Autor
Patrick Zurheide

Dr. Patrick Vincent Zurheide, LL.M. (Aberdeen)

Associate

Read More
Autor
Patrick Zurheide

Dr. Patrick Vincent Zurheide, LL.M. (Aberdeen)

Associate

Read More

15. Oktober 2020

Newsletter Technology - Oktober 2020 – 4 von 4 Insights

Positionspapier des BfDI zur Anonymisierung unter der DSGVO

  • Briefing

Der BfDI (der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) hat am 29. Juni 2020 ein Positionspapier „zur Anonymisierung unter der DSGVO“ herausgegeben. Das Positionspapier ist das Ergebnis eines öffentlichen Konsultationsverfahrens, in welchem sich Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung durch Einbringung ihrer jeweiligen Position zum Thema der Anonymisierung äußern konnten.

Das vorliegende Positionspapier hat insbesondere Konstellationen im Blick, bei denen personenbezogene Daten anonymisiert werden, um sie anschließend in anonymisierter Form im Big Data/Datenanalyse-Kontext zu nutzen, wie sich bereits anhand der ausdrücklichen Hervorhebung dieser Anwendungsfälle in der Einleitung ergibt.

Obwohl die Kontrollbefugnis des BfDI „nur“ öffentliche Stellen des Bundes und Unternehmen im Telekommunikations- und Postdienstleistungsbereich umfasst, ist dieses Positionspapier auch für alle anderen Unternehmen von Interesse, die personenbezogene Daten nach einer Anonymisierung im Big Data/Datenanalyse-Kontext nutzen wollen. Immerhin lassen sich anhand des Positionspapiers erste Tendenzen erkennen, welche Anforderungen unter der DSGVO generell in diesem Zusammenhang zu beachten sind/sein könnten.

Was ist eine Anonymisierung?

Die Anonymisierung ist in der DSGVO nicht definiert, sondern lediglich in den vorgelagerten Erwägungsgründen zur DSGVO (Nr. 26) im Hinblick auf die Abgrenzung zur Pseudonymisierung erwähnt. Eine Anonymisierung unterscheidet sich insofern von einer Pseudonymisierung, dass bei einer Pseudonymisierung die betroffene Person (natürliche Person, deren Daten betroffen sind) weiterhin identifizierbar bleibt. Damit einhergehend findet bei einer Pseudonymisierung wegen der weiterhin möglichen „Identifizierbarkeit“ der betroffenen Person auch die DSGVO Anwendung.

Der BfDI versteht die Anonymisierung im Einklang mit der auch sonst gängigen Definition einer relativen Anonymisierung „als das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“. Es werden demnach alle Mittel berücksichtigt, die von dem Verantwortlichen (Art. 4 Nr. 7 DSGVO) oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren.

Technisch betrachtet gibt es derzeit verschiedene Verfahren, die eine Anonymisierung ermöglichen (siehe bespielhaft zu Anonymisierungsverfahren). Abhängig vom gewählten technischen Verfahren variiert der Grad der Anonymisierung, der erreicht wird. Während bei manchen Verfahren die in der obigen Definition genannten „Einzelangaben“ mit großem Aufwand (Zeit, Kosten, Arbeitsaufwand) wohl noch einer natürlichen Person zugeordnet werden können, ist dies bei anderen Verfahren nahezu unmöglich.

Werden personenbezogene Daten erfolgreich im Sinne der oben genannten Definition anonymisiert, findet die DSGVO und die damit einhergehenden Anforderungen in Bezug auf die Verarbeitung von personenbezogenen Daten auf die nunmehr anonymisierten Daten keine Anwendung mehr. Dies ist insbesondere insofern interessant, als diese anonymisierten Daten dann ohne weitere Beachtung der DSGVO im Big Data/Datenanalyse-Kontext verwendet werden können.

Und wieso ist die DSGVO dann überhaupt bei einer solchen Anonymisierung von Bedeutung?

Es ist insofern zu differenzieren.

Sollen Daten verarbeitet werden, die bereits anonymisiert wurden, findet die DSGVO keine Anwendung.

Sollen hingegen personenbezogene Daten überhaupt erst anonymisiert werden, um sie anschließend zu nutzen, geht es also um den vorgelagerten Schritt, die „Anonymisierungshandlung“ selbst, dürfte dies schon von der DSGVO erfasst sein.

Teilweise wird insofern zwar vertreten, eine „Verarbeitung“ von personenbezogenen Daten in Form der Anonymisierung dieser Daten sei keine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO und bedürfe damit keiner Rechtsgrundlage gemäß Art. 6 DSGVO. Da die Anonymisierung das Prinzip der Datensparsamkeit und Datenminimierung umsetze, sei sie privilegiert und könne ohne Beachtung der gesetzlichen Anforderungen nach der DSGVO erfolgen.

Für eine Qualifizierung als Verarbeitung spricht jedoch, dass Art. 4 Nr. 2 DSGVO vom Wortlaut ausgehend jede „Veränderung“ von personenbezogenen Daten erfasst, also auch eine Änderung in eine anonymisierte Form. Zumindest der BfDI qualifiziert die Anonymisierung (die „Anonymisierungshandlung“) damit einhergehend auch als Verarbeitung im Sinne der DSGVO, so dass hierfür grundsätzlich die allgemeinen Anforderungen der DSGVO für die Verarbeitung von personenbezogenen Daten Anwendung finden. Gerade vor dem Hintergrund der Konstellationen Big Data/Datenanalyse, die der BfDI im Blick hat, werden die Argumente für die Qualifizierung der Anonymisierung als Verarbeitung im Sinne der DSGVO noch verstärkt:

  • Wenn die Daten nach der Anonymisierung für Big Data/Datenanalyse-Anwendungen verwendet werden sollen und somit das „anonymisierte Datenset“ das „Original-Datenset“ (in dem die personenbezogenen Daten weiterhin enthalten sind) nicht ersetzen soll, wird durch dieses anonymisierte Datenset eine zusätzliche Gefahr für die natürlichen Personen geschaffen. Da ein relativer Anonymisierungsbegriff vertreten wird und somit eine Zuordnung der Einzelangaben zu einer natürlichen Person durch die Anonymisierung nicht völlig ausgeschlossen sein muss, besteht im Hinblick auf das anonymisierte Datenset zumindest hypothetisch die Gefahr einer De-Anonymisierung.
  • Zudem besteht stets die Gefahr, dass eine Anonymisierung nicht erfolgreich ist, ohne dass dies erkannt wird. Dann wäre zu besorgen, dass diese nur vermeintlich anonymisierten Daten verwendet würden, ohne die entsprechenden Anforderungen nach der DSGVO zu beachten (mangels Bewusstsein für deren weitere Anwendbarkeit). Insbesondere wenn in eine bestimmte Kategorie von Daten in einem Datenset eine zu geringe Menge an natürlichen Personen fällt (z.B. es gibt in einem Datenset nur 1 Person die 103 Jahre alt ist) und es neben dem anonymisierten Datenset noch andere, nicht anonymisierte Datensets, gibt, in denen die gleichen Daten vorhanden sind, ist oftmals mit relativ einfachen technischen Mitteln eine Rückführung der vermeintlich „anonymisierten Daten“ zu den Klarnamen der betroffenen Personen möglich. Eine solche nicht erkannte fehlgeschlagene Anonymisierung ist schon mehrfach bei verschiedenen Unternehmen vorgekommen und auch öffentlich bekannt geworden. Da die Unternehmen von einer erfolgreichen Anonymisierung ausgingen, hatten sie die vermeintlich anonymisierten Daten veröffentlicht.

Diese Gefahren können nur berücksichtigt werden, wenn die Anonymisierung als „Verarbeitung“ qualifiziert wird und damit die DSGVO anwendbar ist. Es ist daher zu erwarten, dass die Qualifizierung der Anonymisierung als Verarbeitung im Sinne der DSGVO auch von den anderen Aufsichtsbehörden geteilt werden wird.

Auch im Hinblick auf die Anonymisierung von personenbezogenen Daten sollten Unternehmen daher prüfen, auf Grund welcher Rechtsgrundlage aus der DSGVO – eine Verarbeitung von personenbezogenen Daten erfordert die Anwendbarkeit einer Rechtsgrundlage aus der DSGVO – eine solche Anonymisierung erlaubt sein kann und ob die weiteren Anforderungen der DSGVO im Hinblick auf die Anonymisierungshandlung, z.B. die Informationspflichten, hinreichend umgesetzt werden.

Verwendungszweck nach der Anonymisierung datenschutzrechtlich relevant?

Geht man mit dem BfDI von der Anwendung der DSGVO auf eine Anonymisierung aus, bleibt zu überlegen, ob zumindest bei den Voraussetzungen der Rechtsgrundlagen – etwa im Rahmen der Interessenabwägung, soweit eine Rechtsgrundlage diese vorsieht – für die Anonymisierung eine Privilegierung in Betracht kommt.

Der BfDI scheint eine solche Privilegierung aber nicht anzunehmen. Indem der BfDI bei den insoweit einschlägigen Rechtsgrundlagen berücksichtigen möchte, für welche Zwecke die Daten nach der Anonymisierung konkret verwendet werden sollen, macht er deutlich, im Hinblick auf die abzuwägenden Interessen immer auf den Einzelfall abzustellen. Eine allgemeine Bewertung der Interessen der betroffenen Personen bei einer Anonymisierung als niedrig (und somit eine allgemeine Rechtmäßigkeit der Anonymisierung) scheidet nach dem Willen des BfDI somit erkennbar aus.

Ob dies für alle Formen der Anonymisierung gelten soll oder nur bei einer Nutzung der anonymisierten Daten für Big Data/Datananalyse-Zwecke, wird im Positionspapier nicht erkennbar. Soll beispielsweise das „Original-Datenset“ (mit den personenbezogenen Daten) durch das „anonymisierte Datenset“ vollständig ersetzt werden, sind aufgrund des höheren Schutzes hierdurch nur sehr wenige Konstellationen denkbar, bei denen entgegenstehende Interessen der betroffenen Personen bedeutsam wären. Die anderen Aufsichtsbehörden könnten dies daher durchaus abweichend bzw. differenzierter als der BfDI bewerten.

Ausblick

In jeden Fall wird durch das Positionspapier des BfDI deutlich, dass die Anonymisierung zum Zwecke von Big Data/Datenanalyse ein Bereich ist, der datenschutzrechtlich mehr Aufmerksamkeit bedarf, als es auf den ersten Blick vielleicht wirken mag. Unternehmen sollten vorab gegebenenfalls folgende Erwägungen berücksichtigen:

  • Welche Technik soll zur Anonymisierung verwendet werden und wie sicher funktioniert diese?
  • Auf welcher Rechtsgrundlage können die personenbezogenen Daten anonymisiert werden?
  • Wie kann den Informationspflichten nachgekommen werden?
  • Ist eine Datenschutz-Folgenabschätzung erforderlich?
Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren