Die Begriffe „pseudonymisieren“ und „Pseudonymisierung“ werden in der Welt des Datenschutzes häufig verwendet, aber ihre Herkunft und genaue Bedeutung werden von amerikanischen Anwälten nicht allgemein verstanden. In der Tat erkennen die meisten amerikanischen Wörterbücher keinen der beiden Begriffe als Teil der englischen Sprache an.1 Während sich die Begriffe vom Stammwort „Pseudonym“ ableiten, das als „Name, den jemand anstelle seines richtigen Namens verwendet“ definiert ist, sind ihre Bedeutungen etwas komplexer.2
Das CCPA war das erste Statut der Vereinigten Staaten (bundesstaatlich oder staatlich), das einen der beiden Begriffe verwendete.3 Die Begriffsbestimmungen des CCPA entstammen der zwei Jahre vor dem CCPA erlassenen Europäischen DSGVO. Mit Ausnahme geringfügiger Anpassungen zur Anpassung der Definition an die CCPA-spezifische Terminologie (z. B. „Verbraucher“ anstelle von „betroffene Person“) sind die Definitionen praktisch identisch:
Quelle | DSGVO | CCPA | Änderung von DSGVO zu CCPA |
Begriff | Pseudonymisierung | Pseudonymisierung / Pseudonymisierung | |
Definition | die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die sicherstellen, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden.4 | „die Verarbeitung personenbezogener Daten in einer Weise, die die personenbezogenen Daten ohne Verwendung zusätzlicher Informationen nicht mehr einem bestimmten Verbraucher zuordnen lässt, sofern die zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht einem identifizierten oder identifizierbaren Verbraucher zugeordnet werden.“5 | die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden Verbraucher. |
Die Verwirrung um den Begriff „Pseudonymisieren“ beruht weitgehend auf Unklarheiten darüber, wie der Begriff in das größere Schema des CCPA passen soll. Neben der Definition des Begriffs bezieht sich das CCPA nur einmal auf „pseudonymisiert“. Innerhalb der Definition von „Forschung,Das CCPA impliziert, dass von einem Unternehmen gesammelte personenbezogene Daten „pseudonymisiert und deidentifiziert“ oder „deidentifiziert und insgesamt“ sein sollten.“6 Der konjunktive Hinweis darauf, dass „Forschung“ sowohl pseudonymisiert „als auch“ deidentifiziert“ ist, wirft die Frage auf, ob das CCPA dem Begriff „pseudonymisiert“eine Wirkung verleiht. Insbesondere scheint die CCPA dem Begriff „deidentified „eine höhere Anonymisierungsschwelle zuzuweisen.“ Wenn Daten bereits deidentifiziert werden sollen, ist daher nicht klar, welche zusätzlichen Verarbeitungen oder Vorgänge durch die Pseudonymisierung der Daten zu erwarten sind.
Das Endergebnis ist, dass das CCPA den Begriff „Pseudonymisierung“ zwar aus dem europäischen Datenschutzrecht entlehnt und in das amerikanische Rechtslexikon einführt, den Begriff jedoch anscheinend nicht anwendet oder ihm eine unabhängige rechtliche Wirkung oder einen unabhängigen Status verleiht.