Ein Überblick zur Anonymisierung (2024)

Wie verlieren personenbezogene Daten ihren Personenbezug? Ein Weg ist die Anonymisierung. Denn der Vorgang des Anonymisierens führt dazu, der Personenbezug der Daten vollständig aufgehoben wird. Die Attraktivität dieses Vorgangs für Unternehmen besteht darin, dass anonyme Daten nicht (mehr) unter den Anwendungsbereich der Datenschutz-Grundverordnung fallen. Doch auf dem Weg des Ausradierens vom Personenbezug bestehen Unsicherheiten und Fallstricke, die wir im Folgenden beleuchten möchten.

Der Inhalt im Überblick

  • Personenbezogene als Gegenteil zu anonymen Daten
  • Der Vorgang der Anonymisierung aus datenschutzrechtlicher Sicht
    • Wann liegt eine hinreichende Anonymisierung vor?
    • Datenverarbeitung und Rechtsgrundlage
  • Techniken zur Anonymisierung
    • Die Randomisierung
    • Die Generalisierung
  • Fallstricke der Anonymisierung
    • Sind Anonymisierung und Pseudonymisierung das Gleiche?
    • Eine Anonymisierung ist immer denkbar?
    • Einmal anonymisiert, immer anonymisiert?
    • Was bei dem Einen funktioniert, wird auch bei dem Anderen ausreichen?
  • Löschpflicht: Reicht eine Anonymisierung der Daten?
  • Ein facettenreiches Thema

Personenbezogene als Gegenteil zu anonymen Daten

Anonyme Daten sind das Gegenteil von personenbezogenen Daten. Sie sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies können beispielsweise Daten sein, die von Anfang an anonym erhoben wurden oder auch personenbezogene Daten, die nachträglich in einer Art und Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Entscheidend in beiden Fällen ist, dass die Daten zwar Angaben zu einer bestimmten Person enthalten, dass mit ihnen aber kein Bezug zu einer identifizierten oder identifizierbaren natürlichen Person hergestellt werden kann.

Ein Weg des vollständigen Verlustes des Personenbezugs von Daten ist die Anonymisierung. Die Datenschutz-Grundverordnung jedoch nennt oder definiert in keiner Vorschrift die Anonymisierung, unterstellt diese Verarbeitungsform aber in mehreren Vorschriften (z.B. in Art. 5 Abs. 1 lit. e, Art. 89 Abs. 1 S. 4 DSGVO) und erwähnt sie in Erwägungsgrund 26 zur DSGVO.

Der Vorgang der Anonymisierung aus datenschutzrechtlicher Sicht

Im Rahmen des Vorgangs der Anonymisierung stellt sich die Frage; Wann kann eine Anonymisierung und damit der vollständige Verlust des Personenbezugs angenommen werden, sodass aus den personenbezogenen Daten anonyme Daten geworden sind? Denn sobald diese Voraussetzungen bejaht werden, fallen die Daten bekanntlich nicht mehr in den Anwendungsbereich der Datenschutz-Grundverordnung und benötigen daher für ihre Verarbeitung auch keine datenschutzrechtliche Rechtsgrundlage mehr.

Wann liegt eine hinreichende Anonymisierung vor?

Hierzu haben sich zwei Meinungen herauskristallisiert – die sogenannte „absolute“ und „relative“ Anonymisierung:

  • Die Idee der absoluten Anonymisierung meinte eine de-Identifizierung von personenbezogenen Daten in der Art, dass ein vollständiger Verlust jeglichen Personenbezugs vorliegt. Im Rahmen der absoluten Anonymisierung darf es auch unter dem größtmöglichen Aufwand und unter Einsatz aller auch nur theoretisch denkbarer Techniken, unabhängig von Kosten, Zusatzwissen, Arbeitskraft und Dauer, eine Re-Identifizierung der Daten für jeden ausgeschlossen sein.
  • Die relative Anonymisierung meint hingegen, dass die Anforderungen an eine Anonymisierung im Sinne der Datenschutz-Grundverordnung dann erfüllt sind, wenn eine Re-Identifizierung des Personenbezugs mit einem verhältnismäßigen Aufwand nach dem jeweils aktuellen Stand der Technik nicht mehr möglich ist.

Zwei Ansätze mit ganz unterschiedlich strengen Voraussetzungen zum Anonymisierungsprozess. Gut für alle Unternehmen ist, dass breite Einigkeit der Aufsichtsbehörden und der Rechtsprechung besteht, dass durch eine Anonymisierung das Re-Identifikationsrisiko immer nur unter einen gewissen Schwellenwert gedrückt werden kann. Der Ansatz der absoluten Anonymisierung, bei dem schon angezweifelt werden darf, dass er realistisch umsetzbar ist, ist also nicht gefordert. Um die Anforderungen der DSGVO zu erfüllen, ist eine relative Anonymisierung ausreichend.

Datenverarbeitung und Rechtsgrundlage

Wenige Stimmen in der juristischen Literatur vertreten die Auffassung, dass die Anonymisierung keine Datenverarbeitung sei, denn in den Verarbeitungsbeispielen des Art. 4 Nr. 2 DSGVO und auch sonst in der Datenschutz-Grundverarbeitung sei die Anonymisierung nicht als Datenverarbeitung benannt. Inzwischen klar herrschende Meinung ist jedoch, dass die Anonymisierung eine Datenverarbeitung darstellt, denn der Wortlaut des Art. 4 Nr. 2 DSGVO deute auf einen sehr weiten Anwendungsbereich hin und die Verarbeitungsbeispiele seien nicht abschließend aufgeführt.

Das Bejahen einer Datenverarbeitung führt dazu, dass der Vorgang der Anonymisierung einer Rechtsgrundlage bedarf. Die denkbaren Rechtsgrundlagen zur Anonymisierung personenbezogener Daten führt der Bundesbeauftragte für Datenschutz und Informationssicherheit in seinem „Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche“ vom 29. Juni 2020, S. 9 f. aus, wozu wir bereits berichteten.

Techniken zur Anonymisierung

Um Daten mit einem Personenbezug zu anonymisieren, gibt es viele verschiedene Techniken. Welche der Techniken auszuwählen sind, ist immer anhand des konkreten Einzelfalls zu betrachten. Dabei können auch mehrere Techniken parallel zum Einsatz kommen. Zusammenfassend kann man all diese Techniken zwei verschiedenen Familien von Anonymisierungstechniken zuordnen: der „Randomisierung“ und der „Generalisierung“.

Die Randomisierung

Randomisierungstechniken beinhalten die Veränderung der Daten, um die Verbindung zwischen der Person und den Daten zu kappen, ohne dass dabei der Wert der Daten an sich verloren geht. Diese Art von Techniken kann eingesetzt werden, wenn für den beabsichtigten Zweck der anonymisierten Daten keine genauen Informationen zur eigentlichen Person benötigt werden. Die Randomisierung kann beispielsweise das Hinzufügen kleiner zufälliger Änderungen in den Daten beinhalten. In einer Datenbank, in der das Körpergewicht von Personen aufgezeichnet wird, könnten zum Beispiel nach dem Zufallsprinzip kleine Erhöhungen oder Verminderungen des Körpergewichts jeder betroffenen Person vorgenommen werden.

Unter die Randomisierungstechniken fallen namentlich beispielsweise das

  • Data Swapping,
  • Permutation, also das Mischen von Daten,
  • Oder das kryptografische Hashen von Daten.

Die Generalisierung

Bei einer Generalisierung hingegen kann durch die Reduzierung der Genauigkeit eine de-Identifizierung des Personenbezugs verhindert werden. So könnten kategoriale Werte durch allgemeinere Werte ersetzt werden. Beispielsweise könnte so der Begriff „Handwerker“ alle in einer Datenbank gelisteten Dachdecker, Schreiner und Elektriker verallgemeinern. Besteht der Datensatz nicht aus Bezeichnungen, sondern aus nummerischen Werten, können exakte Angaben durch Intervalle ersetzt werden – alle Individuen mit einer Körpergröße von 1,65 Meter könnten dem Intervall 1,55 bis 1,75 Meter Körpergröße zugeordnet werden.

Beispiele für Generalisierungstechniken sind:

  • Die Mikroaggregierung
  • Anwendung verschiedener Generalisierungsschemata.

Fallstricke der Anonymisierung

So attraktiv eine Anonymisierung von Daten für Verantwortliche oder Auftragsverarbeiter sein kann, um mit den anonymisierten Daten weiterarbeiten zu können, so viele Fallstricke gibt es auch zu beachten. Einige der Missverständnisse im Umgang mit der Anonymisierung hat die spanische Datenschutz-Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) in Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten (European Data Protection Supervisor) in einem gemeinsamen Papier veröffentlicht. Eine Auswahl ebendieser möchten wir Ihnen hier näherbringen.

Sind Anonymisierung und Pseudonymisierung das Gleiche?

Die Unterscheidung von Anonymisierung und Pseudonymisierung ist elementar für die Beurteilung eines Sachverhalts aus datenschutzrechtlicher Sicht. Im Gegensatz zur Anonymisierung verbleibt bei der Pseudonymisierung eine Zuordnungsmöglichkeit aufgrund der gesondert aufbewahrten Zusatzinformationen. Aus diesem Grund handelt es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten im Sinne der Datenschutz-Grundverordnung. Entscheidet sich eine Stelle für eine Pseudonymisierung statt einer Anonymisierung, geht sie regelmäßig davon aus, dass es erforderlich sein kann, den Personenbezug wiederherzustellen.

Entscheidender Unterschied zwischen der Anonymisierung und der Pseudonymisierung ist die Frage, ob ein Personenbezug durch Zusatzinformationen wiederhergestellt werden kann oder dies nicht möglich ist.

Eine Anonymisierung ist immer denkbar?

Eine Anonymisierung ist nicht immer möglich. Nach der Ansicht der relativen Anonymisierung ist der Anonymisierungsvorgang dann erfolgreich, wenn das Re-Identifikationsrisiko unter einen gewissen, zuvor definierten Schwellenwert gesenkt werden konnte. Je nach der Art und Menge der Daten kann das Risiko einer Re-Identifikation jedoch nicht ausreichend gemindert werden. Dies ist beispielsweise der Fall, wenn ein Datensatz zu klein ist. Sollen Umfragefragen von Mitarbeitenden in der Personalabteilung ausgewertet werden und sind in der Personalabteilung nur drei Mitarbeitende beschäftigt, ist die Möglichkeit des Rückbezugs auf die einzelnen Mitarbeitenden zu groß. Eine Anonymisierung der Umfragefragen ist dann nicht möglich. Gleiches gilt, wenn die Datenkategorien unter den Personen so unterschiedlich sind, dass es möglich ist, einzelne Personen herauszufiltern oder auch wenn die Datensätze eine große Anzahl demografischer Attribute oder Standortdaten enthalten, die einen Rückschluss auf Einzelne zulassen.

Einmal anonymisiert, immer anonymisiert?

Wurden heute nach dem aktuellen Stand der Technik Daten anonymisiert, kann dennoch nicht angenommen werden, dass die Daten auch in Zukunft hinreichend anonymisiert sind. Ein heute sicherer Prozess zur Anonymisierung könnte in Zukunft beispielsweise durch das Erschließen neuer Technologien rückgängig gemacht werden. Das Motto „einmal anonymisiert, immer anonymisiert“ kann daher nicht gelten. Wegen des raschen Fortschritts der Technik ist daher ein regelmäßiges Überprüfen der Validität des Anonymisierungsverfahren notwendig.

Was bei dem Einen funktioniert, wird auch bei dem Anderen ausreichen?

Anonymisierungsprozesse sind keine „check the box“-Übungen, sondern müssen explizit im Einzelfall betrachtet werden. Oder wie die spanische Datenschutz-Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) in Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten (European Data Protection Supervisor) in einem gemeinsamen Papier schrieb:

„Anonymisation cannot be applied akin to following a recipe, because the context (nature, scope, context and purposes of the processing of the data) are likely different from one circumstance to another, and from one organisation to another.“

Beispielsweise seien in Schweden die persönlichen Daten der Steuerzahler öffentlich zugänglich, während in Spanien dies nicht der Fall sei. Die Beurteilung der Anonymisierung beider Datensätze nach demselben Verfahren könnte daher unterschiedlich ausfallen, da durch die Veröffentlichung der Daten schwedischer Steuerzahler ein anderes Re-Identifikationsrisiko beachtet werden müsste.

Löschpflicht: Reicht eine Anonymisierung der Daten?

Ein weiterer Praxis relevanter Frage ist, ob der Verantwortliche seinen Löschpflichten bzw. einem Löschanspruch des Betroffenen nachkommen kann, indem er die personenbezogenen Daten anonymisiert. Dies ist durchaus umstritten, da es in der Praxis – wie beschrieben – kein leichtes Unterfangen ist, festzustellen, ab welchem Zeitpunkt personenbezogene Daten sachgemäß anonymisiert worden sind.

Die österreichische Aufsichtsbehörde hat sich in einem Bescheid, dass dem Verantwortlichen ein Auswahlermessen zwischen Löschen und Anonymisieren zu steht. Ähnlich sieht es der BfDI in seinem Positionspapier und auch wir haben uns im Beitrag dahingehend ausgesprochen.

Ein facettenreiches Thema

Die Anonymisierung bietet viele rechtliche und technische Facetten, die es zu beachten gilt und zu denen es bisher in der Regel wenig (gerichtliche) Klarheit gibt. Der technische Fortschritt sorgt zudem für die Notwendigkeit der stetigen Entwicklung wirkungsvoller Anonymisierungsprozessen. Die Auswahl eines passenden Prozesses bleibt daher eine Frage des Einzelfalls.

Ein Überblick zur Anonymisierung (2024)

FAQs

Ein Überblick zur Anonymisierung? ›

Zusammenfassung. Eine Anonymisierung ist eine Operation, die personenbezogene Da- ten (Input) in nicht-personenbezogene Daten (Output) transformiert. Sie fällt in den Anwen- dungsbereich der Datenschutz-Grundverordnung. Der Zweck jeder Anonymisierung besteht darin, den Anwendungsbereich der DSGVO zu verlassen.

Was versteht man unter Anonymisierung? ›

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. “

Wie schreibt man anonymisieren? ›

anonymisieren ▶ Rechtschreibung, Bedeutung, Definition, Herkunft | Duden.

Wann sind Daten zu anonymisieren? ›

In der Forschung spricht man deshalb erst von einer Anonymisierung, wenn jegliche mögliche Datenkombination zu mindestens zwei Treffern führt. Je höher die Anzahl der Treffer (Personen, auf die die Daten zutreffen), desto sicherer ist der Datensatz.

Wie werden Daten anonymisiert? ›

Bei der Anonymisierung von Daten wird der Personenbezug komplett entfernt. Es gibt keine Zusatzinformation. Technisch wird das zum Beispiel durch Algorithmen umgesetzt, die Namen unter Verwendung eines Zufallsmechanismus in Codes verwandeln (Randomisierung).

Was ist Anonymität einfach erklärt? ›

Anonymität (von altgriechisch ἀνώνυμος anōnymos, deutsch ‚ohne Namen, unbenannt') bedeutet, dass eine Person oder eine Gruppe nicht identifiziert werden kann.

Warum ist Anonymität wichtig? ›

Die Anonymisierung von Daten bezeichnet einen Prozess, bei dem persönliche Informationen so modifiziert werden, dass sie nicht mehr mit einzelnen Personen in Verbindung gebracht werden können. Dies dient dem Schutz der Privatsphäre und der Einhaltung von Datenschutzbestimmungen.

Was ist das anonym? ›

anonym Adj. 'ohne Namensangabe, namenlos, ungenannt', besonders vom Verfasser eines Schriftwerkes.

Woher kommt der Begriff anonym? ›

im 17. Jahrhundert von französisch anonyme fr und (spät)lateinisch anōnymus la entlehnt, die auf griechisch ἀνώνυμος (anōnymos) grc „ohne Namen“ zurückgeht. Synonyme: [1] anonymisch, namenlos, ungenannt.

Wie bleibe ich anonym? ›

So können Sie mit verschiedenen Tools anonym surfen:
  1. Nutzen Sie ein VPN, einen Proxy-Server oder Tor.
  2. Nutzen Sie einen privaten E-Mail-Dienst.
  3. Nutzen Sie eine spezialisierte Anti-Tracking-Software.
  4. Verwenden Sie eine Suchmaschine, die mehr Privatsphäre bietet.
  5. Nutzen Sie einen sicheren Browser.
Feb 18, 2021

Was ist der Unterschied zwischen anonym und pseudonym? ›

Der Unterschied zwischen anonymen und pseudonymen Daten liegt darin, dass bei pseudonymen Daten ausserhalb der Zugriffsmöglichkeiten des Verantwortlichen grundsätzlich eine Zuordnungsmöglichkeit besteht oder bestehen könnte, bei anonymen Daten hingegen für niemanden eine Zuordnungsmöglichkeit vorhanden ist.

Sind anonyme Daten personenbezogen? ›

Gemäß EG 26 DSGVO verstehen wir dabei unter anonymen Daten solche Daten, die nicht personenbezogen sind, sich also nicht auf eine identifizierte oder identifizierbare Person beziehen.

Wie kann man Namen anonymisieren? ›

Eine weitere Möglichkeit ist die Pseudonymisierung der erhobenen Daten. Gem. § 3 Abs. 6a BDSG umfasst eine Pseudonymisierung das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

Wann ist etwas anonymisiert? ›

Anonymisierung ist eine Veränderung personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Was ist anonym Identität? ›

Unter Anonymität versteht man, dass eine Person nicht eindeutig identifizierbar ist. Dieser Schutz der eigenen Daten und Privatsphäre ist oftmals im Bereich des Bezahlens von Bedeutung.

Was ist K Anonymität? ›

Die k-Anonymität eines Datasets gibt Auskunft über die Re-Identifizierbarkeit der darin enthaltenen Datensätze. Ein Dataset ist k-anonym, wenn Quasi-Identifikatoren für jede im Dataset gespeicherte Person mit jenen von mindestens k – 1 weiteren in demselben Dataset gespeicherten Personen identisch sind.

Was ist anonymisieren im Sinne der DSGVO? ›

Anonymisierte Daten sind Informationen, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen lassen (Erwägungsgrund 26, DSGVO). Anonymisierung bedeutet also, das eine Person nicht mehr identifizierbar ist.

Was bedeutet anonym bleiben? ›

'Verschweigen des Namens, Namenlosigkeit' (2. Hälfte 18. Jh.).

Was bedeutet anonym für Kinder erklärt? ›

Ein Anonymer gibt sich nicht zu erkennen, weil er z.B. nicht seinen Namen nennt und auch nichts von seiner Person verrät. Er kann als Person nicht erkannt oder eindeutig zugeordnet werden. In vielen Chats unterhält man sich anonym mit anderen Personen.

Was ist das Gegenteil von anonymisiert? ›

Anonyme Daten sind das Gegenteil von personenbezogenen Daten. Sie sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen.

References

Top Articles
Latest Posts
Recommended Articles
Article information

Author: Edmund Hettinger DC

Last Updated:

Views: 5764

Rating: 4.8 / 5 (78 voted)

Reviews: 85% of readers found this page helpful

Author information

Name: Edmund Hettinger DC

Birthday: 1994-08-17

Address: 2033 Gerhold Pine, Port Jocelyn, VA 12101-5654

Phone: +8524399971620

Job: Central Manufacturing Supervisor

Hobby: Jogging, Metalworking, Tai chi, Shopping, Puzzles, Rock climbing, Crocheting

Introduction: My name is Edmund Hettinger DC, I am a adventurous, colorful, gifted, determined, precious, open, colorful person who loves writing and wants to share my knowledge and understanding with you.