Anonymisierung – Fluch und Segen des Datenschutzes

Anonymisierung in der Digitalisierung (2/2)

Rechtliche Anforderungen an die Anonymisierung
Die rechtlichen Anforderungen, die an die Anonymisierung gestellt werden, sind umstritten. Die Europäische Datenschutzgrundverordnung (DSGVO) sieht mit ihrem Prinzip der Datenminimierung insbesondere in den Bereichen von KI und Big Data vor, anonymisierte Daten zu verwenden. Sofern auf Grundlage anonymisierter Daten kein Rückschluss auf identifizierte oder identifizierbare Personen gezogen werden kann, können diese Daten „frei“ genutzt werden.

Wann sind Daten anonym?
Eine Definition der Anonymisierung sucht man im Datenschutzrecht hingegen vergeblich. Die DSGVO definiert „Anonymisierung“ nicht; in Erwägungsgrund 26 heißt es hierzu lediglich:

„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“

Damit ist bei der Anonymisierung ein Mehr verlangt gegenüber der Pseudonymisierung. Denn bei letzterer genügt zur Identifikation der dahinterstehenden Person die Hinzuziehung zusätzlicher, aber getrennt aufbewahrter Informationen. Anonymisierte Daten hingegen weisen keinen Personenbezug mehr auf.

Eine absolute Anonymisierung liegt vor, wenn unabhängig von möglichem Zusatzwissen eines Dritten für niemanden eine De-Anonymisierung mehr möglich ist. Eine solche absolute Anonymisierung ist nur mit sehr wenigen der derzeit verfügbaren Methoden zu erreichen. Sie ist datenschutzrechtlich allerdings gar nicht notwendig. Nach der DSGVO ist eine sogenannte faktische Anonymisierung ausreichend, d.h. eine De-Anonymisierung muss nicht zu 100% ausgeschlossen sein. Vielmehr ist es nach den Maßstäben der Artikel-29-Datenschutzgruppe ausreichend, wenn das Restrisiko einer Identifizierung des Betroffenen soweit wie möglich ausgeschlossen wird und unter praktischen Erwägungen gewährleistet ist, dass es nicht mehr möglich ist, (i)  eine bestimmte Person aus einem Datenbestand herauszugreifen, (ii) die eine Person betreffenden Datensätze miteinander zu verknüpfen oder (iii) durch Inferenz Informationen aus einem solchen Datenbestand über eine Person abzuleiten.

Ist Anonymisierung eine Datenverarbeitung, die einer Rechtsgrundlage bedarf?
Die Frage nach der Rechtsnatur der Anonymisierung spielt eine nicht zu unterschätzende Rolle. Nicht wenige Stimmen behaupten, dass die Anonymisierung keine Verarbeitung im Sinne der DSGVO sei, da diese nicht von ihrem Schutzzweck (Schutz der Betroffenen vor Kontrollverlust über ihre Daten) umfasst sei.  Da die DSGVO auf anonyme Daten keine Anwendung findet und Anonymisierung von dieser sogar gefordert wird, dürfe dieser Prozess durch die DSGVO auch nicht erschwert werden. Andererseits hat die Anonymisierung zunächst die Verarbeitung von personenbezogen Daten zum Gegenstand. Erst durch das Verfahren der Anonymisierung entstehen nicht-mehr-personenbezogene Daten. Die Anwendung der DSGVO könne folglich bis zu dem Zeitpunkt des Entstehens anonymer Daten nicht ausgeschlossen werden.

Welche Rechtsgrundlagen kommen in Betracht?
Unter Berücksichtigung der Ergebnisse einer Anonymisierung kommen als Rechtsgrundlagen – neben der Einwilligung der Betroffenen – zwei weitere Rechtsgrundlagen in Betracht.
Sofern die personenbezogenen Daten ausschließlich zum Zweck der Anonymisierung erhoben werden, ist eine Rechtfertigung nach Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen des Verantwortlichen) gegeben. Eine Anonymisierung ist nach Art. 6 Abs. 4 DSGVO (Weiterverarbeitung) zulässig, sofern es sich um die Anonymisierung bereits vorhandener personenbezogener Daten handelt, die zunächst zu anderen Zwecken erhoben wurden. Jede darauffolgende Nutzung der bereits anonymisierten Daten ist jedenfalls – mangels Geltung der DSGVO – ohne weitere datenschutzrechtliche Grundlage möglich.
Demgegenüber könnten Anonymisierungsverfahren zum Schutz der betroffenen Personen sowie im Sinne des effektiven Datenschutzes im Gegensatz zu anderen Verarbeitungen datenschutzrechtlich privilegiert werden. Sowohl die DSGVO als auch die Anonymisierung wollen Betroffene schützen. Denkbar wären hierbei zur Umsetzung und Förderung des Prinzips der Datensparsamkeit die Entbehrlichkeit einer Rechtsgrundlage oder Privilegierungen im Hinblick auf die weiteren Pflichten nach der DSGVO, wie die Erfüllung umfassender Informationspflichten.

Fazit und Ausblick
Noch gibt es keinen einheitlichen Umgang mit der Erstellung und Nutzung anonymer Daten. Dies hat auch erhebliche negative Auswirkungen auf die deutsche und europäische Wirtschaft im Bereich der Digitalisierung. Bereits jetzt sind hier beispielsweise amerikanische und chinesische Firmen auf dem Vormarsch, obwohl es an vielversprechenden europäischen Lösungen im Bereich der Anonymisierung von Daten nicht mangelt. Auch an den technischen Möglichkeiten mangelt es nicht mehr. Dass diese auch rechtssicher angewendet werden können, um effektiven Datenschutz im Datenhandel zu gewährleisten, ist nun Aufgabe der Rechtssetzung – und Anwendung. Zweifelsohne wird im Hinblick auf die datenschutzrechtlich gebotene Anonymisierung noch viel Licht ins Dunkle gebracht werden müssen. Dies hat beispielsweise den Bundesbeauftragten für Datenschutz und Informationssicherheit zu seinem ersten Konsultationsverfahren zum Thema Anonymisierung veranlasst. Nach Auswertung zahlreicher Stellungnahmen aus der Wissenschaft, Wirtschaft und Lehre könnte hierin ein erster Schritt in Richtung mehr Rechtssicherheit liegen.

Den ersten Teil des Gastbeitrags von Mona Wrobel „Anonymisierung in der Digitalisierung“, in dem sie sich mit den tatsächlichen Anforderungen an die Anonymisierung beschäftigt, lest ihr hier.