudonymisierung der personenbezogenen Daten nicht aufgehoben werden kann (bspw. Sicherstellung, dass der Schlüssel des Cloud-Nutzers nicht bekannt ist).
Schutzklasse 2 und 3
Hinweise zur rechtssicheren Umsetzung von Pseudonymisierungsverfahren können dem Arbeitspapier „Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen“ entnommen werden. Für die Überwachung des Pseudonymisierungsprozesses sollte der Cloud-Anbieter einen geeigneten Fachverantwortlichen bestimmen, der einen einheitlichen Einsatz bei der Pseudonymisierung koordiniert und die Verantwortung für wichtige Entscheidungen übernimmt.
Werden Pseudonyme durch Berechnungsverfahren erstellt, sollten diese dem Stand der Technik entsprechen (z.B. BSI TR-02102-1). Die getrennte Aufbewahrung des Datensatz mit der Zuordnung des Kennzeichens zu einer Person bedarf eines dokumentierten Berechtigungskonzepts und der Zugriff auf diesen Datensatz sollte auf ein absolutes Minimum an vertrauenswürdigen Personen eingeschränkt werden (Need-to-Know-Prinzip). Jeder Zugriff auf den Datensatz mit der Zuordnungsinformation sollte nach dem Vier-Augen-Prinzip erfolgen. Sofern dies nicht möglich ist, sollte jeder Zugriff personenbezogen protokolliert werden.
Um eine weisungsgetreue De-Pseudonymisierung durchführen zu können, sollten mit dem Cloud-Nutzer dokumentierte Fälle von gewünschten Aufdeckungen definiert werden. Der Vorgang der De-Pseudonymisierung sollte protokolliert werden. Aus dem Protokoll sollte hervorgehen, wer die De-Pseudonymisierung durchgeführt hat. In ihm sollten jedoch keine Angaben enthalten sein, die Rückschlüsse auf die dem Pseudonym zugrunde liegenden Identitätsdaten erlauben.
Der Cloud-Anbieter sollte öffentlich bekannt geben, welche technischen Standards sein Pseudonymisierungsverfahren erfüllt. Beispielsweise kann zur Pseudonymisierung in der medizinischen Informatik ISO 25237 herangezogen werden.
Nachweis
Für Schutzklasse 1 legt der Cloud-Anbieter Dokumentationen über den Prozess der Datenverarbeitung, insbesondere im Hinblick auf pseudonymisierte Daten vor. Durch eine testweise Dienstnutzung mit pseudonymisierten Daten kann nachgewiesen werden, dass Verarbeitungen unter Wahrung der Pseudonymität durchgeführt werden.
Für Schutzklasse 2 und 3 legt ein Cloud-Anbieter Dokumentationen vor, die nachweisen, wie Pseudonymisierungen vorgenommen, Identifizierungsdaten sicher aufbewahrt und gegen Manipulation geschützt, und pseudonymisierte Daten verarbeitet werden (bspw. Vorlage von Dokumentationen der TOM, Verfahrensanweisungen, Richtlinien, Protokoll- und Logdaten, Ergebnisprotokolle interner/externer Audits und der Risikoanalyse).
Die Implementierung, Angemessenheit und Wirksamkeit der Pseudonymisierungsverfahren und der Maßnahmen zum Schutz der zusätzlichen Informationen zur Identifizierung werden für Schutzklasse 2 und 3 im Rahmen einer (Sicherheits-)Prüfung durch repräsentative Stichproben festgestellt. Auch kann der Cloud-Anbieter die Art der eingesetzten Programme, die Programmierungen zur Pseudonymisierung und ihre Konfiguration im Rahmen einer Assetprüfung darlegen und eine stichprobenartige Prüfung von pseudonymisierten Datensätzen zulassen. Eine Befragung von Mitarbeitern im Rahmen eines Audits kann zusätzlich als Nachweis dienen, indem die in der Dokumentation spezifizierten Maßnahmen mit den tatsächlich durchgeführten Maßnahmen für Schutzklasse 2 und 3 abgeglichen werden (bspw. Befolgung von Richtlinien und Schutzmaßnahmen, Bekanntheit der Weisungen zur De-Pseudonymisierung).
Erfordert die Art des Auftrags mit dem Cloud-Nutzer die De-Pseudonymisierung der Daten, legt ein Cloud-Anbieter die rechtsverbindliche Vereinbarung mit dem Cloud-Nutzer oder andere Dokumente zur Weisungserteilung des Cloud-Nutzers vor.
Zudem legt der Cloud-Anbieter Dokumentationen vor (bspw. Protokolle, Versionierungshistorie), die belegen, dass der Cloud-Anbieter die technische Entwicklung im Bereich der Pseudonymisierungsverfahren laufend verfolgt. Dies kann auch im Rahmen einer Assetprüfung nachgewiesen werden (bspw. Nachweis über Änderungen am Programmcode zur Pseudonymisierung, Aktualisierung von Bibliotheken etc.). Auch kann durch eine Befragung der Mitarbeiter nachgewiesen werden, dass diese die aktuellen Empfehlungen zur Pseudonymisierung kennen und umsetzen.