Wie verlieren personenbezogene Daten ihren Personenbezug? Ein Weg ist die Anonymisierung. Denn der Vorgang des Anonymisierens führt dazu, der Personenbezug der Daten vollständig aufgehoben wird. Die Attraktivität dieses Vorgangs für Unternehmen besteht darin, dass anonyme Daten nicht (mehr) unter den Anwendungsbereich der Datenschutz-Grundverordnung fallen. Doch auf dem Weg des Ausradierens vom Personenbezug bestehen Unsicherheiten und Fallstricke, die wir im Folgenden beleuchten möchten.
Der Inhalt im Überblick
- Personenbezogene als Gegenteil zu anonymen Daten
- Der Vorgang der Anonymisierung aus datenschutzrechtlicher Sicht
- Wann liegt eine hinreichende Anonymisierung vor?
- Datenverarbeitung und Rechtsgrundlage
- Techniken zur Anonymisierung
- Die Randomisierung
- Die Generalisierung
- Fallstricke der Anonymisierung
- Sind Anonymisierung und Pseudonymisierung das Gleiche?
- Eine Anonymisierung ist immer denkbar?
- Einmal anonymisiert, immer anonymisiert?
- Was bei dem Einen funktioniert, wird auch bei dem Anderen ausreichen?
- Löschpflicht: Reicht eine Anonymisierung der Daten?
- Ein facettenreiches Thema
Personenbezogene als Gegenteil zu anonymen Daten
Anonyme Daten sind das Gegenteil von personenbezogenen Daten. Sie sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies können beispielsweise Daten sein, die von Anfang an anonym erhoben wurden oder auch personenbezogene Daten, die nachträglich in einer Art und Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Entscheidend in beiden Fällen ist, dass die Daten zwar Angaben zu einer bestimmten Person enthalten, dass mit ihnen aber kein Bezug zu einer identifizierten oder identifizierbaren natürlichen Person hergestellt werden kann.
Ein Weg des vollständigen Verlustes des Personenbezugs von Daten ist die Anonymisierung. Die Datenschutz-Grundverordnung jedoch nennt oder definiert in keiner Vorschrift die Anonymisierung, unterstellt diese Verarbeitungsform aber in mehreren Vorschriften (z.B. in Art. 5 Abs. 1 lit. e, Art. 89 Abs. 1 S. 4 DSGVO) und erwähnt sie in Erwägungsgrund 26 zur DSGVO.
Der Vorgang der Anonymisierung aus datenschutzrechtlicher Sicht
Im Rahmen des Vorgangs der Anonymisierung stellt sich die Frage; Wann kann eine Anonymisierung und damit der vollständige Verlust des Personenbezugs angenommen werden, sodass aus den personenbezogenen Daten anonyme Daten geworden sind? Denn sobald diese Voraussetzungen bejaht werden, fallen die Daten bekanntlich nicht mehr in den Anwendungsbereich der Datenschutz-Grundverordnung und benötigen daher für ihre Verarbeitung auch keine datenschutzrechtliche Rechtsgrundlage mehr.
Wann liegt eine hinreichende Anonymisierung vor?
Hierzu haben sich zwei Meinungen herauskristallisiert – die sogenannte „absolute“ und „relative“ Anonymisierung:
- Die Idee der absoluten Anonymisierung meinte eine de-Identifizierung von personenbezogenen Daten in der Art, dass ein vollständiger Verlust jeglichen Personenbezugs vorliegt. Im Rahmen der absoluten Anonymisierung darf es auch unter dem größtmöglichen Aufwand und unter Einsatz aller auch nur theoretisch denkbarer Techniken, unabhängig von Kosten, Zusatzwissen, Arbeitskraft und Dauer, eine Re-Identifizierung der Daten für jeden ausgeschlossen sein.
- Die relative Anonymisierung meint hingegen, dass die Anforderungen an eine Anonymisierung im Sinne der Datenschutz-Grundverordnung dann erfüllt sind, wenn eine Re-Identifizierung des Personenbezugs mit einem verhältnismäßigen Aufwand nach dem jeweils aktuellen Stand der Technik nicht mehr möglich ist.
Zwei Ansätze mit ganz unterschiedlich strengen Voraussetzungen zum Anonymisierungsprozess. Gut für alle Unternehmen ist, dass breite Einigkeit der Aufsichtsbehörden und der Rechtsprechung besteht, dass durch eine Anonymisierung das Re-Identifikationsrisiko immer nur unter einen gewissen Schwellenwert gedrückt werden kann. Der Ansatz der absoluten Anonymisierung, bei dem schon angezweifelt werden darf, dass er realistisch umsetzbar ist, ist also nicht gefordert. Um die Anforderungen der DSGVO zu erfüllen, ist eine relative Anonymisierung ausreichend.
Datenverarbeitung und Rechtsgrundlage
Wenige Stimmen in der juristischen Literatur vertreten die Auffassung, dass die Anonymisierung keine Datenverarbeitung sei, denn in den Verarbeitungsbeispielen des Art. 4 Nr. 2 DSGVO und auch sonst in der Datenschutz-Grundverarbeitung sei die Anonymisierung nicht als Datenverarbeitung benannt. Inzwischen klar herrschende Meinung ist jedoch, dass die Anonymisierung eine Datenverarbeitung darstellt, denn der Wortlaut des Art. 4 Nr. 2 DSGVO deute auf einen sehr weiten Anwendungsbereich hin und die Verarbeitungsbeispiele seien nicht abschließend aufgeführt.
Das Bejahen einer Datenverarbeitung führt dazu, dass der Vorgang der Anonymisierung einer Rechtsgrundlage bedarf. Die denkbaren Rechtsgrundlagen zur Anonymisierung personenbezogener Daten führt der Bundesbeauftragte für Datenschutz und Informationssicherheit in seinem „Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche“ vom 29. Juni 2020, S. 9 f. aus, wozu wir bereits berichteten.
Techniken zur Anonymisierung
Um Daten mit einem Personenbezug zu anonymisieren, gibt es viele verschiedene Techniken. Welche der Techniken auszuwählen sind, ist immer anhand des konkreten Einzelfalls zu betrachten. Dabei können auch mehrere Techniken parallel zum Einsatz kommen. Zusammenfassend kann man all diese Techniken zwei verschiedenen Familien von Anonymisierungstechniken zuordnen: der „Randomisierung“ und der „Generalisierung“.
Die Randomisierung
Randomisierungstechniken beinhalten die Veränderung der Daten, um die Verbindung zwischen der Person und den Daten zu kappen, ohne dass dabei der Wert der Daten an sich verloren geht. Diese Art von Techniken kann eingesetzt werden, wenn für den beabsichtigten Zweck der anonymisierten Daten keine genauen Informationen zur eigentlichen Person benötigt werden. Die Randomisierung kann beispielsweise das Hinzufügen kleiner zufälliger Änderungen in den Daten beinhalten. In einer Datenbank, in der das Körpergewicht von Personen aufgezeichnet wird, könnten zum Beispiel nach dem Zufallsprinzip kleine Erhöhungen oder Verminderungen des Körpergewichts jeder betroffenen Person vorgenommen werden.
Unter die Randomisierungstechniken fallen namentlich beispielsweise das
- Data Swapping,
- Permutation, also das Mischen von Daten,
- Oder das kryptografische Hashen von Daten.
Die Generalisierung
Bei einer Generalisierung hingegen kann durch die Reduzierung der Genauigkeit eine de-Identifizierung des Personenbezugs verhindert werden. So könnten kategoriale Werte durch allgemeinere Werte ersetzt werden. Beispielsweise könnte so der Begriff „Handwerker“ alle in einer Datenbank gelisteten Dachdecker, Schreiner und Elektriker verallgemeinern. Besteht der Datensatz nicht aus Bezeichnungen, sondern aus nummerischen Werten, können exakte Angaben durch Intervalle ersetzt werden – alle Individuen mit einer Körpergröße von 1,65 Meter könnten dem Intervall 1,55 bis 1,75 Meter Körpergröße zugeordnet werden.
Beispiele für Generalisierungstechniken sind:
- Die Mikroaggregierung
- Anwendung verschiedener Generalisierungsschemata.
Fallstricke der Anonymisierung
So attraktiv eine Anonymisierung von Daten für Verantwortliche oder Auftragsverarbeiter sein kann, um mit den anonymisierten Daten weiterarbeiten zu können, so viele Fallstricke gibt es auch zu beachten. Einige der Missverständnisse im Umgang mit der Anonymisierung hat die spanische Datenschutz-Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) in Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten (European Data Protection Supervisor) in einem gemeinsamen Papier veröffentlicht. Eine Auswahl ebendieser möchten wir Ihnen hier näherbringen.
Sind Anonymisierung und Pseudonymisierung das Gleiche?
Die Unterscheidung von Anonymisierung und Pseudonymisierung ist elementar für die Beurteilung eines Sachverhalts aus datenschutzrechtlicher Sicht. Im Gegensatz zur Anonymisierung verbleibt bei der Pseudonymisierung eine Zuordnungsmöglichkeit aufgrund der gesondert aufbewahrten Zusatzinformationen. Aus diesem Grund handelt es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten im Sinne der Datenschutz-Grundverordnung. Entscheidet sich eine Stelle für eine Pseudonymisierung statt einer Anonymisierung, geht sie regelmäßig davon aus, dass es erforderlich sein kann, den Personenbezug wiederherzustellen.
Entscheidender Unterschied zwischen der Anonymisierung und der Pseudonymisierung ist die Frage, ob ein Personenbezug durch Zusatzinformationen wiederhergestellt werden kann oder dies nicht möglich ist.
Eine Anonymisierung ist immer denkbar?
Eine Anonymisierung ist nicht immer möglich. Nach der Ansicht der relativen Anonymisierung ist der Anonymisierungsvorgang dann erfolgreich, wenn das Re-Identifikationsrisiko unter einen gewissen, zuvor definierten Schwellenwert gesenkt werden konnte. Je nach der Art und Menge der Daten kann das Risiko einer Re-Identifikation jedoch nicht ausreichend gemindert werden. Dies ist beispielsweise der Fall, wenn ein Datensatz zu klein ist. Sollen Umfragefragen von Mitarbeitenden in der Personalabteilung ausgewertet werden und sind in der Personalabteilung nur drei Mitarbeitende beschäftigt, ist die Möglichkeit des Rückbezugs auf die einzelnen Mitarbeitenden zu groß. Eine Anonymisierung der Umfragefragen ist dann nicht möglich. Gleiches gilt, wenn die Datenkategorien unter den Personen so unterschiedlich sind, dass es möglich ist, einzelne Personen herauszufiltern oder auch wenn die Datensätze eine große Anzahl demografischer Attribute oder Standortdaten enthalten, die einen Rückschluss auf Einzelne zulassen.
Einmal anonymisiert, immer anonymisiert?
Wurden heute nach dem aktuellen Stand der Technik Daten anonymisiert, kann dennoch nicht angenommen werden, dass die Daten auch in Zukunft hinreichend anonymisiert sind. Ein heute sicherer Prozess zur Anonymisierung könnte in Zukunft beispielsweise durch das Erschließen neuer Technologien rückgängig gemacht werden. Das Motto „einmal anonymisiert, immer anonymisiert“ kann daher nicht gelten. Wegen des raschen Fortschritts der Technik ist daher ein regelmäßiges Überprüfen der Validität des Anonymisierungsverfahren notwendig.
Was bei dem Einen funktioniert, wird auch bei dem Anderen ausreichen?
Anonymisierungsprozesse sind keine „check the box“-Übungen, sondern müssen explizit im Einzelfall betrachtet werden. Oder wie die spanische Datenschutz-Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) in Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten (European Data Protection Supervisor) in einem gemeinsamen Papier schrieb:
„Anonymisation cannot be applied akin to following a recipe, because the context (nature, scope, context and purposes of the processing of the data) are likely different from one circumstance to another, and from one organisation to another.“
Beispielsweise seien in Schweden die persönlichen Daten der Steuerzahler öffentlich zugänglich, während in Spanien dies nicht der Fall sei. Die Beurteilung der Anonymisierung beider Datensätze nach demselben Verfahren könnte daher unterschiedlich ausfallen, da durch die Veröffentlichung der Daten schwedischer Steuerzahler ein anderes Re-Identifikationsrisiko beachtet werden müsste.
Löschpflicht: Reicht eine Anonymisierung der Daten?
Ein weiterer Praxis relevanter Frage ist, ob der Verantwortliche seinen Löschpflichten bzw. einem Löschanspruch des Betroffenen nachkommen kann, indem er die personenbezogenen Daten anonymisiert. Dies ist durchaus umstritten, da es in der Praxis – wie beschrieben – kein leichtes Unterfangen ist, festzustellen, ab welchem Zeitpunkt personenbezogene Daten sachgemäß anonymisiert worden sind.
Die österreichische Aufsichtsbehörde hat sich in einem Bescheid, dass dem Verantwortlichen ein Auswahlermessen zwischen Löschen und Anonymisieren zu steht. Ähnlich sieht es der BfDI in seinem Positionspapier und auch wir haben uns im Beitrag dahingehend ausgesprochen.
Ein facettenreiches Thema
Die Anonymisierung bietet viele rechtliche und technische Facetten, die es zu beachten gilt und zu denen es bisher in der Regel wenig (gerichtliche) Klarheit gibt. Der technische Fortschritt sorgt zudem für die Notwendigkeit der stetigen Entwicklung wirkungsvoller Anonymisierungsprozessen. Die Auswahl eines passenden Prozesses bleibt daher eine Frage des Einzelfalls.