Spanische DSB und Europäischer Datenschutzbeauftragter mit gemeinsamen Papier zum Hashing als Pseudonymisierungstechnik

Michael Neuber

Die Spanische Datenschutzaufsichtsbehörde (aepd) und der Europäische Datenschutzbeauftragte (EDPS) haben heute ein gemeinsames Papier veröffentlicht, in welchem Hashing-Verfahren als Pseudonymisierungs- bzw. Anonymisierungstechnik vorgestellt und erläutert werden. Erstmals setzen sich damit Datenschutzaufsichtsbehörden intensiv und mit anschaulichen Beispielen mit den Möglichkeiten und Grenzen von Hashing als technisch-organisatorische Maßnahme auseinander.

Das Papier ist HIER abrufbar.

Nach eigener Aussage richtet sich der Aufsatz an Datenverantwortliche, die bei ihrer Datenverarbeitung Hash-Techniken als Sicherungsmaßnahme für die Pseudonymisierung personenbezogener Daten einsetzen möchten. Die Grundlagen und Eigenschaften der Hash-Techniken werden im Text vorgestellt. Bereits eingangs wird darauf hingewiesen, dass die Anwendung solcher Techniken manchmal ein hohes Risiko mit sich bringen kann, die Informationen zu identifizieren, die den Hash erzeugen. Im Dokument werden daher zum einen zunächst die Risikoquellen für eine Re-Identifikation bei der Anwendung von Hash-Techniken analysiert. Anschließend werden Vorgaben für objektive Analysen aufgestellt nach welchen festgestellt werden können soll, ob diese Pseudonymisierungs- oder gar Anonymisierungstechnik geeignet ist. Die Analyse umfasst sowohl den prozesualen Ablauf als auch alle anderen Elemente, die ein Hash-System ausmachen können. Besonderes Augenmerk wird dabei auf den Informationsgehalt (Nachrichtenentropie) und auf Informationen gelegt , die mit dem durch den Hash dargestellten Wert verknüpft oder verknüpfbar sind.

Interessant ist die Veröffentlichung insbesondere auch vor dem Hintergrund der kritischen Haltung deutscher Datenschutzbehörden zum Thema Pseudonymsierung als effektives Sicherungsmittel. Im Rahmen des Digitalgipfels 2019 hatte die Fokusgruppe Datenschutz vor einigen Tagen einen ersten Leitlinien-Entwurf für einen Code of Conduct für Pseudonymisierungen vorgelegt.

 

 

Kommentar schreiben