Im österreichischen Recht wird der Begriff „pseudonymisierte Daten“ nicht explizit in den Gesetzestexten wie in der Datenschutz-Grundverordnung (DSGVO) behandelt, die als europäische Verordnung auch in Österreich direkt anwendbar ist. Dennoch ist die Pseudonymisierung ein wichtiger Bestandteil des Datenschutzes in Österreich.
Gemäß Artikel 4 Ziffer 5 DSGVO, die in ganz Europa gilt und daher auch in Österreich Anwendung findet, versteht man unter Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Die Pseudonymisierung ist ein Mittel, um den Schutz personenbezogener Daten zu verstärken, indem das Risiko, dass Daten einer Person zugeordnet werden können, reduziert wird. Im österreichischen Datenschutzgesetz (DSG) sind diese Konzepte hilfreich, insbesondere im Zusammenhang mit den Anforderungen an die Datensicherheit und die Umsetzung von Datenschutzmaßnahmen gemäß § 1 DSG, der die Grundsätze der Datenverarbeitung festlegt.
Ein konkretes Beispiel für die Anwendung könnte sein, dass in einer Organisation personenbezogene Daten wie Namen durch Nummern ersetzt werden, um die Identität der Personen zu schützen. Diese Nummern sind pseudonymisierte Daten, solange die Zuordnung zu den tatsächlichen Namen separat und gesichert aufbewahrt wird.
In der Praxis ist es wichtig, dass Organisationen, die personenbezogene Daten verarbeiten, sich der Unterschiede zwischen Anonymisierung und Pseudonymisierung bewusst sind, da Letztere nicht alle Anforderungen des Datenschutzes aufhebt, aber dennoch ein wertvolles Instrument zur Risikominderung darstellt.
