Personenbezogene Daten können abseits vom primären Zweck von großem Wert sein, beispielsweise für Analysen im Marketing oder die Entwicklung neuer Produkte. Doch aufgepasst, bei personenbezogenen Daten gilt die DSGVO und damit das Prinzip der Datenminimierung. Es sollen ausschließlich die Daten genutzt werden, die für den jeweiligen Zweck zwingend benötigt werden. Andernfalls könnten Aufseher die Verarbeitung der Daten als Datenschutzverstoß werten und z.B. ein Bußgeld verhängen.
Erfreulicherweise existieren Lösungen, die eine ergänzende Verwendung personenbezogener Daten (z.B. im Rahmen von Big-Data Ansätzen für interne Auswertungen) ermöglichen. Hierzu zählen u.a. Anonymisierung und Pseudonymisierung.
Unterscheidung zwischen Anonymisierung und Pseudonymisierung
Pseudonymisierung personenbezogener Daten
Die DSGVO beschreibt in Art. 4 DSGVO die Pseudonymisierung wie folgt: „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass sich die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zuordnen lassen, ohne zusätzliche Informationen hinzuzuziehen.
Diese zusätzlichen Informationen müssen gesondert aufbewahrt werden. Außerdem sind technische und organisatorische Maßnahmen notwendig, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Bei der Pseudonymisierung werden Daten mit Personenbezug durch solche Daten ersetzt, die keine allgemeinen Rückschlüsse auf die betroffene Person mehr zulassen. Die Pseudonyme selbst lassen sich durch denjenigen, der über sämtliche Daten verfügt, jedoch wieder aufschlüsseln.
Beispiel: Ein Unternehmen verändert die Namen der Betroffenen, um diese zusammen mit weiteren Daten für eine Auftragsverarbeitung an einen externen Partner zu übermitteln. Dieser kann die Daten auswerten, jedoch selbst keine Zuordnung zu konkreten Personen zunehmen.
Anonymisierung personenbezogener Daten
Die Anonymisierung von Daten reicht deutlich weiter. Personenbezogene Daten werden derart verändert, dass sie nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die Veränderung der Daten geht so weit, dass keine Zuordnung zu einer Person mehr möglich ist – auch von demjenigen nicht, der die Daten einst erhoben hat.
Daten lassen sich auf unterschiedlichem Weg anonymisieren. Ein Weg besteht darin, die betroffenen Teile eines Datensatzes zu löschen. Ebenso ist es möglich, Teile durch ungenauere Werte zu ersetzen und damit eine Verallgemeinerung zu erreichen.
Wer eine Anonymiserung personenbezogener Daten plant, sollte umfassend prüfen, ob die vorgesehenen Maßnahmen ausreichend sind. In manchen Fällen mag dies auf den ersten Blick zwar so erscheinen, doch womöglich lässt sich ein Personenbezug dennoch herstellen. Angenommen die anonymisierten Daten sind für einen Auftragsverarbeiter bestimmt, so könnte dieser z.B. über ergänzende Daten aus einem anderen Auftrag verfügen, die eine Aufhebung der Anonymisierung ermöglichen.
Anonymisierung von Daten nur nach gründlicher Vorbereitung
Es macht einen Unterschied, ob bereits anonymisierte Daten verwendet werden oder personenbezogene Daten anonymisiert werden sollen. Letzteres – das Anonymisieren – ist eine Verarbeitung gemäß DSGVO und erfordert vorausgehende Schritte:
- Feststellung der Rechtsgrundlage
- Erfüllung der Informationspflichten gegenüber den Betroffenen
- Risikoanalyse und Datenschutz-Folgenabschätzung
Exkurs zur Verschlüsselung
In diesem Themenumfeld wird gerne der Begriff Verschlüsselung ins Spiel gebracht. Doch sie ist weder Anonymisierung und Pseudonymisierung. Vielmehr werden die Daten in einen Code verwandelt, der nur in Verbindung mit dem passenden Schlüssel lesbar/verständlich gemacht werden kann. Einen Personenbezug hebt die Verschlüsselung jedoch nicht auf, weil weil der Schlüssel dies ändern kann.
Empfehlung aus der Datenschutz-Praxis
Nach DSGVO ist die Anonymisierung als Datenverarbeitung zu erachten. Als Zweckänderung ist sie nur bei Erfüllung der Voraussetzungen gemäß Art. 6 Abs. 4 DSGVO zulässig. Ansonsten muss eine andere Rechtsgrundlage bestehen. Ist eine Anonymisierung besonderer Kategorien personenbezogener Daten vorgesehen, kann je nach Situation die Notwendigkeit einer Datenschutz-Folgeabschätzung bestehen.
Nachdem personenbezogene Daten ihren Zweck erfüllt haben, sind sie zu löschen oder im Rahmen geltender Aufbewahrungsfristen zu speichern. Weitere Reglungen zum Umgang mit der Anonymisierung sind dem BDSG §27 sowie §50 zu entnehmen. Zudem sollte bei Umsetzung einer Pseudonymisierung darauf geachtet werden, dass sie dem aktuellen „Stand der Technik“ entspricht.