Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK
DE
EN ES

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
Schutz personenbezogener Daten (Teil 2)

Schutz personenbezogener Daten (Teil 2)

16.12.2025

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) in Europa werden von Unternehmen zahlreiche Techniken eingesetzt, um die Verarbeitung und den Schutz personenbezogener Daten wirksam umzusetzen und dabei ein Gleichgewicht zwischen Informationssicherheit und den geschäftlichen Anforderungen der Organisation zu erreichen.

In diesem Zusammenhang gibt es Begriffe, die noch immer erhebliche Verwirrung stiften und häufig synonym verwendet werden, obwohl sie in Wirklichkeit völlig unterschiedlich sind. Aufgrund mangelnden Verständnisses dieser Techniken setzen nicht alle Unternehmen Anonymisierung und Pseudonymisierung korrekt zum Schutz der personenbezogenen Daten ihrer Kunden ein.

Kurz gesagt ist Anonymisierung eine Technik, bei der jene Attribute personenbezogener Daten entfernt werden, die eine Identifizierung einer Person ermöglichen, während Pseudonymisierung darin besteht, identifizierende Attribute so zu verändern, dass eine Person ohne zusätzliche Informationen über diese Veränderung nicht identifiziert werden kann.

Zu den Risiken im Zusammenhang mit dem Schutz personenbezogener Daten, die durch diese Techniken gemindert werden, gehören:

  • Identifizierung: verstanden als die Möglichkeit, aus einem Datensatz einzelne (oder alle) Datensätze zu extrahieren, die eine Person identifizieren.
  • Verknüpfbarkeit: die Fähigkeit, zwei oder mehr Datenpunkte, die sich auf dieselbe betroffene Person oder Gruppe beziehen, miteinander in Beziehung zu setzen – sei es über eine oder mehrere Datenquellen.
  • Inferenz: die Möglichkeit, aus einfachen oder nicht kritischen Daten mit signifikanter Wahrscheinlichkeit persönliche Merkmale abzuleiten, zu denen kein Zugriff bestehen sollte.

Anonymisierung personenbezogener Daten

Der Anonymisierungsprozess (oder die Dissoziation personenbezogener Daten) besteht darin, das Risiko der Identifizierung personenbezogener Daten zu beseitigen oder auf ein Minimum zu reduzieren. Mit anderen Worten handelt es sich um eine Technik, durch die die Möglichkeit der Identifizierung der betroffenen Person aufgehoben wird, während zugleich die Wahrhaftigkeit und Genauigkeit der Ergebnisse der Datenverarbeitung erhalten bleiben.

Die Anonymisierung muss die personenbezogenen Daten, die eine eindeutige Identifizierung einer Person ermöglichen, voneinander trennen. Nach Abschluss dieses Prozesses fällt die Verarbeitung anonymisierter Daten nicht mehr in den Anwendungsbereich der DSGVO.

Ab diesem Zeitpunkt kann der Verantwortliche diese Informationen in der Form und Weise nutzen, die erforderlich ist, da die Privatsphäre der betroffenen Personen in keiner Weise beeinträchtigt wird.

Grundsätzlich gibt es zwei Arten der Anonymisierung:

  • Randomisierung: Sie besteht darin, die Genauigkeit eines Datensatzes zu verändern, um die bestehende Verbindung zwischen den Daten und ihrem Eigentümer aufzuheben. Häufig wird dabei sogenanntes „Rauschen“ hinzugefügt, also Werte so verändert, dass sie weniger präzise sind, jedoch ihre allgemeine Verteilung beibehalten (die Daten bleiben bis zu einem gewissen Grad korrekt). Ebenso werden Werte zwischen zwei oder mehreren Datensätzen permutiert oder „gemischt“, wobei besonders darauf zu achten ist, bestehende logische Beziehungen nicht zu verändern.
  • Generalisierung: Sie besteht darin, spezifische Attribute natürlicher Personen zu verallgemeinern oder zu verwässern, indem deren jeweilige Skalen oder Größenordnungen verändert werden. Diese Technik ist wirksam, um das Risiko der Individualisierung zu beseitigen, jedoch nicht, um Verknüpfbarkeit oder Inferenz zu verhindern. Daher wird sie häufig mit anderen Techniken kombiniert, um ihre Wirksamkeit zu erhöhen, etwa mit Aggregation, um zu verhindern, dass eine einzelne Person isoliert wird, indem sie mindestens einer Gruppe zugeordnet wird, die in einem bestimmten Attribut denselben Wert teilt.

Weitere Techniken, die im Rahmen des Anonymisierungsprozesses eingesetzt werden können, sind:

  • Hash-Algorithmen mit geheimem Schlüssel: Diese Technik besteht darin, für jedes Attribut in einer personenbezogenen Datenbank einen zufälligen Wert zu erzeugen und anschließend die Zuordnungstabelle mit den echten Daten zu löschen.
  • Homomorphe Verschlüsselung: Sie ermöglicht es, Operationen auf verschlüsselten Daten durchzuführen (ohne diese jemals entschlüsseln zu müssen), sodass die Ergebnisse der Operationen denen entsprechen, die bei der Verarbeitung von Klartextdaten erzielt würden. Auch die Ergebnisse sind verschlüsselt, wodurch die Vertraulichkeit der Verarbeitung gewährleistet wird, da sie – falls erforderlich – nur für den Inhaber des Entschlüsselungsschlüssels zugänglich sind. Es ist hervorzuheben, dass diese Technik noch nicht vollständig standardisiert ist und daher verantwortungsvoll eingesetzt werden sollte.
  • Zeitstempel: Dabei werden zeitbasierte Algorithmen eingesetzt, um Datum und Uhrzeit der durchgeführten Anonymisierung zu garantieren, oder sogar elektronische Signaturen, um die Identität der Person festzustellen, die die Anonymisierung vorgenommen hat.

Pseudonymisierung personenbezogener Daten

Der Prozess der Pseudonymisierung bezieht sich auf die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen sowie organisatorischen Maßnahmen unterliegen, die sicherstellen, dass sie nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden.

Mit anderen Worten handelt es sich um die Verarbeitung personenbezogener Informationen ohne die Daten, die die betroffene Person direkt identifizieren, ohne jedoch die bestehende Verbindung zwischen den Daten und der Möglichkeit, deren Eigentümer zu identifizieren, dauerhaft zu entfernen.

Obwohl pseudonymisierte Informationen keine direkte Identifizierung der betroffenen Person ermöglichen, darf nicht vergessen werden, dass es sich weiterhin um personenbezogene Daten handelt (da die Identität der betroffenen Person mithilfe zusätzlicher Informationen ermittelt werden kann) und diese daher weiterhin den geltenden Datenschutzvorschriften unterliegen.

Aus diesem Grund ist es unerlässlich, die Systeme zu schützen, die eine Rückübersetzung ermöglichen und es erlauben, die Identität der Person zu ermitteln, zu der die Daten gehören.

Der grundlegende Unterschied zwischen Anonymisierung und Pseudonymisierung besteht darin, dass erstere ein irreversibler Prozess ist, da es niemals möglich ist, anonymisierte Daten wieder mit der Person zu verknüpfen, der sie gehören, während letztere lediglich die Nachverfolgbarkeit zwischen dem verarbeiteten Datensatz und der natürlichen Person einschränkt, deren Identität weiterhin damit verbunden ist, und somit ein reversibles Verfahren darstellt.

Zu den wichtigsten Pseudonymisierungstechniken gehören:

  • Verschlüsselung mit geheimem Schlüssel: Der Inhaber des Schlüssels kann die betroffene Person leicht reidentifizieren. Bei dieser Technik ist es lediglich erforderlich, den Datensatz zu entschlüsseln, da dieser die personenbezogenen Daten – wenn auch in verschlüsselter Form – enthält. Werden fortschrittliche Verschlüsselungssysteme eingesetzt, ist eine Entschlüsselung nur möglich, wenn der Schlüssel bekannt ist.
  • Hash-Funktion: Eine Funktion, die aus einem Eingabewert beliebiger Größe (der aus einem einzelnen Attribut oder aus einer Gruppe von Attributen bestehen kann) ein Ergebnis fester Größe erzeugt. Diese Funktion ist nicht reversibel, das heißt, es besteht kein Risiko, das Ergebnis wie im Fall der Verschlüsselung zurückzurechnen. Ist jedoch der Wertebereich der möglichen Eingaben bekannt, können diese Werte durch die Hash-Funktion verarbeitet werden, um den tatsächlichen Wert eines bestimmten Datensatzes zu ermitteln.
  • Funktion mit gespeichertem Schlüssel: Eine Art von Hash-Funktion, die einen geheimen Schlüssel als zusätzlichen Eingabewert verwendet. Der Verantwortliche kann die Ausführung der Funktion mit dem Attribut und dem geheimen Schlüssel reproduzieren.
  • Tokenisierung: Eine Technik, die häufig im Finanzsektor eingesetzt wird, um Kartenidentifikationsnummern durch Werte zu ersetzen, die für Angreifer wenig Nutzen haben. Sie basiert in der Regel auf der Anwendung einseitiger Verschlüsselungsmechanismen oder auf der Zuweisung einer Sequenznummer oder einer zufällig generierten Nummer über eine Funktion, die nicht mathematisch aus den ursprünglichen Daten abgeleitet ist.

Risikominderung

Im Allgemeinen erfüllen die derzeitigen Techniken nicht vollständig die Kriterien, um eine zu 100 % wirksame Anonymisierung oder Pseudonymisierung zu erreichen. Auf die eine oder andere Weise beinhalten sie alle ein gewisses Risiko hinsichtlich der Identifizierung einer Person anhand der verarbeiteten Daten. Daher ist es unerlässlich, jede Technik sorgfältig zu analysieren und zu gestalten, wobei besonderes Augenmerk auf die Art der Daten und deren spätere Nutzung oder Verarbeitung zu legen ist.

Um zu prüfen, ob eine vernünftige Wahrscheinlichkeit besteht, dass Mittel zur Identifizierung einer natürlichen Person eingesetzt werden könnten, müssen alle objektiven Faktoren berücksichtigt werden, wie etwa die für eine Identifizierung erforderlichen Kosten und der Zeitaufwand sowie die zum Zeitpunkt der Verarbeitung verfügbare Technologie. Weitere Faktoren, die eine Reidentifizierung der Daten erleichtern können, sind:

  • Technologische Entwicklung: Mit fortschreitender Zeit können neue Werkzeuge entstehen, die die Reidentifizierung von Daten erleichtern.
  • Das Auftreten neuer Informationen oder Datenquellen: Diese Informationen sind insbesondere über das Internet, soziale Netzwerke, Blogs und andere Plattformen leicht zugänglich.
  • Die inhärenten Eigenschaften der Informationen: Manche Daten lassen sich leichter mit einer bestimmten Person verknüpfen als andere.

Diese Gesamtheit von Umständen erhöht das sogenannte „Reidentifizierungsrisiko“, das sich auf die Möglichkeit bezieht, aus anonymisierten Daten wieder die ursprünglichen Daten zu gewinnen.

Da eine vollständige Garantie der Nicht-Reidentifizierung von Personen nicht möglich ist, ist es wichtig, dass Verantwortliche für die Datenverarbeitung oder – sofern zutreffend – Datenschutzbeauftragte die Stärken und Schwächen jeder einzelnen Technik genau kennen sowie die spezifischen Umstände, unter denen die jeweilige Technik anzuwenden ist, um jederzeit den Schutz der Privatsphäre zu gewährleisten.

Darüber hinaus sollte – unabhängig von der gewählten Technik – der Anonymisierungs- und/oder Pseudonymisierungsprozess in die Arbeitsverfahren der Organisation integriert, dokumentiert und über die Zeit hinweg von den beteiligten Parteien prüfbar sein. Dabei sollten die Verantwortlichen für die Datenverarbeitung regelmäßig bestehende Risiken bewerten und Sicherheitsmaßnahmen zu deren Minderung implementieren.

Zurück zur Liste

Bloggen

Bloggen
Schutz personenbezogener Daten: Verschlüsselung
02.12.2025
In der heutigen, zunehmend digitalisierten und vernetzten Welt ist der Wert von Daten für eine Organisation – und für die Eigentümer dieser Daten – hoch geschätzt und unbestritten
Mehr lesen
Bloggen
Datenschutz oder Datensicherheit: Das Gleichgewicht in einer zunehmend vernetzten Welt
07.10.2025
Vom Entsperren Ihres Telefons mit einem Blick bis hin zum Bewegen durch ein Sicherheitstor am Flughafen sammelt die Technologie leise Teile unseres Lebens.
Mehr lesen
Bloggen
Sicherheit des SNMP-Protokolls
18.10.2025
Das SNMP-Protokoll (Simple Network Management Protocol, einfaches Netzwerkverwaltungsprotokoll) besteht aus 3 wichtigsten Komponenten
Mehr lesen