Es ist ein reizvoller Gedanke: Man anonymisiert personenbezogene Daten und kann dann vom Datenschutz unbehelligt mit den Daten tun und lassen, was man will. Datenschutz schützt schließlich nur personenbezogene Daten. Doch so einfach ist es leider nicht. Wir gehen in diesem Beitrag auf die Schwierigkeiten und Fallstricke bei der Anonymisierung personenbezogener Daten ein.
Der Inhalt im Überblick
Den Schatz heben
Viele Unternehmen verfügen über Daten in beträchtlichen Umfang. Es ist also ein reizvoller Gedanke, diesen „Schatz“ zu heben. Man denke nur an Big Data Anwendungen, z.B. zu Forschungs-, Produktverbesserungs- oder Testzwecken. Aus datenschutzrechtlicher Sicht stellen sich dabei aber gleich mehrere Fragen:
- Ist die Anonymisierung eine Verarbeitung personenbezogener Daten?
- Wenn es eine Verarbeitung ist, was gilt es zu beachten?
- Und wie anonymisiert man Daten?
Was ist Anonymität?
Laut Wikipedia ist Anonymisierung das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Anonymität bedeutet also, dass eine Person nicht identifiziert werden kann.
Regeln zur Anonymisierung
Aufschluss hierzu gibt Erwägungsgrund 26:
„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.“
Weiter heißt es:
„Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
Wie erreicht man Anonymität?
Man sollte daher bei der Prüfung einer Anonymisierung wie folgt vorgehen:
- 1. Schritt: Da es keinen absoluten Maßstab dafür gibt, wann Daten ausreichend anonymisiert sind, prüft man den Aufwand, der erforderlich ist, um die Anonymisierung wieder rückgängig zu machen (insbesondere hinsichtlich der Kosten und des erforderlichen Know-hows).
- 2. Schritt: Man muss die dem Verantwortlichen und den anderen beteiligten Akteuren verfügbaren Mittel berücksichtigen, bei der Frage, ob Daten wirklich anonym sind. Wenn ein Unternehmen z.B. anonymisierte Daten veröffentlicht, muss es sie also auch intern anonymisieren oder löschen. Ansonsten sind die Daten nicht anonym.
- 3. Schritt: Die Löschung direkt identifizierender Attribute wie Vor-und Nachname ist oft nicht ausreichend. Es bedarf häufig weiterer Maßnahmen, um die Identifizierbarkeit vollends aufzuheben.
Wie schwer es ist, Daten wirklich zu anonymisieren, zeigt eine Untersuchung, die ergeben hat, dass 87 % der US-Amerikaner allein anhand des Geburtsdatums, der Postleitzahl und des Geschlechts eindeutig identifizierbar sind. Man spricht bei diesen Daten von sogenannten „Quasi-Identifiern“, weil hierüber Personen auch anhand einer vermeintlich anonymisierten Tabelle re-identifizierbar sein können. Ein weiteres Beispiel ist die Veröffentlichung von vermeintlich anonymisierten Zuschauerratings durch Netflix, die durch den Abgleich mit Bewertungen auf der Internet Movie Database re-identifizieren ließen.
Ein Unternehmen, dass Daten anonymisiert verarbeiten will, befindet sich also in dem Spannungsfeld, dass die Daten einerseits wirklich anonymisiert sein müssen, um nicht gegen Datenschutzrecht zu verstoßen und zugleich die Gefahr besteht, dass die Daten bei Löschung zu vieler Attribute ggf. nicht mehr aussagekräftig sind.
Techniken der Anonymisierung
Die Frage der technischen Umsetzung möchten wir hier nur anschneiden. Nähere Informationen finden sie im Working Paper 216 der der Artikel 29 Datenschutzgruppe (ein Beratungsgremium der Europäischen Union für Datenschutzfragen).
Es gibt zwei übergeordnete Arten der Anonymisierung:
- Randomnization (zufällige Anordnung von Daten)
Die Identizierende Merkmale werden hier gelöscht, ersetzt oder getauscht, z.B. PLZ: 01445 zu PLZ: Postleitzahl; Markus Mann zu Tobias Müller - Generalization (Aggregation)
Einzelne Werte werden hier durch ungenauere Werte ersetzt, indem Daten z.B. zusammengefasst werden z.B. Alter: 30 zu Alter: 25-35, Größe: 180 cm – 200 cm
Ist die Anonymisierung eine Datenverarbeitung?
Hierzu hat sich die Art. 29 Datenschutzgruppe in dem Working Paper 216 zu Anonymisierungstechniken von 2014 sehr eindeutig positioniert: Die Anonymisierung ist eine Datenverarbeitung!
Es sollte daher folgendes beachtet werden:
- Es muss der Grundsatz der Zweckbindung beachtet werden, d.h. die Anonymisierung ist als Zweckänderung nur unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO zulässig.
- wenn die die Anonymisierung nicht als Zweckänderung zulässig ist, bedarf es einer Rechtsgrundlage für die Anonymisierung.
- Zudem muss ggf. eine Datenschutz-Folgeabschätzung bei Anonymisierung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) durchgeführt werden.
Der Weisheit letzter Schluss?
Für Unternehmen ist die aktuelle Rechtslage häufig unbefriedigend, da die Anonymisierung praktisch nicht durchgeführt werden kann, weil eine Zweckänderung unzulässig ist und auch keine Rechtsgrundlage vorliegt. Gibt es also vielleicht alternative Wege?
Vom Saulus zum Paulus
Fraglich ist, wie sinnvoll es ist, die Anonymisierung als Datenverarbeitung zu qualifizieren. Schließlich sollte mit der Anonymisierung das Risiko der Verarbeitung personenbezogener Daten beseitigt werden, da keine Rückschlüsse auf einzelne Personen mehr möglich sind.
Man könnte also argumentieren, dass es kontraproduktiv ist, diesen Schritt der Risikominimierung/-beseitigung durch Anforderungen wie die Zweckbindung und Rechtsgrundlagen zu verhindern. Denn wenn der Personenbezug aufgehoben wird, muss der Betroffene auch keine negativen Konsequenzen aus der Verarbeitung seiner Daten mehr fürchten.
Zudem könnte die Anonymisierung helfen, datenschutzrechtliche Anforderungen wie Privacy-by-Design zu erfüllen. Denkbar wäre es daher, dass eine ordnungsgemäß durchgeführte Anonymisierung gerade als Weg zur Einhaltung der Zweckbindung angesehen wird, indem die Anonymisierung als „Schritt aus dem Datenschutzrecht“ implizit in allen Verarbeitungszwecken inbegriffen ist, da sie das Risiko der Verarbeitung beseitigt.
Gefahren der Anonymisierung
Dem lässt sich jedoch entgegenhalten, dass die Anonymisierung, auch wenn sie nur der Aufhebung des Personenbezugs dient, eine Verarbeitung durch Veränderung gemäß Art. 4 Nr. 2 DSGVO ist. Es zudem eine Vielzahl von Fällen gibt, in denen sich eine Anonymisierung als nicht ausreichend erwiesen hat. Und der Grundsatz der Fairness und Transparenz nach Art. 5 Abs. 1 lit. a DSGVO gebietet, dass die Anonymisierung eine Datenverarbeitung ist, denn nur so ist der der Verantwortliche verpflichtet, die Betroffenen hierüber zu informieren.