Anonymisierung personenbezogener Daten

Anwendungsbereich der DSGVO

Die DSGVO ist anwendbar, wenn es um die Verarbeitung von personenbezogenen Daten geht. In Erwägungsgrund 26 DSGVO wird ausdrücklich klargestellt, dass die Grundsätze des Datenschutzes für Informationen gelten sollen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter sollen auch personenbezogene Daten fallen, die einer Pseudonymisierung unterzogen wurden, da bei solchen durch Heranziehung zusätzlicher Informationen eine Zuordnung zu einer natürlichen Person möglich ist. Sind die ursprünglich personenbezogenen Daten so verarbeitet worden, dass eine betroffene Person nicht oder nicht mehr identifiziert werden kann, gelten die Grundsätze des Datenschutzes nicht.

Kurz gesagt: Solange ein Personenbezug hergestellt werden kann, was auch bei pseudonymisierten Daten noch der Fall ist, gilt die DSGVO. Ist das nicht mehr der Fall, spricht man von anonymisierten Daten. Diese fallen nicht in den Anwendungsbereich der DSGVO.

Rechtsgrundlage für die Anonymisierung von personenbezogenen Daten

Wird personenbezogenen Daten der Personenbezug genommen, findet eine Anonymisierung statt. Bei diesem Vorgang handelt es sich um eine Verarbeitung im Sinne der DSGVO. Art. 4 Nr. 2 DSGVO zählt nicht abschließend einige Beispiele für Verarbeitungen auf. Worunter die Anonymisierung genau zu verorten ist, ist umstritten. Ob eine Veränderung vorliegt, der Auffangtatbestand der Verwendung einschlägig ist oder die Anonymisierung gar erst als nicht ausdrücklich gelistetes Beispiel erfasst wird, spielt im Ergebnis aber keine Rolle. Es gelten für den Vorgang der Anonymisierung die Grundsätze des Datenschutzes. Zu diesem Ergebnis kommt auch der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) in einem kürzlich veröffentlichten Positionspapier.

Für die Anonymisierung bedarf es deswegen allem voran einer Rechtsgrundlage, da nach der DSGVO Verarbeitungen nur rechtmäßig sind, wenn Sie ausdrücklich erlaubt sind (sog. Verbot mit Erlaubnisvorbehalt). Für eine Anonymisierung können alle in Art. 6 DSGVO vorgesehenen Rechtsgrundlagen herangezogen werden. Auch wenn im Einzelfall eine andere Rechtsgrundlage einschlägig sein kann, wird es im Regelfall auf eine der folgenden hinauslaufen.

Einwilligung

Die Einwilligung, sowohl nach Art. 6 als auch Art. 9 DSGVO kommt für die Verarbeitung in Form der Anonymisierung regelmäßig in Betracht. Auf sie lässt sich so gut wie jede Verarbeitung stützen, da sie ein Ausfluss des Selbstbestimmungsrechts des mündigen Bürgers darstellt.

Erfüllung einer rechtlichen Verpflichtung

Ebenso von erheblicher Relevanz für die Anonymisierung ist die Erfüllung einer rechtlichen Verpflichtung im Zusammenspiel mit der Löschpflicht aus Art. 17 DSGVO.

Die meisten Experten, darunter auch der BfDI und die österreichische Datenschutzbehörde, vertreten die Meinung, dass der Löschverpflichtung auch durch Anonymisierung personenbezogener Daten nachgekommen werden kann. Das ergibt sich unter anderem aus Art. 4 Nr. 2 DSGVO, der explizit Löschen und Vernichten als Alternativen aufzählt, und aus dem Wortlaut des Grundsatz auf Speicherbeschränkung in Art. 5 Abs. 1 lit. e) DSGVO.

Wenn also der Löschpflicht durch Anonymisieren entsprochen wird, handelt es sich um eine Verarbeitung aufgrund gesetzlicher Verpflichtung.

Berechtigtes Interesse

Ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO kann regelmäßig bestehen. Dabei hat eine Interessenabwägung zu erfolgen. Die Anonymisierung der personenbezogenen Daten darf nicht durchgeführt werden, wenn die Interessen oder Grundrechte und Grundfreiheiten, die den Schutz personenbezogener Daten erfordern, überwiegen.

Oft hat die betroffene Person selbst ein Interesse an der Anonymisierung, was stark zugunsten des Verantwortlichen gewichtet werden kann. In Einzelfällen kann aber natürlich auch ein überwiegendes schutzwürdiges Interesse am Erhalt des Personenbezugs bestehen.

Zweckänderung – Art. 6 Abs. 4 DSGVO in Verbindung mit der ursprünglichen Rechtsgrundlage

Wenn Daten anonymisiert werden, wurden sie in der Regel davor für einen anderen Zweck erhoben. Der BfDI vertritt in seinem Positionspapier den Standpunkt, dass Art. 6 Abs. 4 DSGVO anwendbar ist. Wenn die Anonymisierung mit dem ursprünglichen Zweck vereinbar ist, könne die Rechtsgrundlage für die zweckändernde Weiterverarbeitung weiterhin die sein, auf der die ursprüngliche Verarbeitung fußt. Die direkte Anwendbarkeit der Vorschrift ist aber umstritten. Geht man mit der Meinung des BfDI gilt folgendes:

Für die Beurteilung muss der Verantwortliche im Rahmen eines Kompatibilitätstests gem. Art. 6 Abs. 4 DSGVO, unter anderem beachten:

• jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
• den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
• die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden,
• die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
• das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Wichtig ist laut BfDI dabei, dass der datenschutzrechtlich relevante Zweck der Anonymisierung nicht die Aufhebung des Personenbezugs ist, sondern das dahinterstehende tatsächliche Interesse des Verantwortlichen. Beispielsweise die Auswertung der anonymisierten Daten zu bestimmten Zwecken. Unter anderem an diesem Punkt setzten widersprechende Meinungen ein und argumentieren, dass dann ja gerade kein Personenbezug mehr besteht und der Anwendungsbereich der DSGVO verlassen wird.

Wenn die Anonymisierung aufgrund dieses Maßstabs zulässig wäre, wird jedenfalls in der Regel auch ein berechtigtes Interesse bejaht werden können, so dass man den Streit gar nicht erst entscheiden muss, sondern einfach diese Rechtsgrundlage für die Anonymisierung heranziehen kann.

Transparenz

Neben dem Grundsatz der Rechtmäßigkeit muss auch der Grundsatz der Transparenz gewahrt werden. Der Verantwortliche hat nach Art. 13 und Art. 14 DSGVO der betroffenen Person den Zweck, für den die personenbezogenen Daten anonymisiert werden, sowie die Rechtsgrundlage für die Anonymisierung mitzuteilen. Nach Art. 13 Abs. 3 DSGVO gilt dies auch dann, wenn die Anonymisierung eine Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO darstellt.

Vorgang der Anonymisierung und Erforderlichkeit einer Datenschutz-Folgenabschätzung

An die Anonymisierung sind einige Anforderungen zu stellen. Wird nur unzureichend anonymisiert, liegt unter Umständen am Ende nur eine Pseudonymisierung vor und der Personenbezug bleibt erhalten. Den Maßstab gibt Erwägungsgrund 26 DSGVO vor, der eine Mischung zwischen relativem und absolutem Personenbezug für die Beurteilung nach DSGVO vorgibt:

„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“

Ob Daten hinreichend anonymisiert wurden, hängt von einigen Faktoren ab und es ist möglich, dass sich durch den fortschreitenden Stand der Technik die Bewertung (auch nachträglich) ändern kann. Eine absolute Anonymisierung ist daher wohl eher nicht möglich, aber auch nicht erforderlich.

Unter anderem daher und aufgrund der Kategorisierung als Verarbeitung mittels neuer Technologien sieht der BfDI die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO für die Anonymisierung in der Regel als geboten an. Sie sei „insbesondere deshalb begründet, weil die Generierung eines anonymen Datenbestandes eine komplexe Aufgabe des Verantwortlichen darstellt und viele Fehlerquellen birgt. Dabei hat der Verantwortliche darüber hinaus die Folgen einer möglichen De-Anonymisierung in die Betrachtung einzubeziehen.“

Ob der BfDI hier nicht über das Ziel hinausschießt und zu pauschal urteilt oder seinen Blick nur auf Anonymisierung im großen Stil gerichtet hatte, darf durchaus hinterfragt werden. Umfang und Art der durchgeführten Anonymisierung sollten unserer Meinung nach in einer Risikoanalyse immer beachtet werden, aber auch zum Ergebnis führen können, dass eine Datenschutz-Folgenabschätzung nicht unbedingt nötig ist. Es hat immer eine Einzelfallbetrachtung stattzufinden. Dass die Tendenz aber eher zugunsten der Datenschutz-Folgenabschätzung geht, ist nicht von der Hand zu weisen.

Fazit: Anonymisierung birgt Tücken

Die Anonymisierung von personenbezogenen Daten ist nicht gleichzusetzen mit der Verwendung von anonymen Daten. Es handelt sich um eine Verarbeitung im Sinne der DSGVO, für die es einer Rechtsgrundlage bedarf und über die umfangreich zu informieren ist. Darüber hinaus birgt diese Art der Verarbeitung ihre ganz eigenen Risiken.

Verantwortliche sollten sich dessen bewusst sein und entsprechend handeln. Punkte die es zu beachten gilt sind dabei unter anderem:

• Feststellung der Rechtsgrundlage ggf. unter Einbeziehung einer Abwägung,
• Erfüllen von Informationspflichten,
• Risikoanalyse und Datenschutz-Folgenabschätzung

Insbesondere der letzte Punkt wird bisher eher selten umgesetzt. Der BfDI hat sich in seinem Positionspapier zur Anonymisierung unter der DSGVO nun aber klar positioniert. Für Verantwortliche sollte das ein Anreiz sein, durchgeführte Anonymisierungen zu überprüfen und gegebenenfalls neu zu bewerten.