From SDM-Newsletter Nr. 9, Stand: 4. November 2021:
Die Technology-Subgroup des Europäische Datenschutzausschusses (EDSA) erarbeitet derzeit, unter aktiver Mitarbeit aus Deutschland, Leitlinien zur “Pseudonymisierung / Anonymisierung”. Der aktuelle Entwurf umfasst 65 Seiten; er enthält einen großen Anteil an Auslegungen zur DSGVO und nennt einige Maßnahmen.
Drei Aspekte sind in diesem Entwurf besonders erwähnenswert:
- 1. Die Schutzmaßnahme einer Anonymisierung ist ihrerseits als eine Verarbeitungstätigkeit aufzufassen, die in der Regel mit einem hohen Risiko für Betroffene einhergeht und folglich die Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DSGVO) nach sich zieht.
- 2. Eine Identifizierbarkeit ist nicht nur dann gegeben, wenn eine Person eindeutig anhand ihrer bürgerlichen (Melde-)Daten identifizierbar ist, sondern bereits dann, wenn sich Personen(gruppen) voneinanderunterscheiden lassen.
- 3. Der Verantwortliche ist gefordert, ein explizites Angreifermodell zu formulieren.
Es ist vorgesehen, dass ein SDM-Baustein zur “Pseudonymisierung / Anonymisierung” auf diese Leitline verweisen aber den Schwerpunkt auf die praktische Umsetzbarkeit legen wird. Wann die Arbeiten an den Leitlinien abgeschlossen sein werden, ist nicht abzusehen.