EU-Recht - 5. Februar 2021

ENISA: Bericht zur Pseudonymisierung veröffentlicht

DATEV Informationsbüro Brüssel, Mitteilung vom 05.02.2021

Am 28.01.2021 stellte die EU-Cybersicherheitsbehörde ENISA einen Bericht zu aktuellen Techniken und Einsatzszenarien der Pseudonymisierung vor und forderte einen risikobasierten Ansatz, der verschiedene Techniken der Pseudonymisierung für unterschiedliche Anwendungsfälle verwendet. Die ENISA sieht zudem keine Möglichkeit für einen One-size-fits-all Pseudonymisierungsansatz.

In ihrem Bericht stellt die ENISA neue Pseudonymisierungsmechanismen wie Zufallszahlengeneratoren, kryptographische Hashfunktionen, symmetrische und asymmetrische Verschlüsselung, Ringsignaturen und Gruppenpseudonyme, Pseudonyme auf der Basis von mehreren Identifikatoren, sichere Mehrparteienberechnungen und Secret Sharing Schemata vor. Als konkrete Anwendungsfälle werden das Gesundheitswesen und der Informationsaustausch im Bereich Cybersicherheit beleuchtet.

Die Pseudonymisierung von personenbezogenen Daten sei eine etablierte und anerkannte Datenschutzmaßnahme, die weiter vorangetrieben werden sollte. Allerdings sei die De-Pseuonymisierung und Wiederherstellung individueller Bezüge durch Big-Data-Analysen weiterhin möglich. Daher darf der Pseudonymisierungsansatz nicht allgemein gehalten werden, sondern müsse auf den Einzelfall zugeschnitten sein. Entgegen den Forderungen der Datenethik-Kommission 2019, die Standardisierung im Bereich der Pseudonymisierung, sowie das Verbot der De-Anonymisierung forderte, sieht die ENISA also keine Möglichkeit einer breiten Standardisierung.

Weiterhin klingt in dem Bericht an, dass das umstrittene Sammeln von Telemetrie-Daten für eine effiziente Cyberabwehr unerlässlich sei, obwohl die Sammlung dieser Nutzerdaten weiterhin ein sensibles Thema darstelle. Als mögliche organisationale Lösungen schlägt die ENISA daher Treuhänder oder Personal Information Management-Systeme (PIMS) vor.

Zuletzt plädiert die ENISA für eine kontinuierliche Analyse im Bereich der Pseudonymisierung, um neue Forschungsergebnisse und Geschäftsmodelle rasch zu berücksichtigen sowie Fälle mit hohem Risiko für persönliche Daten zu erkennen.

Quelle: DATEV eG Informationsbüro Brüssel