Ein Pseudonym kennt man am ehesten aus der Literatur. Ein Autor möchte nicht als Urheber eines Buches in Erscheinung treten und nutzt ein Pseudonym.
Im Datenschutz spielt der Begriff der Pseudonymisierung eine wichtige Rolle. Im Kern geht es dabei um nichts anderes, als beim Autor: Der reale Name, die realen Daten zu einer Person werden ersetzt durch andere Daten. Diese anderen Daten lassen für den Außenstehenden, also den Dritten, keinen direkten Rückschluss auf eine Person zu.
Im Deutsch des Gesetzgebers klingt das dann so (Artikel 4 Nummer 5 DSGVO):
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
“Pseudonymisierung” die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Aus dem Gesetz, besser gesagt der Verordnung (nämlich der DSGVO) kann man mit etwas Mühe also die Voraussetzungen herauslesen. Diese wären:
- Die personenbezogenen Daten werden durch andere Daten ersetzt,
- ohne die Hinzuziehung weiterer Infos können die Daten daher nicht mehr einer Person konkret zugeordnet werden,
- die weiteren Infos werden gesondert aufbewahrt und
- die weiteren Infos sind mit bestimmten Maßnahmen gesichert worden.
Ein Beispiel für die Pseudonymisierung:
Klassisches Beispiel wäre hier die Kundennummer. Name, Adresse usw. eines Kunden werden ersetzt durch die Kundennummer. In der weiteren Datenverarbeitung wird nur noch die Kundennummer verwendet, nicht mehr die zugehörigen personenbezogenen Daten. Ein außenstehender Dritter kann mit der Kundennummer alleine nichts anfangen. Für die Zuordnung zur konkreten Person braucht er Zusatzinfos. Solange also die Verknüpfung von Kundennummer und Kunde getrennt davon gespeichert wird und diese Zusatzinfos mit technischen und organisatorischen Maßnahmen dem Risiko angemessen gesichert sind, ist die Kundennummer ein Pseudonym.
Dadurch, dass aber die Zuordnung wieder hergestellt werden kann, kann eine Pseudonymisierung den Personenbezug nicht komplett entfallen lassen. Das ist der entscheidende Unterschied zur Anonymisierung.