Anonymisierung im Datenschutz

16.10.2020

Unternehmen stehen mehr Daten denn je zur Verfügung. Aus wirtschaftlicher Sicht können diese von großem Wert sein, beispielsweise um die Entwicklung neuer Produkte oder Dienstleistungen zu unterstützen. Doch aufgepasst, sollte ein Personenbezug bestehen, greift der Datenschutz.

Im Rahmen von Erfassung von Verarbeitung personenbezogener Daten gilt das Prinzip der Datenminimierung. Es sollen ausschließlich die Daten genutzt werden, die für den jeweiligen Zweck zwingend benötigt werden. Andernfalls könnten Aufseher die Handhabung mit den Daten als Datenschutzverstoß werten und z.B. ein Bußgeld verhängen.

Erfreulicherweise existieren Lösungen, die eine ergänzende Verwendung personenbezogener Daten (z.B. im Rahmen von Big-Data Ansätzen für interne Auswertungen) ermöglichen. Hierzu zählen u.a. Anonymisierung und Pseudonymisierung

Unterscheidung zwischen Anonymisierung und Pseudonymisierung

Pseudonymisierung

Die DSGVO beschreibt in Art. 4 DSGVO die Pseudonymisierung wie folgt: „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass sich die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zuordnen lassen, ohne zusätzliche Informationen hinzuzuziehen.

Diese zusätzlichen Informationen müssen gesondert aufbewahrt werden. Außerdem sind technische und organisatorische Maßnahmen notwendig, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Bei der Pseudonymisierung werden Daten mit Personenbezug durch solche Daten ersetzt, die keine allgemeinen Rückschlüsse auf die betroffene Person mehr zulassen. Die Pseudonyme selbst lassen sich durch denjenigen, der über sämtliche Daten verfügt, jedoch wieder aufschlüsseln.

Beispiel: Ein Unternehmen verändert die Namen der Betroffenen, um diese zusammen mit weiteren Daten für eine Auftragsverarbeitung an einen externen Partner zu übermitteln. Dieser kann die Daten auswerten, jedoch selbst keine Zuordnung zu konkreten Personen zunehmen.

Anonymisierung

Die Anonymisierung reicht deutlich weiter. Personenbezogene Daten werden derart verändert, dass diese Daten nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die Veränderung der Daten geht so weit, dass keine Zuordnung zu einer Person mehr möglich ist – auch von demjenigen nicht, der die Daten einst erhoben hat.

Das Anonymisieren ist auf unterschiedlichem Wege möglich. Ein Weg besteht darin, die betroffenen Teile eines Datensatzes zu löschen. Ebenso ist es möglich, die Teile zu ersetzen. Eine andere Möglichkeit besteht darin, die Daten durch ungenauere Werte zu ersetzen und damit eine Verallgemeinerung zu erreichen.

Wer eine Anonymiserung plant, sollte umfassend prüfen, ob die vorgesehenen Maßnahmen ausreichend sind. In manchen Fällen mag dies auf den ersten Blick zwar so erscheinen, doch womöglich lässt sich ein Personenbezug dennoch herstellen. Angenommen die anonymisierten Daten sind für einen Auftragsverarbeiter bestimmt, so könnte dieser z.B. über ergänzende Daten aus einem anderen Auftrag verfügen, die eine Aufhebung der Anonymisierung ermöglichen.

Exkurs zur Verschlüsselung

In diesem Themenumfeld wird gerne der Begriff Verschlüsselung ins Spiel gebracht. Doch sie ist weder Anonymisierung und Pseudonymisierung. Vielmehr werden die Daten in einen Code verwandelt, der nur in Verbindung mit dem passenden Schlüssel lesbar/verständlich gemacht werden kann. Einen Personenbezug hebt die Verschlüsselung jedoch nicht auf, weil weil der Schlüssel dies ändern kann.

Empfehlung aus der Datenschutz-Praxis

Nach DSGVO ist die Anonymisierung als Datenverarbeitung zu erachten. Als Zweckänderung ist sie nur bei Erfüllung der Voraussetzungen gemäß Art. 6 Abs. 4 DSGVO zulässig. Ansonsten muss eine andere Rechtsgrundlage bestehen. Ist eine Anonymisierung besonderer Kategorien personenbezogener Daten vorgesehen, kann je nach Situation die Notwendigkeit einer Datenschutz-Folgeabschätzung bestehen.

Nachdem personenbezogene Daten ihren Zweck erfüllt haben, sind sie zu löschen oder im Rahmen geltender Aufbewahrungsfristen zu speichern. Weitere Reglungen zum Umgang mit der Anonymisierung sind dem BDSG §27 sowie §50 zu entnehmen. Zudem sollte bei Umsetzung einer Pseudonymisierung darauf geachtet werden, dass sie dem aktuellen „Stand der Technik“ entspricht.