Anleitung: 3 Methoden zur Beseitigung des Personenbezugs von Daten

activemind AG - Anleitung Personenbezug in Daten entfernen

Die Verarbeitung von personenbezogenen Daten unterliegt erheblichen Beschränkungen durch die Datenschutzgesetze. Für Unternehmen ist deshalb die Beseitigung des Personenbezugs von Daten ein interessanter Weg, weil hierdurch bestimmte Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung und die Einhaltung von Löschpflichten entfallen oder aber die Verarbeitung sonst erleichtert werden kann. Ein prominentes Einsatzgebiet ist die Weitergabe von Daten an Cloud-Dienstleister außerhalb Europas, insbesondere nach dem Wegfall von Safe Harbor. Zur Entfernung des Personenbezugs existieren verschiedene Möglichkeiten, deren Einsatz jedoch stets eine gründliche Planung erfordert. Im Folgenden erläutern wir die wichtigsten Methoden.

Was sind personenbezogene Daten?

Die Anwendbarkeit der Datenschutzgesetze ist eröffnet, sobald personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Was genau personenbezogene Daten sind, definiert z. B. das Bundesdatenschutzgesetz in § 3 BDSG als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“. Damit sind alle Angaben über einen einzelnen Menschen personenbezogene Daten, sofern der betroffene Mensch in irgendeiner Form „bestimmbar“ ist. Damit ist nicht notwendig die „Identifizierbarkeit“ gemeint.

Bestimmte Personen im Sinne des BDSG

Eine Person ist bestimmt, wenn sie anhand eines Merkmals innerhalb einer Referenzgruppe eindeutig identifiziert werden kann, beispielsweise anhand ihres Namens (wenn man mal von „Peter Meiers“ oder „Helga Müllers“ absieht) oder auch ihrer Funktion (z. B. Präsident des Bayerischen Landesamtes für Datenschutzaufsicht), da damit ein Rückschluss auf das konkrete Individuum ohne weiteres gezogen werden kann. Alle Daten – auch wenn diese noch so trivial sind –, die einer bestimmten Person zugeordnet werden können, sind damit personenbezogen und unterfallen den Regelungen des Bundesdatenschutzgesetzes.

Bestimmbare Personen im Sinne des BDSG

Wesentlich problematischer sind die Fälle der Bestimmbarkeit. Bestimmbar bedeutet, dass die Person nicht unmittelbar anhand eines Merkmals bestimmt werden kann, sondern ggf. mittelbar, beispielsweise aus der Gesamtschau mehrerer Daten oder durch Anwendung sonstiger Kenntnisse. Wenn also etwa im Rahmen der „anonymen“ Erfassung von Daten in einem Betrieb bekannt ist, dass es sich beispielsweise um eine weibliche Person handelt, die seit zehn Jahren im Betrieb beschäftigt und aktuell in der Personalabteilung angestellt ist, werden vermutlich keine weiteren Informationen notwendig sein, um darauf zu schließen, wer tatsächlich gemeint ist. Mit der Kombination bereits weniger Informationen wird die betroffene Person erkennbar. Die Daten sind damit personenbezogen. Erschwerend kommt hinzu, dass es nicht notwendig ist, die Person namentlich zu bestimmen. Es genügt, wenn diese anhand der Information zuverlässig als Individuum aus einer Gruppe heraus wieder erkannt werden kann. Außerdem kommt es nach verbreiteter Auffassung nicht auf die Möglichkeiten der „verantwortlichen Stelle“ an, sondern es genügt vielmehr, wenn diese Bestimmung irgendjemanden mit vernünftigerweise vertretbarem Aufwand möglich ist.

Handelt es sich hingegen nicht um personenbezogene Daten, so greift auch das Bundesdatenschutzgesetz mit all seinen Einschränkungen nicht und die Informationen können (zumindest aus Sicht des Datenschutzes) frei verarbeitet werden.

Methoden zur Beseitigung des Personenbezugs von Daten

Anonymisierung von Daten

Der vollständige Entfall des Personenbezugs kann durch Anonymisierung der Daten bewirkt werden. Anonymisierung bedeutet das Verändern der Daten in solch einer Art und Weise, dass ein Rückschluss auf die Person gar nicht oder zumindest nur noch mit unverhältnismäßig hohem Aufwand möglich ist. Was einen unverhältnismäßigen Aufwand darstellt, ist jeweils im Einzelfall (und an den ggf. bestehenden Missbrauchsinteressen) zu beurteilen, weshalb im Zweifel immer die wirkungsvollste Anonymisierungsmethodik angewendet werden sollte. Ein Fall einer Anonymisierung ist beispielsweise das unwiederbringliche Löschen des letzten Oktetts einer IP-Adresse. Es ist jedoch darauf zu achten, dass in den übrigen zu der jeweiligen IP-Adresse gespeicherten Daten keine eindeutigen Merkmale enthalten sind, die eine Identifikation ermöglichen.

Die Anonymisierung eines Datensatzes erfordert daher stets eine gründliche Analyse aller in einem zu anonymisierenden Datensatz enthaltenen Daten auf mögliche Alleinstellungsmerkmale eines Betroffenen; auch solcher, die erst durch Kombination zu einer Bestimmbarkeit führen. Zudem ist zu berücksichtigen, dass ein eingesetztes Anonymisierungsverfahren im Laufe der Zeit an Wirkung verliert, beispielsweise durch die Erlangung neuen Hintergrundwissens oder der Weiterentwicklung der technischen Analyseverfahren. Mit einer wirksamen Anonymisierung geht daher oft ein nicht unwesentlicher Verlust von Informationen im Ergebnisdatensatz einher.

Pseudonymisierung von Daten

Unter Pseudonymisierung wird das Ersetzen des Namens und anderer direkter Identifikationsmerkmale durch ein eindeutiges Kennzeichen verstanden. Dies dient dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Statt des Betroffenen wird nunmehr der Datensatz eindeutig erkennbar gemacht. Es gibt im Falle der Pseudonymisierung im ersten Schritt also stets einen „Schlüssel“, um das Pseudonym den Originaldaten zuordnen zu können. Dieses Schlüssels muss sich die nutzende Stelle aber entledigen. Eine Rückauflösung darf nicht mehr ohne weiteres möglich sein.

Ob nämlich der Personenbezug von Daten entfällt, ist umstritten. Abgelehnt wird dies jedenfalls dann, wenn die verantwortliche Stelle selbst im Besitz des Zuordnungsschlüssels ist oder sich diesen mit angemessenem Aufwand beschaffen kann. Kontrovers diskutiert wird hingegen der Fall, dass der Inhaber der Daten nicht über den Zuordnungsschlüssel verfügt. Dem Grunde nach sind die Daten für diesen zwar anonymisiert, da ohne Schlüssel kein Personenbezug hergestellt werden kann. Es spricht jedoch vieles dafür, auch pseudonymisierte Daten als personenbezogen anzusehen, da es nicht sinnvoll erscheint, die Daten nicht objektiv zu kategorisieren, sondern relativ für jeden Dateninhaber getrennt im Hinblick auf dessen Kenntnis oder Möglichkeit, an den Zuordnungsschlüssel zu gelangen. Außerdem genügt es, wie bereits erwähnt, regelmäßig, dass eine Bestimmung des Betroffenen für irgendeine Stelle möglich ist. Pseudonyme Daten, für die noch eine Referenz zur Rückauflösung besteht, auszunehmen, würde dem widersprechen.

Wer sich also nicht mit den theoretischen Streitigkeiten der Lehre auseinandersetzen möchte, sollte in der Praxis stets von der Anwendbarkeit des Bundesdatenschutzgesetzes auch bei pseudonymisierten Daten ausgehen; zumindest solange eine Rückschlüsselung nicht endgültig ausgeschlossen ist.

Verschlüsselung von Daten

Einen Mittelweg zwischen Anonymisierung und Pseudonymisierung bildet die Verschlüsselung von Daten, da hier zwar ein Schlüssel zur Wiederherstellung der Originaldaten besteht, jedoch keine Pseudonyme verwendet werden. Im Unterschied zur Pseudonymisierung wird bei der Verschlüsselung der gesamte Datensatz verschlüsselt und es werden nicht lediglich einzelne Identifikationsmerkmale durch Pseudonyme ersetzt.

Auch hier spalten sich wieder die Ansichten, ob verschlüsselte Daten noch einen Personenbezug für diejenigen aufweisen, die den Schlüssel nicht besitzen. Im Ergebnis erscheint es jedoch vertretbar, bei Anwendung einer ausreichend starken Verschlüsselungsmethodik einen Personenbezug zumindest insoweit abzulehnen, dass die Zugriffsmöglichkeit verneint werden kann. Aber auch hier ist zu beachten, dass der technische Fortschritt eine Verschlüsselungsmethode innerhalb kürzester Zeit überholen kann, wodurch letztere mit einfachen Mitteln zu dechiffrieren wäre. Zudem ist der Schlüssel ausreichend sicher zu verwahren, so dass kein Unberechtigter Zugriff auf den Schlüssel hat. Daher gilt auch hier, dass sich ein höherer Aufwand bei der Verschlüsselung durchaus lohnen kann, um nicht bereits nach kurzer Zeit erneut tätig werden zu müssen.

Fazit: Wahl der Methoden hängt von Art der Daten ab

Unternehmen sollten bei der Wahl der geeigneten Methodik zur Beseitigung des Personenbezugs von Daten äußerst gründlich vorgehen. Dafür ist vor allem eine gute Kenntnis der Struktur der zu verarbeitenden Daten nötig, ein Wissen darüber, wer die Daten verarbeiten muss, sowie ausreichend Fähigkeiten bezüglich der vorhandenen Technik zur Sicherung.

Bitte bewerten Sie diese Inhalte!
[7 Bewertung(en)/ratings]

Unsere Datenschutz-Dienstleistungen

Die Experten der activeMind AG kombinieren langjährige Datenschutz-Erfahrung mit hoher technischer Expertise: Wir wissen nicht nur, was Sie tun müssen, sondern auch, wie Sie es am besten machen. Ein Datenschutz-Audit ist ein guter Anfang dafür!

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.