15. Oktober 2020
Der BfDI (der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) hat am 29. Juni 2020 ein Positionspapier „zur Anonymisierung unter der DSGVO“ herausgegeben. Das Positionspapier ist das Ergebnis eines öffentlichen Konsultationsverfahrens, in welchem sich Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung durch Einbringung ihrer jeweiligen Position zum Thema der Anonymisierung äußern konnten.
Das vorliegende Positionspapier hat insbesondere Konstellationen im Blick, bei denen personenbezogene Daten anonymisiert werden, um sie anschließend in anonymisierter Form im Big Data/Datenanalyse-Kontext zu nutzen, wie sich bereits anhand der ausdrücklichen Hervorhebung dieser Anwendungsfälle in der Einleitung ergibt.
Obwohl die Kontrollbefugnis des BfDI „nur“ öffentliche Stellen des Bundes und Unternehmen im Telekommunikations- und Postdienstleistungsbereich umfasst, ist dieses Positionspapier auch für alle anderen Unternehmen von Interesse, die personenbezogene Daten nach einer Anonymisierung im Big Data/Datenanalyse-Kontext nutzen wollen. Immerhin lassen sich anhand des Positionspapiers erste Tendenzen erkennen, welche Anforderungen unter der DSGVO generell in diesem Zusammenhang zu beachten sind/sein könnten.
Die Anonymisierung ist in der DSGVO nicht definiert, sondern lediglich in den vorgelagerten Erwägungsgründen zur DSGVO (Nr. 26) im Hinblick auf die Abgrenzung zur Pseudonymisierung erwähnt. Eine Anonymisierung unterscheidet sich insofern von einer Pseudonymisierung, dass bei einer Pseudonymisierung die betroffene Person (natürliche Person, deren Daten betroffen sind) weiterhin identifizierbar bleibt. Damit einhergehend findet bei einer Pseudonymisierung wegen der weiterhin möglichen „Identifizierbarkeit“ der betroffenen Person auch die DSGVO Anwendung.
Der BfDI versteht die Anonymisierung im Einklang mit der auch sonst gängigen Definition einer relativen Anonymisierung „als das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“. Es werden demnach alle Mittel berücksichtigt, die von dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.
Technisch betrachtet gibt es derzeit verschiedene Verfahren, die eine Anonymisierung ermöglichen (siehe bespielhaft zu Anonymisierungsverfahren). Abhängig vom gewählten technischen Verfahren variiert der Grad der Anonymisierung, der erreicht wird. Während bei manchen Verfahren die in der obigen Definition genannten „Einzelangaben“ mit großem Aufwand (Zeit, Kosten, Arbeitsaufwand) wohl noch einer natürlichen Person zugeordnet werden können, ist dies bei anderen Verfahren nahezu unmöglich.
Werden personenbezogene Daten erfolgreich im Sinne der oben genannten Definition anonymisiert, findet die DSGVO und die damit einhergehenden Anforderungen in Bezug auf die Verarbeitung von personenbezogenen Daten auf die nunmehr anonymisierten Daten keine Anwendung mehr. Dies ist insbesondere insofern interessant, als diese anonymisierten Daten dann ohne weitere Beachtung der DSGVO im Big Data/Datenanalyse-Kontext verwendet werden können.
Es ist insofern zu differenzieren.
Sollen Daten verarbeitet werden, die bereits anonymisiert wurden, findet die DSGVO keine Anwendung.
Sollen hingegen personenbezogene Daten überhaupt erst anonymisiert werden, um sie anschließend zu nutzen, geht es also um den vorgelagerten Schritt, die „Anonymisierungshandlung“ selbst, dürfte dies schon von der DSGVO erfasst sein.
Teilweise wird insofern zwar vertreten, eine „Verarbeitung“ von personenbezogenen Daten in Form der Anonymisierung dieser Daten sei keine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO und bedürfe damit keiner Rechtsgrundlage gemäß Art. 6 DSGVO. Da die Anonymisierung das Prinzip der Datensparsamkeit und Datenminimierung umsetze, sei sie privilegiert und könne ohne Beachtung der gesetzlichen Anforderungen nach der DSGVO erfolgen.
Für eine Qualifizierung als Verarbeitung spricht jedoch, dass Art. 4 Nr. 2 DSGVO vom Wortlaut ausgehend jede „Veränderung“ von personenbezogenen Daten erfasst, also auch eine Änderung in eine anonymisierte Form. Zumindest der BfDI qualifiziert die Anonymisierung (die „Anonymisierungshandlung“) damit einhergehend auch als Verarbeitung im Sinne der DSGVO, so dass hierfür grundsätzlich die allgemeinen Anforderungen der DSGVO für die Verarbeitung von personenbezogenen Daten Anwendung finden. Gerade vor dem Hintergrund der Konstellationen Big Data/Datenanalyse, die der BfDI im Blick hat, werden die Argumente für die Qualifizierung der Anonymisierung als Verarbeitung im Sinne der DSGVO noch verstärkt:
Diese Gefahren können nur berücksichtigt werden, wenn die Anonymisierung als „Verarbeitung“ qualifiziert wird und damit die DSGVO anwendbar ist. Es ist daher zu erwarten, dass die Qualifizierung der Anonymisierung als Verarbeitung im Sinne der DSGVO auch von den anderen Aufsichtsbehörden geteilt werden wird.
Auch im Hinblick auf die Anonymisierung von personenbezogenen Daten sollten Unternehmen daher prüfen, auf Grund welcher Rechtsgrundlage aus der DSGVO – eine Verarbeitung von personenbezogenen Daten erfordert die Anwendbarkeit einer Rechtsgrundlage aus der DSGVO – eine solche Anonymisierung erlaubt sein kann und ob die weiteren Anforderungen der DSGVO im Hinblick auf die Anonymisierungshandlung, z.B. die Informationspflichten, hinreichend umgesetzt werden.
Geht man mit dem BfDI von der Anwendung der DSGVO auf eine Anonymisierung aus, bleibt zu überlegen, ob zumindest bei den Voraussetzungen der Rechtsgrundlagen – etwa im Rahmen der Interessenabwägung, soweit eine Rechtsgrundlage diese vorsieht – für die Anonymisierung eine Privilegierung in Betracht kommt.
Der BfDI scheint eine solche Privilegierung aber nicht anzunehmen. Indem der BfDI bei den insoweit einschlägigen Rechtsgrundlagen berücksichtigen möchte, für welche Zwecke die Daten nach der Anonymisierung konkret verwendet werden sollen, macht er deutlich, im Hinblick auf die abzuwägenden Interessen immer auf den Einzelfall abzustellen. Eine allgemeine Bewertung der Interessen der betroffenen Personen bei einer Anonymisierung als niedrig (und somit eine allgemeine Rechtmäßigkeit der Anonymisierung) scheidet nach dem Willen des BfDI somit erkennbar aus.
Ob dies für alle Formen der Anonymisierung gelten soll oder nur bei einer Nutzung der anonymisierten Daten für Big Data/Datananalyse-Zwecke, wird im Positionspapier nicht erkennbar. Soll beispielsweise das „Original-Datenset“ (mit den personenbezogenen Daten) durch das „anonymisierte Datenset“ vollständig ersetzt werden, sind aufgrund des höheren Schutzes hierdurch nur sehr wenige Konstellationen denkbar, bei denen entgegenstehende Interessen der betroffenen Personen bedeutsam wären. Die anderen Aufsichtsbehörden könnten dies daher durchaus abweichend bzw. differenzierter als der BfDI bewerten.
In jeden Fall wird durch das Positionspapier des BfDI deutlich, dass die Anonymisierung zum Zwecke von Big Data/Datenanalyse ein Bereich ist, der datenschutzrechtlich mehr Aufmerksamkeit bedarf, als es auf den ersten Blick vielleicht wirken mag. Unternehmen sollten vorab gegebenenfalls folgende Erwägungen berücksichtigen:
von Stephanie Richter, LL.M. (Torino), CIPP/E und Dr. Patrick Vincent Zurheide, LL.M. (Aberdeen)