Kurzbeitrag : Anonymisieren personenbezogener Daten – Ein Schlüssel zum Tor der Freiheit der Datenverarbeitung : aus der RDV 1/2023 Seite 40 bis 45
Anonyme Daten unterfallen dem Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) nicht. Die Zuordnung vormals personenbezogener Daten zu dieser Kategorie hat also weitreichende Konsequenzen. Zugleich ist die Praxis auf belastbare Standards zum Erzeugen anonymer Daten angewiesen. Eine Untersuchung im Auftrag der Stiftung Datenschutz legt eine Basis.
I. Einleitung
Das Ziel der DS-GVO ist es, die Verarbeitung personenbezogener Daten in den Dienst der Menschheit zu stellen. Darunter fallen Zwecke des Gemeinwohls ebenso wie unternehmerische Belange. Die DS-GVO will Datenverarbeitung im Einklang mit den praktischen und wirtschaftlichen Erfordernissen ermöglichen, nicht verhindern. Der Datenschutz ist insofern, um ein Bild des vernetzten Fahrens zu benutzen, eher Spurassistent als Bremse. Die DS-GVO ist für neue datengetriebene wirtschaftliche und technische Entwicklungen offen. Sie steht neuen Vertragskonstruktionen und damit einhergehenden Datenverarbeitungen auch unter der Überschrift „Zahlen mit Daten“ nicht entgegen. Anders sind auf Datenmaximierung angelegte Dienste, wie Soziale Netzwerke, rechtlich nicht zu fassen. Gestattet sind nach entsprechender Abwägung zudem Weiterverarbeitungen von Daten zu interessengerechten und kompatiblen neuen Zwecken. Das Datenschutzrecht ermöglicht dabei keineswegs nur die Verarbeitung anonymer Daten, die ganz ohne Personenbezug auskommen.
Namentlich Verschlüsselung und Pseudonymisierung von Personendaten dienen als „Ermöglichungswerkzeuge“ zur technischen Absicherung des Schutzes bei der Verarbeitung auch großer Datenmengen. Die Datenethikkommission der Bundesregierung hat dem Thema des Datenzugangs sowohl für personenbezogene Daten als auch für nicht personenbezogene Daten im Abschnitt E 4. und E 5. wichtigen Raum eingeräumt.[1] Politisch ist insbesondere die datenschutzkonforme Auswertung von Gesundheitsdaten von Krankheiten erwünscht. Die Europäische Kommission hat im Frühjahr 2022 den Entwurf einer Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten vorgestellt. Sie soll Einzelpersonen die Kontrolle über ihre Gesundheitsdaten ermöglichen und zugleich die Nutzung von Gesundheitsdaten für bessere medizinische Versorgung und Forschung eröffnen. Die EU soll das Potenzial von Austausch, Nutzung und Weiterverwendung von Gesundheitsdaten ausschöpfen. Auch die Datenethikkommission der Bundesregierung macht sich hierfür unter 3.5.2 des Abschlussgutachtens stark. Der Koalitionsvertrag der deutschen Ampelregierung hat das aufgegriffen. Die Fortentwicklung der Digitalisierung des Gesundheitswesens ist vereinbart zu Recht, denn spätestens die Pandemiebekämpfung hat uns vor Augen geführt, wie wichtig es ist, einen ausgewogenen Rahmen für die Verarbeitung von Gesundheitsdaten zu schaffen, der die Belange des Gesundheitsschutzes in ein angemessenes Verhältnis zum Schutz der Privatheit setzt. Darüber hinaus bestehen weitere praktische Anwendungsfälle der Anonymisierung, von der Verwendung von digitalen Straßenkarten, bis hin zu aggregierten Nutzerstatistiken im Online-Bereich oder im Rahmen vertraglicher Kundenbeziehungen.
Die Bedeutung der Anonymisierung hat die Stiftung Datenschutz zum Anlass genommen, die Erstellung eines Praxisleitfadens sowie von Grundsatzregeln zur Anonymisierung personenbezogener Daten auszuschreiben. Aufgezeigt werden sollen, neben dem rechtlichen Rahmen einer ordnungsgemäßen Anonymisierung, die konkreten technischen Anforderungen an eine wirksame faktische Anonymisierung und deren organisatorische unter Berücksichtigung bestehender Leitlinien und Handreichungen. Das Ergebnis dieser Ausschreibung findet sich entsprechend in zwei Ausarbeitungen wieder,[2] welche die Basis für flächendeckende Anwendungen in der Praxis sein sollen. Anonymisierung von Daten macht den Rückschluss auf eine Person unmöglich und nimmt sie vom Anwendungsbereich der DS-GVO aus. Das ist dann gewünscht und erforderlich, wenn anonyme Daten den Zweck nach der Verarbeitung erfüllen. Sofern betroffene Personen etwa zur eigenen Gesundheitsvorsorge den Rückschluss auf ihre Daten erhalten möchten, sieht die DS-GVO deren Pseudonymisierung vor. Sie sorgt dafür, dass Daten durch Verschlüsselung gegen Missbrauch geschützt werden. Diesbezüglich kann auf den von der Fokusgruppe Datenschutz des Bundesinnenministeriums im Rahmen des Digital-Gipfels 2019 erarbeiteten „Entwurf für einen Code of Conduct zum Einsatz DS-GVO-konformer Pseudonymisierung“ verwiesen werden.
Der Praxisleitfaden, als ein Teil der Ausarbeitungen für die Stiftung Datenschutz, befasst sich mit Hinweisen zur Anonymisierung von personenbezogenen Daten.[3]Hierzu wird der Begriff der Anonymisierung und dessen Ausprägungen im bestehenden rechtlichen Kontext eingeordnet. Dabei muss eine Abgrenzung von anderen Verarbeitungsvorgängen erfolgen, namentlich zur Pseudonymisierung. Nach der begrifflichen Einordnung werden gängige Verfahren und Techniken einer Anonymisierung allgemein beschrieben. Um den Praxisbezug zu wahren schließen sich hieran Einsatzklassen einer Anonymisierung an. Hierbei werden Anwendern Einsatzszenarien und -beispiele aufgezeigt, in denen eine Anonymisierung erfolgen kann. Ein gesondertes Kapitel wird sich mit dem rechtlichen Umfeld der Anonymisierung befassen und den dabei bestehenden Anforderungen, seien es besondere Prüf-, Dokumentations- oder Transparenzpflichten. Um insbesondere kleinere und mittelständische Unternehmen zu unterstützen, wird ein Vorgehensmodell zur Verfügung gestellt, um den Vorgang der Anonymisierung schrittweise und strukturiert zu vollziehen.
II. Der Praxisleitfaden im Überblick
1. Rahmenbedingungen der Anonymisierung
Die Anonymisierung personenbezogener Daten ist ein vielschichtiges Verfahren. Sie bedarf zunächst eines grundlegenden Verständnisses zentraler Begrifflichkeiten mit Blick auf deren Rahmenbedingungen. Dies beginnt beim grundlegenden Verständnis von Daten, die in strukturierter sowie unstrukturierter Form vorliegen können.
- Strukturierte Daten können als Schlüssel-Wert-Paar verstanden werden, während unstrukturierte Daten alle Daten sind, die nicht einer Schlüssel-Wert-PaarDarstellung entsprechen.
- Personenbezogene Daten, als eine weitere Ausprägung von Daten, sind durch die DS-GVO definiert und weisen durch den gesetzgeberischen Hinweis auf eine „Identifizierbarkeit“ einen weiten Anwendungsbereich auf.
- Während die Anonymisierung zum Ziel hat, einen Personenbezug zu entfernen, ist eine Re-Identifizierung Betroffener im Rahmen der Pseudonymisierung weiterhin möglich. Allerdings müssen die zur Re-Identifizierung verwendbaren Daten hierbei gesondert aufbewahrt und durch technisch-organisatorische Maßnahmen geschützt sein.
- Der Übergang zwischen Anonymisierung und Pseudonymisierung kann mitunter fließend sein. Insbesondere wenn eine Verarbeitung in einem anderen Kontext stattfindet und zusätzliche Informationen vorhanden sind, die zur Identifizierung einer betroffenen Person beitragen.
2. Begriffe der Anonymisierung unter Einbeziehung von Wertungen
Es existieren verschiedene Ansätze einer Anonymisierung.
- Ist der Personenbezug praktisch für jedermann unmöglich, spricht man von absoluter Anonymisierung.
- Die faktische bzw. relative Anonymisierung zeichnet sich dadurch aus, dass die Re-Identifizierbarkeit der betroffenen Person nicht gänzlich ausgeschlossen ist. Allerdings scheidet eine Re-Identifizierung der betroffenen Person aufgrund der Unverhältnismäßigkeit ihres Aufwandes aus.
Die DS-GVO eröffnet in ihren Erwägungsgründen (ErwG) die Möglichkeit, Verhältnismäßigkeitsaspekte in die Frage einer erfolgreichen Anonymisierung mit einzubeziehen. Die höchstrichterliche Rechtsprechung hält es nicht für erforderlich, dass sich sämtliche, zur Identifizierung erforderlichen Informationen in der Hand eines einzigen Verantwortlichen befinden. Ausreichend ist vielmehr, wenn der Verantwortliche über einen Dritten die betroffene Person bestimmen lässt. Die Grenze der Identifizierbarkeit liegt wiederum in der Unmöglichkeit, der Unverhältnismäßigkeit oder im Rechtsverstoß.
3. Sonderfall: Künstliche Intelligenz und verwandte Techniken
Die Diskussion der Anonymisierung im Rahmen der Künstlichen Intelligenz (KI) setzt ein Verständnis von Hintergründen dieser neueren Technologie voraus. Grundsätzlich ist KI nichts anderes als ein solches Computerprogramm. Hierbei existieren eine Vielzahl von unterschiedlichen Arten von Algorithmen und Vorgehensweisen, die jeweils anders funktionieren und unterschiedliche Einsatzgebiete haben. Zu der heute in der öffentlichen Wahrnehmung dominierenden Algorithmen-Klasse zählt die Mustererkennung mittels maschinellen Lernens. Die Algorithmen zur Mustererkennung enthalten unspezifische Regeln, die erst in einer „Trainingsphase“ angepasst werden. Auch Algorithmen und ein hieraus ermitteltes Ergebnis unterliegen den Abgrenzungsschwierigkeiten zwischen personenbezogenen und anonymen Daten.
4. Europarechtlicher Kontext: DS-GVO und „neue Datenakte“
a) Die Bedeutung der Anonymisierung im Licht der neuen Datenakte Die Anonymisierung personenbezogener Daten bewegt sich nicht nur in einem technischen sondern auch in einem rechtlichen Umfeld. Die europäische Datenstrategie der Kommission zielt auf neuere Technologien, z.B. über den Entwurf einer KI-Verordnung, sowie das Datenteilen mittels Data Governance Act und dem Entwurf für einen Data Act ab. Hierbei sollen neue Datenräume für bestimmte Sektoren entstehen und gesetzliche Anreize wie Verpflichtungen für die Weitergabe personenbezogener wie nicht personenbezogener Daten geschaffen werden. Die in den neuen Rechtsakten vorgesehenen Mechanismen für das Datenteilen warten zumeist mit der Möglichkeit zur Implementierung von Schutzmaßnahmen zugunsten Betroffener auf. Hierzu gehören auch die Pseudonymisierung und Anonymisierung personenbezogener Daten. Die Anonymisierung von Daten wird also mit den neuen Datenakten signifikant an Bedeutung gewinnen. Die DS-GVO bleibt der Standard, wenn es um die Verarbeitung personenbezogener Daten geht, der zusätzlich zu spezifischen Vorgaben der neuen Rechtsakte einzuhalten ist.
b) DS-GVO
Als weiterhin bestehender Standard für die Anonymisierung fordert die DS-GVO eine Rechtsgrundlage für das Anonymisieren von personenbezogenen Daten. Da die Zwecke einer initialen Erhebung personenbezogener Daten und derer der Anonymisierung regelmäßig voneinander abweichen, muss geprüft werden, ob diese Zwecke kompatibel sind. Von einer solchen Kompatibilität ist regelmäßig auszugehen, sollten keine besonderen Kategorien personenbezogener Daten der Anonymisierung zugrunde liegen. Grundsätzlich wird durch die Anonymisierung der Anwendungsbereich der DS-GVO verlassen. In manchen Fällen bestehen jedoch Unsicherheiten, ob von einer erfolgreichen Anonymisierung nach den gesetzlichen Standards ausgegangen werden kann. Verantwortliche sind nicht daran gehindert, die Anonymisierung als technisch-organisatorische Maßnahme zu begreifen, die auf personenbezogene Daten angewendet wird. Hierdurch bewegt sich ein Verantwortlicher zwar weiterhin im gesetzlichen Anwendungsbereich, er kann sich jedoch die getätigten Schutzmaßnahmen bspw. im Rahmen einer Interessensabwägung zugutehalten lassen. Die Anforderungen an die Anonymisierung personenbezogener Daten können grundsätzlich in einen rechtlichen und technischen Teil kategorisiert werden. Da jedoch ein Interesse Dritter an anonymisierten Daten von besonderer Bedeutung für die Wahl der technischen Mittel einer Anonymisierung darstellt, wird das Beschreiben eines Angreifermodells durch den Praxisleitfaden als weitere Anforderung aufgeführt. Aus rechtlicher Sicht besteht eine Prüfpflicht, ob sich die aus einer Anonymisierung erzeugten Daten auf eine identifizierte oder identifizierbare Person beziehen. Im Rahmen dieser Prüfung sind alle Mittel zu berücksichtigen, die vernünftigerweise entweder von dem Verantwortlichen oder einem Dritten eingesetzt werden könnten, um die betroffene Person zu identifizieren. Solche Mittel können bspw. für den Verantwortlichen verfügbare Informationen sein, oder solche, die er sich beschaffen kann. Auch mögliche Verknüpfungen von Daten sind in die Prüfung mit einzubeziehen. Gerade mit Blick auf die europäische Datenstrategie sind öffentlich-zugängliche Datenräume mit personenbezogenen, pseudonymisierten oder anonymisierten Daten vermehrt zu erwarten. Eine Vielzahl von Datenquellen kann die Wahrscheinlichkeit einer Re-Identifizierung erhöhen. Irrelevant ist, ob der Verantwortliche oder ein Empfänger Daten der Person identifizieren möchte oder nicht. Es reicht eine objektive Identifizierbarkeit aus. Vor dem Hintergrund der DS-GVO können, mangels gesetzlicher Präzisierung, verschiedene Anonymisierungstechniken eingesetzt werden. Entscheidend ist, dass nach Prüfung der oben aufgeführten Faktoren eine Re-Identifizierung von Betroffenen praktisch nicht durchführbar ist. D.h. erfordert sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft, kann grundsätzlich von einer wirksamen Anonymisierung ausgegangen werden.
5. „Angreifermodell“ als Test
Ein „Angreifermodell” beschreibt eine Methode, um zu prüfen, ob ein Datensatz anonym oder personenbezogen ist. Aus der Perspektive eines Angreifers wird getestet, ob eine Re-Identifikation möglich ist. Welche Kenntnisse und Fähigkeiten dem Angreifer unterstellt werden, hängt vom Verwendungskontext der Daten ab, z.B. ob anonymisierte Daten veröffentlicht, lediglich intern genutzt oder an bestimmte Empfänger weitergegeben werden. Es empfiehlt sich, beim Angreifermodell nicht nur zielgerichtete Angriffe zu berücksichtigen, sondern auch Konstellationen, in denen eine ReIdentifizierung durch den Angreifer eigentlich ungewollt ist bzw. zufällig vonstattengehen könnte. Es bestehen verschiedene Umsetzungsmöglichkeiten, um einen Angriff mit dem Ziel einer Re-Identifizierung durchzuführen. Hierzu zählen das Herausgreifen/Aussondern („singling out“) einer Person, die Verknüpfung von Datensätzen (“record linkage”) sowie das Ableiten von Merkmalen einer Person von anderen im Datenbestand vorhandener Merkmale (Inferenz).
6. Anonymisierungsmethoden
Aus technischer Sicht stehen verschiedene Anonymisierungsmethoden zur Verfügung, die in solche der Generalisierung und solcher der Randomisierung eingeteilt werden können. Zu den Verfahren der Randomisierung zählen bspw. die stochastische Überlagerung, die Vertauschung von Werten in einem Datensatz sowie Differential Privacy. Zu den Verfahren der Generalisierung zählen mitunter die Aggregation und k-Anonymität, l-Diversität und t-Closeness sowie das Arbeiten mit synthetischen Daten. Bei synthetischen Daten handelt es sich um durch Berechnungsverfahren erzeugte Daten, ohne die Identität eines Betroffenen zu offenbaren. Welche Verfahren auf welche Daten anwendbar sind und welche Risiken hinsichtlich des Angreifermodells bestehen, wird im Praxisleitfaden über eine Bewertungsmatrix veranschaulicht. Von vorn herein ungeeignete technische Methoden einer Anonymisierung bestehen. Dies bezieht sich insbesondere auf solche Verfahren, die Hashfunktionen zugrunde liegen.
7. Szenarien der Datenweitergabe
Vielfach werden anonymisierte Daten an Dritte weitergegeben. Ebenso haben Dienstleister ein Interesse an einer Verwendung anonymisierter Daten für eigene Zwecke. Ein Empfänger solcher Daten wird zu überprüfen haben, ob die Daten für ihn unter Berücksichtigung der bei ihm verfügbaren Mittel und der Wahrscheinlichkeit ihres Einsatzes anonym sind. Vertragliche Verbote einer Re-Identifizierung sind im Rahmen dieser objektiven Prüfung kein Kriterium, um eine solche ReIdentifizierung per se auszuschließen. Die Anonymisierung als Verarbeitung personenbezogener Daten kann bei der Einbeziehung Dritter dazu führen, dass mehrere Verantwortliche gemeinsam für diese Verarbeitung verantwortlich sind. In einem solchen Fall müssen die Rollen und Verantwortlichkeiten im Rahmen der Anonymisierung in einer Vereinbarung klar beschrieben werden. Das Delegieren einer Anonymisierung an einen Auftragsverarbeiter macht eine Anonymisierung angreifbar, da der Verantwortliche jederzeit Weisungen gegenüber dem Dienstleister aussprechen kann, um hierbei eine Offenlegung der verwendeten Technik zu erreichen. Die Folge wäre, dass eine weitere Stelle über das Wissen der Anonymisierungstechnik verfügt, was sich ein Angreifer zunutze machen könnte. Anonymisiert ein Dienstleister personenbezogene Daten seines Auftraggebers für eigene Zwecke schwingt er sich zu einem Verantwortlichen für die Datenverarbeitung auf. Die Folge ist, dass der Verantwortliche eine Rechtsgrundlage für die Übermittlung benötigt und der Dienstleister zur selben Zeit eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten benötigt. Im Übrigen muss die Zweckänderung mit dem ursprünglichen Zweck kompatibel sein.
8. Vier Einsatzklassen
Praktische Szenarien einer Anonymisierung personenbezogener Daten lassen sich in vier Einsatzklassen unterteilen.
a) Einsatzklasse 1: Anonymisierung als Löschung
Bei der Anonymisierung als Löschung geht es darum, einen Personenbezug in einem Datensatz zu entfernen, um Daten bzw. Eigenschaften in einem Datensatz weiterhin verwenden zu können. Der Praxisleitfaden benennt hierbei drei Beispiele: So das Behalten von Eckdaten von Bewerbungen, die Qualitätsanalyse im Bereich Customer Support sowie die Erstellung von Webseitenstatistiken.
b) Einsatzklasse 2: Weitergabe anonymisierter Daten
Bei der Weitergabe anonymisierter Daten, als weitere Einsatzklasse, werden Szenarien des „Gehaltsbenchmarking“, der Weitergabe von Verkaufszahlen nach Produktkategorie sowie der Abgleich geleakter Zugangsdaten ebenso beschrieben, wie die Analyse eines Kraftstoffverbrauches von Fahrzeugen.
c) Einsatzklasse 3: Anonymisierung beim Training von Algorithmen
Die dritte Einsatzklasse widmet sich neuen Technologien in Gestalt der Anonymisierung von Trainingsdaten. Datenschutzrechtlich stellt sich das Training von Algorithmen aus mehreren Perspektiven als problematisch dar. Grundsätzlich benötigt das präzise Training eines Modells eine breite Datenbasis, um genügend Informationen bereitzustellen. Andernfalls besteht die Gefahr, dass ein zu grobes Modell erstellt wird. Im Rahmen des Datenschutzes oder des Schutzes von Firmengeheimnissen ist eine Zusammenführung großer Datenmengen jedoch oftmals problematisch, da diese im Unternehmen, welches das Erstellen von Modellen Künstlicher Intelligenz anbietet, bekannt werden und somit in fremde Hände gelangen. An dieser Stelle bietet sich beispielsweise Federated Learning an, das im Rahmen des Trainings von Algorithmen zur Anwendung gelangen kann. Im Grundsatz bedeutet Federated Learning, dass die Daten sowohl zum Training genutzt werden können als auch beim jeweiligen Dateneigentümer verbleiben. Der Diensteanbieter erstellt zunächst ein initiales Modell, welches er an seine Partner weitergibt. Unter Verwendung seiner jeweiligen Daten testet nun jeder Partner das erhaltene Modell und teilt dem Diensteanbieter mit, wie die Parameter verändert werden sollen, um das Modell zu verbessern. Aus allen erhaltenen Rückmeldungen errechnet der Diensteanbieter nun ein Gesamtupdate und wendet es auf das bisherige Modell an, welches nun erneut verteilt wird. Um dem Problem der Aufdeckung personenbezogener Daten durch Beobachtung von Veränderungen der Auswertung von Datensätzen im Bereich Federated Learning zu lösen, bietet sich Differential Privacy an, d.h. die Vermeidung einer Übermittlung identifizierender Merkmale zu einer Person durch gezielte Übermittlung von Informationen aus einer Datenbank. Als weiteres Beispiel der Einsatzklasse des Trainierens von Algorithmen benennt der Praxisleitfaden synthetische Daten. Elementar wichtig ist hier ein gutes Synthesemodell, welches unter Umständen selbst wiederum trainiert werden muss.
d) Einsatzklasse 4: Testen von Software
Als vierte Einsatzklasse fungiert das Testen von Software, ein in der Praxis häufig anzutreffender Vorgang. Bei der Erzeugung von Testdaten unter Berücksichtigung von Eigenschaften echter personenbezogener Daten ist zu beachten, dass die Testdaten die Echtdaten nicht derart nachbilden, dass eine Re-Identifizierung Betroffener durch Nutzung der Testdaten möglich wird. Auch die Systemmigration sowie spezifische Funktionalitätstests, bspw. von Benutzerberechtigungen, sind Anwendungsbeispiele einer Anonymisierung. Eine Anonymisierungslösung, mit der das Testen der Funktionalität von Software ermöglicht wird, beinhaltet das Bereitstellen eines Testsystems, das selbst keinen Zugriff auf echte personenbezogene Daten hat. Verantwortliche haben, neben der Bestimmung einer Rechtsgrundlage für die Anonymisierung, auch die sonstigen rechtlichen Anforderungen der DS-GVO einzuhalten. Hierzu zählt mit Blick auf bestehende Rechenschaftspflichten die Dokumentation der Anonymisierung in einem eigenen Konzept oder als Teil der Beschreibung technisch-organisatorischer Maßnahmen im Rahmen des Verzeichnisses über Verarbeitungstätigkeiten (VVT).
9. Sonderfall: Datenschutz-Folgenabschätzung
Aus einer Anonymisierung ergibt sich nicht per se ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Es müssen weitere Tatbestände hinzukommen, die in der Gesamtschau zu einem hohen Risiko führen. Liegt ein hohes Risiko vor, ist die Durchführung einer Datenschutz-Folgenabschätzung verpflichtend.
10. Transparenzanforderungen
Um Transparenz gegenüber Betroffenen zu wahren, muss bei der Datenerhebung bzw. bei der Benachrichtigung über eine geplante Anonymisierung hierüber informiert werden. Der Verarbeitungsvorgang der Weitergabe bereits anonymisierter Daten an Dritte unterfällt hingegen nicht mehr der DS-GVO. Über konkrete Empfänger oder Empfängerkategorien ist deshalb nicht mehr zu informieren. Auch eine Datenteilung auf Grundlage der EU-Rechtsakte ist damit möglich. Sofern Daten ohne vorherige Datenschutzinformation über die beabsichtigte Anonymisierung gemäß Art. 13 DS-GVO erhoben worden sind, z.B. bei älteren Datenbeständen, erlaubt Art. 6 Abs. 4 lit. e DS-GVO eine Weiterverarbeitung bei Vorhandensein geeigneter Garantien. Dazu gehören nach dem Wortlaut der DS-GVO auch die Verschlüsselung oder die Pseudonymisierung. Sofern bereits eine Pseudonymisierung eine geeignete Garantie für eine zweckändernde Nutzung darstellen kann, ist die Anonymisierung eine weitaus effektivere Garantie. Ob über die nachträgliche Anonymisierung noch informiert werden muss, beurteilt sich gemäß Art. 14 Abs. 5 lit. b) DS-GVO. Diese Regelung stellt auf einen unverhältnismäßigen Aufwand ab. Als Beispiel hierfür werden statistische Zwecke genannt. Mit Blick auf das Persönlichkeitsrecht und den Datenschutz entstehen dem Betroffenen nach einer Anonymisierung keine Gefahren mehr. Eine nachträgliche Information über eine Anonymisierung schafft für den Betroffenen keine datenschutzrechtlichen Mehrwerte, sondern erzeugt nur einen unverhältnismäßigen Aufwand.
11. Prüfpflichten
Wer Daten anonymisiert hat oder anonymisierte Daten nutzt, ist verpflichtet, kontinuierlich zu prüfen, dass die Anonymisierung gewahrt bleibt. Dabei ist zu prüfen, ob der Personenbezug wiederhergestellt werden kann. Die Durchführung und das Prüfergebnis sollten dokumentiert werden. Auch hierbei sind Erwägungen des Angreifermodells mit einzubeziehen.
12. Vorgehensmodell für die Anonymisierung
Die vorstehenden Ausführungen zeigen, dass Verantwortliche und Auftragsverarbeiter anschauliche Beschreibungen benötigen, um eine Anonymisierung personenbezogener Daten praktisch durchzuführen. Der Praxisleitfaden beschreibt daher ein Vorgehensmodell für die Anonymisierung, das gleichzeitig Ausgangspunkt für gesonderte Grundsatzregeln für die Anonymisierung darstellt.
Der Ablauf eines Anonymisierungsverfahrens lässt sich im nachfolgenden Vorgehensmodell veranschaulichen.
III. Fazit
Das Aufgreifen einer Anonymisierung und Pseudonymisierung über die neuen Datenakte der EU zeigt, dass die Diskussion um deren Anforderungen und Umsetzung weiterhin von enormer praktischer Bedeutung ist. Ein Datenteilen in einem verstärkten Ausmaß, sowie von der Europäischen Kommission gewünscht, wird sich weiterhin an den datenschutzrechtlichen Leitplanken auszurichten haben. Die DS-GVO stellt hier wichtige Instrumente zur Verfügung, sollte es auf einen unmittelbaren Personenbezug im Einzelfall nicht ankommen. Mit Spannung kann der für das zweite Quartal 2022 zu erwartende Veröffentlichung der Leitlinien des Europäischen Datenschutzausschusses zur Anonymisierung und Pseudonymisierung entgegengesehen werden. Sie sollen einheitliche europäische Standards setzen, die dringend gebraucht werden. Die Autoren erhoffen sich, durch die Ausarbeitungen zugunsten der Stiftung Datenschutz auf nationaler Ebene vorab wichtige Impulse in Richtung Brüssel geben zu können. Nationale Alleingänge dürften insoweit fehl am Platz sein, möchte sich die Europäische Union bei den datengetriebenen Geschäftsmodellen als Vorreiterin präsentieren.
* Prof. Dr. Rolf Schwartmann ist Professor an der Technischen Hochschule Köln für Medienrecht, Datenschutzrecht, Urheberrecht und Leiter der Kölner Forschungsstelle für Medienrecht. Rechtsanwalt Andreas Jaspers ist Geschäftsführer der GDD und Mitgeschäftsführer der DSZ Datenschutz Zertifizierungsgesellschaft mbH. Dr. Niels Lepperhoff ist Geschäftsführer und Gründer der Xamit Bewertungsgesellschaft mbH in Düsseldorf. Steffen Weiß, LL.M. ist Data Privacy Lawyer bei Thermo Fisher Scientific Germany.
[1] Abschlussgutachten der Datenethikkommission (2019).
[2]Https://stiftungdatenschutz.org/praxisthemen/anonymisierung.
[3] Zu den Anforderungen an die Pseudonymisierung Schwartmann/Weiß, Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen – ein Arbeitspapier der Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft im Rahmen des Digital-Gipfels 2018.