Pseudonymisierung
Auch: Pseudonymisierte Verarbeitung
Pseudonymisierung ersetzt Namen und andere direkt identifizierende Merkmale durch ein Kennzeichen (z. B. eine Kundennummer), sodass eine Zuordnung zur konkreten Person nur mithilfe zusätzlicher, getrennt aufbewahrter Informationen möglich ist. Sie mindert das Datenschutzrisiko, hebt den DSGVO-Schutz aber nicht auf.
Ausführliche Erklärung
Nach Art. 4 Nr. 5 DSGVO bedeutet Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden.
Wichtig für die Praxis: Pseudonymisierte Daten bleiben personenbezogene Daten im Sinne der DSGVO, da die Re-Identifizierung über den Zuordnungsschlüssel möglich bleibt. Das unterscheidet die Pseudonymisierung grundlegend von der Anonymisierung, bei der eine Re-Identifizierung dauerhaft und unumkehrbar ausgeschlossen ist – anonymisierte Daten fallen nicht mehr unter die DSGVO.
Anwendungsfälle für Makler:
- Marktanalysen und Statistiken: Werden Verkaufspreise, Objektdaten und Käuferstrukturen für interne Auswertungen oder Marktberichte genutzt, empfiehlt sich die Pseudonymisierung der Käufer-/Verkäufernamen durch Kennnummern.
- Schulungsfälle und interne Präsentationen: Bei der Nutzung realer Fallbeispiele zu Schulungszwecken sollten Namen durch Pseudonyme ersetzt werden, um das Risiko einer Identifizierung zu senken.
- CRM-Systeme mit Rollentrennung: Der Vertriebsmitarbeiter arbeitet mit einer Kundennummer, während die Zuordnungstabelle mit Klarnamen nur einem eingeschränkten Personenkreis (z. B. Geschäftsleitung, Buchhaltung) zugänglich ist.
- Datenweitergabe an externe Dienstleister: Werden Daten z. B. für eine externe Marktwertanalyse benötigt, kann eine pseudonymisierte Übermittlung das Risiko im Falle eines Datenlecks beim Dienstleister reduzieren.
Pseudonymisierung ist nach Art. 25 DSGVO ("Datenschutz durch Technikgestaltung") ausdrücklich als Beispiel einer geeigneten technischen Maßnahme genannt und wird auch bei der Bewertung der Angemessenheit von Sicherheitsmaßnahmen nach Art. 32 DSGVO berücksichtigt. Für Makler mit größeren Datenbeständen (z. B. Verwaltung mehrerer hundert Mieteinheiten) kann eine konsequente Pseudonymisierung in Auswertungs- und Reporting-Systemen das Datenschutzrisiko spürbar senken, ohne die operative Nutzbarkeit der Daten wesentlich einzuschränken.
Beispiel aus der Praxis
Ein Maklerbüro erstellt einen internen Marktbericht über Verkaufspreise der letzten zwölf Monate. Statt der Käufernamen verwendet die Auswertung nur fortlaufende Fall-Nummern; die Zuordnungstabelle mit den Klarnamen wird separat und zugriffsbeschränkt in der Buchhaltung aufbewahrt.
Rechtsgrundlage
- Art. 4 Nr. 5 DSGVO – Legaldefinition der Pseudonymisierung.
- Art. 25 DSGVO – Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.
- Art. 32 DSGVO – Sicherheit der Verarbeitung, Pseudonymisierung als Beispielmaßnahme.