Anonymisierung im Datenschutz – Chance oder Risiko-Grenzfall? Teil 2

Teil 2: Welche Verfahren, Vorteile und Risiken bergen Pseudonymisierung und Anonymisierung im Datenschutz

Welche Verfahren bei der Pseudonymisierung gibt es?

Bei der Pseudonymisierung kann der Verantwortliche über ein Rechte- und Rollenkonzept dafür sorgen, dass der pseudonymisierte Datensatz nicht mit den Identifikatoren zusammengeführt wird. So besteht eine Möglichkeit darin, die Identifikatoren zu verschlüsseln und den Schlüssel sicher zu verwalten, sodass nur Berechtigte den Datensatz entschlüsseln können.

Welche Vorteile hat Pseudonymisierung?

Die Pseudonymisierung kann als technische und organisatorische Maßnahme im Sinne von Art. 32 Abs. 1 lit. a DSGVO dazu dienen, ein angemessenes Schutzniveau bei der Datenverarbeitung herzustellen. Sie könnte unter besonderen Voraussetzungen auch als geeignete zusätzliche Maßnahme bei der Legitimierung von Exporten des pseudonymisierten Datensatzes in unsichere Drittländer dienen. Dies geht jedoch nur, wenn sichergestellt ist, dass in dem unsicheren Drittland kein Zugriff auf die Identifikatoren besteht.

Welche Verfahren gibt es zur Anonymisierung?

Bei der Anonymisierung gibt es verschiedene Verfahren, um diese zu erreichen. Datenschutzrechtlich von Bedeutung ist, dass jeder einzelne Datensatz, der aufgrund seiner Besonderheit eine Person identifizierbar macht, eliminiert wird. Wenn aus dem Datensatz auch nur eine Person identifizierbar bleibt, bleibt auch die DSGVO weiter anwendbar.

Anonymisierung kann z. B. durch „Verwässern“ der Daten geschehen. Bspw. wird statt des Alters nur noch der Geburtsjahrgang (bspw. 1986) oder ein Zeitraum (Januar bis März 1986) angegeben. Zu berücksichtigen ist dabei, für welche Zwecke der Datensatz weiterverarbeitet werden soll und ob das „Verwässern“ die Datenverarbeitung zu dem angestrebten Zweck unbrauchbar macht. Welche Verfahren zur Anonymisierung geeignet sind, hängt also nicht nur von den vorhandenen Daten, sondern auch von den weiteren Zwecken ab, zu denen die anonymisierten Daten noch verwendet werden sollen.

In der Fachliteratur gibt es auch Diskussionen, über rechtliche Vereinbarungen eine De-Anonymisierung auszuschließen. Angedacht sind dabei Vertragsklauseln, die es dem Vertragspartner verbieten, bestimmte Maßnahmen durchzuführen (bspw. Veröffentlichung der Daten, Zusammenführung mit anderen Datensätzen), die eine De-Anonymisierung ermöglichen könnten.

Braucht es eine Rechtsgrundlage für die Anonymisierung im Datenschutz?

Umstritten ist auch die Frage, ob es für den Vorgang der Anonymisierung eine Rechtsgrundlage braucht. So gibt es Argumente, dass es keine Rechtsgrundlage mehr benötigt, da das Ergebnis der Anonymisierung anonymisierte Daten sind, für welche die DSGVO nicht mehr Anwendung findet. Insbesondere mit Blick auf das Risiko einer De-Anonymisierung sollten Verantwortliche die Anonymisierung stets auf eine Rechtsgrundlage stützen. Auch sollten Verantwortliche für den Vorgang der Anonymisierung ihr datenschutzrechtliches Pflichtenheft erfüllen. Hierzu gehört im Zweifel auch die Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO, sollte die Risikoeinschätzung ergeben, dass ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt.

Auch müssen Verantwortliche Betroffene nach Art. 13, 14 DSGVO darüber informieren, dass ihre Daten anonymisiert werden. Im Ergebnis bedeutet dies: Solange Daten nicht anonymisiert sind, müssen die datenschutzrechtlichen Anforderungen eingehalten werden. Bis zur erfolgreichen Durchführung der Anonymisierung sind daher alle die verantwortlichen Unternehmen nach der DSGVO treffenden Pflichten weiter zu erfüllen.

Welche Vorteile hat die Anonymisierung?

Die Anonymisierung könnte zur Legitimierung von Drittlandexporten dienen. Da die DSGVO auf anonymisierte Daten keine Anwendung findet, stehen datenschutzrechtliche Vorgaben der Übermittlung in ein Drittland ohne angemessenes Datenschutzniveau nicht mehr entgegen. Dies gilt jedoch nur, wenn eine De-Anonymisierung in dem Drittland ausgeschlossen werden kann. Hierfür gelten hohe Hürden an das gewählte Verfahren.

Zudem kann Anonymisierung weitergehende Datenverarbeitungen ermöglichen. Wenn Daten, die ursprünglich personenbeziehbar waren, anonymisiert werden, können sie ohne weitere Beachtung der Zweckbindung verwendet werden. Dies ist insbesondere im Marketing- oder Forschungsbereich für Analysen und Auswertungen relevant.

Welche Risiken bestehen bei der Anonymisierung im Datenschutz?

Risikobehaftet ist die Anonymisierung insofern, als dass sich die künftige Entwicklung niemals abschließend bewerten lässt. So kann nie ausgeschlossen werden, dass die Technik sich nicht so weiterentwickelt, dass eine De-Anonymisierung stattfinden kann. Ab welchem Wahrscheinlichkeitsgrad davon auszugehen ist, dass eine Anonymisierung erfolgreich ist, ist weder behördlich noch gerichtlich verbindlich entschieden.  Zudem lässt sich in vielen Fällen nicht sagen, ob sich künftig weitere Datenquellen mit Zusatzinformationen finden, die eine De-Anonymisierung ermöglichen. Folgen der De-Anonymisierung sind, dass Verantwortliche datenschutzrechtliche Vorgaben wieder beachten müssen und insbesondere einer Rechtsgrundlage für eine Verarbeitung der Daten bedürfen.

Verantwortliche Unternehmen sollten sich der Risiken, die eine (fehlgeschlagene) Anonymisierung beinhaltet, bewusst sein. Wenn es sich weiter um personenbezogene, und nicht anonyme, Daten handelt, sind datenschutzrechtliche Anforderungen einzuhalten. Die De-Anonymisierung von Daten kann bei Fehlen einer Rechtsgrundlage zur Unzulässigkeit der Datenverarbeitung führen. Die Bußgeldrisiken hierfür sind hoch. Eine sorgfältige, risikobasierte Vorbereitung der Anonymisierung kann diese Risiken mindern.

Teil 1 unserer Blogartikelreihe zum Thema Anonymisierung im Datenschutz finden Sie hier.

Bei Fragen rund um das Thema Anonymisierung und Pseudonymisierung von Daten kontaktieren Sie uns gerne. Wir beraten Sie gerne mit für Sie individuell passenden Lösungen!