Können Hash-Werte personenbezogene Daten (nach DSGVO) sein?
Können reine Hash-Werte (z. B. von einer E-Mail-Adresse) personenbezogene Daten sein, die auf Anfrage auch gelöscht werden müssen?
Die echte E-Mail-Adresse wird dann ja nicht mehr gespeichert, aber sie kann wiedererkannt werden, z. B. um die Erstellung eines neuen Accounts mit dieser E-Mail-Adresse zu verhindern.
Solle das nicht zu den personenbezogenen Daten zählen, könnte man damit doch theoretische weitere echte Daten verknüpfen, die sonst nicht zurückführbar wären.
2 Antworten
Hashs sind nur pseudonym, nicht anonym. Es sind also personenbeziehbare Daten. Im engeren Sinn müssen sie also auch gelöscht werden. Es sei denn, es steht ein Grund entgegen, der das dann zur Ermessenssache macht oder gar verbietet.
Es kann ja sein, dass Du die Hashes benötigst, um die Sicherheit Deines Systems zu gewährleisten. Z.B., um Mehrfachanmeldungen zu verhindern.
Die Verschlüsselung personenbezogener Daten hat für den Verantwortlichen und/oder den Auftragsverarbeiter noch weitere Vorteile. So muss etwa der Verlust eines mobilen Datenträgers auf dem die Daten nach aktuellem Stand der Technik verschlüsselt wurden, in der Regel nicht gemeldet werden. Darüber hinaus haben die Aufsichtsbehörden bei der Entscheidung, ob und in welcher Höhe eine Sanktion anfällt, gemäß Art. 83 Abs. 2 lit. c) DSGVO eine erfolgte Verschlüsselung positiv zu berücksichtigen.
Mir ging es darum, ob gehashte Daten auf Anfrage gelöscht werden müssen. Hashen und verschlüsseln ist ja auch noch mal ein Unterschied. Beim Hashen bekommt man den Wert nur wieder, wenn man den echten Wert auch hat, um ihn zu überprüfen.