Anonymisierung im Datenschutz – Chance oder Risiko-Grenzfall? Teil 1

Freilich ist das gar nicht so einfach. Wann Datensätze als anonym gelten, ist aus vielerlei Gesichtspunkten umstritten. Die DSGVO trifft keine Aussage darüber, was anonyme Daten sind. Aus Art. 4 Nr. 1 DSGVO ergibt sich, dass es für eine Identifizierung einer Person ausreicht, einer Person, die ansonsten nicht weiter bekannt ist, bestimmte Eigenschaften bzw. Informationen zuordnen zu können.

Die Anonymisierung selbst wird in der DSGVO nicht erwähnt. Ihr ist lediglich Erwägungsgrund 26 gewidmet, der bereits in der Überschrift die Aussage enthält, die DSGVO solle auf anonymisierte Daten keine Anwendung finden.

Die Sätze 3 bis 5 des Erwägungsgrunds geben Hinweise darauf, welcher Maßstab bei der Feststellung, ob Daten anonymisiert sind oder nicht, anzulegen ist. Der Streit dreht sich dabei um die Frage, welches Zusatzwissen angenommen werden kann, um von einer Identifizierbarkeit einer Person auszugehen. So kommt es darauf an, ob man durch Verknüpfung von mehreren Informationen einen Personenbezug herstellen kann oder ob eine Person durch eine Änderung des Kontexts identifizierbar wird. In der Fachwelt ist umstritten, ob ein fehlender Personenbezug bereits dann angenommen werden kann, wenn eine Herstellung nur mit illegalen Mitteln möglich wäre, sprich keine rechtliche Möglichkeit zur Identifizierung einer Person besteht. So ging jedenfalls der EuGH im Breyer-Urteil vom 19.10.2016 (Az. C-582/14) davon aus, dass Mittel zur Identifizierung dann als „vernünftigerweise“ ausgeschlossen angesehen werden können, wenn es keine rechtliche oder faktische Möglichkeit gibt, diese zu nutzen.

Letztlich wird es auf eine risikobasierte Einzelfallbetrachtung ankommen, in die Einfluss finden muss, mit welchem Risiko eine De-Anonymisierung stattfinden könnte.

Die Pseudonymisierung ist, anders als die Anonymisierung, in der DSGVO direkt geregelt, nämlich in Art. 4 Nr. 5. Im Wesentlichen geht es bei der Pseudonymisierung darum, Datensätze so aufzuteilen und aufzubewahren, dass ohne Zusammenführung der Datensätze kein Personenbezug hergestellt werden kann. Der Personenbezug bleibt damit grundsätzlich erhalten, seine Herstellung ist jedoch durch die getrennte Datenhaltung im besten Falle nur befugten Personen möglich. Die Identifizierung von Betroffenen im Datensatz ist also nur mit zusätzlichen Informationen, sog. Identifikatoren, möglich. Voraussetzung für die Pseudonymisierung ist, dass Identifikatoren vom Datensatz getrennt aufbewahrt werden. Die Pseudonymisierung ist in Art. 32 Abs. 1 lit. a DSGVO als Maßnahme zum Schutz personenbezogener Daten aufgelistet. Die Pseudonymisierung führt jedoch, anders als die Anonymisierung, nicht dazu, dass der Personenbezug entfällt. Daher bleibt die DSGVO auch auf pseudonymisierte Daten grundsätzlich anwendbar.

Mehr zum Thema Pseudonymisierung und Anonymisierung lesen Sie demnächst in Teil 2.

Falls Sie Fragen rund um das Thema Datenschutz oder zu anderen datenschutzrechtlichen Themen haben, kontaktieren Sie uns einfach!