Die Diplomjuristin Désirée studierte Rechtswissenschaften an der Universität Passau und war mehrere Jahre in Berlin in einem landeseigenen Unternehmen für Immobilienprojekte als Projektmanagerin Recht und Datenschutzbeauftragte tätig. Désirée bereichert das Team nicht nur mit ihrem juristischen Know-How sondern ist auch im Bereich der Organisation und Dokumentation, sowie im Rahmen der immer wichtiger werdenden DIN-ISO Normen und für Zertifizierungsprozesse erste Ansprechpartnerin. „Für das Wohl unserer Kunden sind mir offene Kommunikation sowie eine strukturierte, effiziente und gründliche Arbeitsweise wichtig.“
Wann gelten Daten als anonym?
Freilich ist das gar nicht so einfach. Wann Datensätze als anonym gelten, ist aus vielerlei Gesichtspunkten umstritten. Die DSGVO trifft keine Aussage darüber, was anonyme Daten sind. Aus Art. 4 Nr. 1 DSGVO ergibt sich, dass es für eine Identifizierung einer Person ausreicht, einer Person, die ansonsten nicht weiter bekannt ist, bestimmte Eigenschaften bzw. Informationen zuordnen zu können.
Die Anonymisierung selbst wird in der DSGVO nicht erwähnt. Ihr ist lediglich Erwägungsgrund 26 gewidmet, der bereits in der Überschrift die Aussage enthält, die DSGVO solle auf anonymisierte Daten keine Anwendung finden.
Die Sätze 3 bis 5 des Erwägungsgrunds geben Hinweise darauf, welcher Maßstab bei der Feststellung, ob Daten anonymisiert sind oder nicht, anzulegen ist. Der Streit dreht sich dabei um die Frage, welches Zusatzwissen angenommen werden kann, um von einer Identifizierbarkeit einer Person auszugehen. So kommt es darauf an, ob man durch Verknüpfung von mehreren Informationen einen Personenbezug herstellen kann oder ob eine Person durch eine Änderung des Kontexts identifizierbar wird. In der Fachwelt ist umstritten, ob ein fehlender Personenbezug bereits dann angenommen werden kann, wenn eine Herstellung nur mit illegalen Mitteln möglich wäre, sprich keine rechtliche Möglichkeit zur Identifizierung einer Person besteht. So ging jedenfalls der EuGH im Breyer-Urteil vom 19.10.2016 (Az. C-582/14) davon aus, dass Mittel zur Identifizierung dann als „vernünftigerweise“ ausgeschlossen angesehen werden können, wenn es keine rechtliche oder faktische Möglichkeit gibt, diese zu nutzen.
Letztlich wird es auf eine risikobasierte Einzelfallbetrachtung ankommen, in die Einfluss finden muss, mit welchem Risiko eine De-Anonymisierung stattfinden könnte.