Pseudonymisierung bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Zusätzliche Informationen müssen gesondert aufbewahrt und durch technische und organisatorische Massnahmen geschützt werden, um eine Reidentifizierung zu verhindern.
Anonymisierung bedeutet, dass persönliche Daten so stark verändert oder verarbeitet werden, dass niemand mehr erkennen kann, um welche Person es sich handelt. Selbst wenn man zusätzliche Informationen oder Hilfsmittel hat, bleibt es unmöglich, die ursprüngliche Person zu identifizieren.
Pseudonymisierungs- und Anonymisierungsgrade bei E-Mail-Adressen
Die Verschleierung von E-Mail-Adressen kann unterschiedliche Stufen aufweisen, abhängig davon, wie leicht oder schwer eine Reidentifizierung ist. Nachfolgend wird dies am Beispiel einer fiktiven E-Mail-Adresse von Peter Muster dargestellt:
1. Stufe: Leichte Verkürzung
E-Mail-Adresse: peter.mu@schule.ch
Beschreibung: Der Vorname und Nachname werden gekürzt, sodass eine Zuordnung relativ einfach ist.
2. Stufe: Starke Verkürzung
E-Mail-Adresse: pe.mu@schule.ch
Beschreibung: Vorname und Nachname werden stärker verkürzt, was die Identifizierbarkeit erschwert.
3. Stufe: Vollständige Pseudonymisierung mit Schlüssel
E-Mail-Adresse: gelber.hase@schule.ch
Beschreibung: Der Name wird durch einen völlig anderen Begriff ersetzt. Nur die Schule kennt die Zuordnung (z. B. "Peter" = "gelber", "Muster" = "Hase"). Ohne den internen Schlüssel ist keine Reidentifikation möglich.
4. Stufe: Vollständige Anonymisierung
E-Mail-Adresse: zufällige.zahl1234@schule.ch
Beschreibung: Es wird eine vollständig zufällige und nicht rückverfolgbare E-Mail-Adresse erstellt, die keinerlei Bezug zur Person hat. Eine Reidentifikation ist ausgeschlossen, da kein Schlüssel oder andere Zusatzinformationen existieren, die die Identität wiederherstellen könnten.
Hinweis
Die vollständige Anonymisierung stellt den höchsten Grad des Datenschutzes dar, schränkt jedoch die Möglichkeit zur Nachverfolgung oder Kommunikation mit der betroffenen Person stark ein. Sie ist besonders geeignet, wenn personenbezogene Daten nicht mehr benötigt werden oder der Zweck der Datenverarbeitung keine Identifizierbarkeit erfordert.
Die Schule entscheidet, ob und welche Pseudonymisierungsstufe angewendet wird, um den Datenschutz sicherzustellen. Dabei sollten die Sensibilität der Daten, der Verwendungszweck und die gesetzlichen Vorgaben berücksichtigt werden.