Pseudonymisierung und Anonymisierung im Datenschutz
29.10.2021
[IITR – 29.10.21] Pseudonymisierung und Anonymisierung: diese zwei Begriffe werden im Umgang mit personenbezogenen Daten immer häufiger genannt und verwendet. Doch was bedeuten sie genau und wie könnten sie für Unternehmen hilfreich sein? Zunächst einmal ist wichtig, die beiden Begrifflichkeiten nicht synonym zu verwenden, sie haben nämlich in ihrer Bedeutung einen klaren Unterschied.
Was sind Pseudonymisierung und Anonymisierung?
Wirft man einen Blick in Art. 4 Nr. 5 DSGVO, findet man eine Legaldefinition zum Begriff der Pseudonymisierung:
„[Im Sinne dieser Verordnung bezeichnet der Ausdruck] Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können (…).“
Eine solche Definition der Anonymisierung sucht man dagegen vergeblich in der Datenschutzgrundverordnung. Es hilft dagegen ein Blick in die Erwägungsgründe, genau genommen in Erwägungsgrund 26:
„Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. (…) Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“
Ist Anonymisierung eine datenschutzrechtliche Verarbeitung?
Nun stellt sich allerdings die Frage, ob eine Anonymisierung von personenbezogenen Daten einfach so möglich ist oder als solche vielleicht einer Rechtsgrundlage bedarf. Das europäische Datenschutzrecht entscheidet dies durch Klassifizierung als „Verarbeitung“. Zwar findet sich diesbezüglich keine „Anonymisierung“ in Art. 4 Nr. 2 DSGVO unter den Beispielen der „Verarbeitung“, jedoch ist diese Aufzählung keinesfalls abschließend.
So kommt der Bundesbeauftragte für Datenschutz und Informationssicherheit letztlich zu dem Ergebnis, dass Anonymisierung als Verarbeitung im Sinne dieser Regelung zu fassen sei, ohne dabei abschließend festzustellen, worunter genau die Anonymisierung nun fällt.
Durch den weiten Anwendungsbereich von einfacher kleiner „Veränderung“ bis hin zur kompletten „Löschung“ oder „Vernichtung“ ist ein solches Rechtsverständnis durchaus nachvollziehbar.
Es gibt hier allerdings auch entgegensprechende Meinungen – bspw. Frau Thiel von der Datenschutzbehörde in Niedersachsen. Und auch die Industrie nimmt hier eine andere Position ein und sieht die Anonymisierung gerade nicht als datenschutzrechtliche Verarbeitung.
“Je Verarbeitung, desto Rechtsgrundlage”
Demzufolge startet nun die Suche nach einer passenden Rechtsgrundlage. Dass eine Einwilligung gem. Art. 6 Abs. 1 a DSGVO ausreichend wäre, steht außer Frage, aber die Umsetzbarkeit in der Praxis wäre mit einem gewissen Aufwand verbunden – an dessen Ende noch dazu keine Gewissheit stünde, dass auch eingewilligt wird.
Nun könnte man auf die Idee kommen, die Anonymisierung als rechtliche Verpflichtung zu verstehen und sich somit auf die Rechtsgrundlage des Art. 6 Abs. 1 c DSGVO zu stützen. Wird beispielsweise ein Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO geltend gemacht, so könnte man in Erwägung ziehen, statt zu löschen, zu anonymisieren. Dafür müsste einem solchen Ersuchen auch auf diesem Wege nachzukommen sein.
Hintergrund der Etablierung eines Recht auf Löschung personenbezogener Daten ist es, den Betroffenen die Möglichkeit zu geben, zu entscheiden, dass gewisse Daten mit Personenbezug nicht mehr zur Verfügung stehen („Recht auf Vergessenwerden“). Dieses Ziel kann aber durchaus auch auf dem Wege der Anonymisierung erreicht werden, denn wenn ein Personenbezug eindeutig ausgeschlossen wird, können mit dem Datensatz keinerlei Rückschlüsse mehr auf den Betroffenen gezogen werden. Für einen solchen Fall läge also eine Rechtsgrundlage vor.
Wie sähe es aber in Fällen aus, in denen man eine weitere Aufbewahrung personenbezogener Daten nicht mehr guten Gewissens rechtfertigen kann und somit eigentlich löschen müsste? Hier lohnt sich nun ein Blick auf Art. 5 Abs. 1 e DSGVO, so erkennt man, dass der Gesetzgeber die strikte Löschung in solchen Fällen gar nicht zur einzig logischen Folge erklärt hat:
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“
Auf die Identifizierbarkeit kommt es also an, die bei einer erfolgreichen Anonymisierung eben nicht mehr gegeben wäre.
Nun kommt auch eine Rechtsgrundlage nach Art. 6 Abs. 1 f DSGVO in Betracht. Dafür müsste ein überwiegendes Interesse begründet vorliegen, das die Interessen der betroffenen Person überwiegt. Dabei gilt: Je geringer der Eingriff, desto niedriger die Anforderungen an eigene Interessen. Bei der Anonymisierung ist der Eingriff sogar im Sinne des Betroffenen, denn sobald dieser Prozess erfolgreich abgeschlossen wurde, ist ein Rückschluss auf eben jenen Betroffenen nicht mehr möglich. Somit ist ein gewisses Interesse an den anonymen Daten ausreichend.
Grundsatz der Zweckbindung
Nach Art. 5 Abs. 1 b DSGVO gilt der Grundsatz, dass Daten nur zweckgebunden verarbeitet werden dürften. Dies wird in Art. 6 Abs. 4 DSGVO konkretisiert:
„Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden (…) so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist (…).“
Unter anderem sollen „die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person“ berücksichtigt werden und mit Blick auf die oben dargestellten Folgen lässt sich eine Anonymisierung grundsätzlich mit jedem ursprünglichen Zweck vereinbaren, denn zusätzlicher Schutz der Betroffenen ist ein Ergebnis der Bemühungen.
„How do we ensure anonymisation is effective?“
Zu diesem Punkt schweigt die Datenschutzgrundverordnung, lediglich der Erwägungsgrund 26 steckt in seinen Sätzen 3 und 4 einen groben Rahmen ab:
„Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“
Dieser äußerst vage Versuch, Anforderungen der potenziellen Identifizierbarkeit aufzuzeigen, ist auf praktischer Ebene leider wenig hilfreich. Hierfür lohnt sich vielmehr ein Blick über den Ärmelkanal, denn im Vereinigten Königreich hat man im Oktober diesen Jahres ein Positionspapier zu diesem Thema veröffentlicht:
- „What should our anonyisation process seek to achieve?“
Grundlage jeglicher Anstrengung sei es, jegliche Identifizierung auszuschließen. Dies müsse Fokus der Anstrengungen sein und nicht das Entfernen bestimmter Informationen selbst. - „What are the key indicators of identifiability?“
Die Identifizierbarkeit angesichts des weit gefassten Begriffs der „personenbezogenen Daten“ auf bestimmte Indikatoren zu reduzieren, sei herausfordernd. Zu berücksichtigen seien hinsichtlich einer erfolgreichen Anonymisierung Aspekte der Aussonderung („singling out“), Verknüpfbarkeit („linkability“) und mögliche Rückschlüsse („inferences“). Darunter verstünde man zunächst die Möglichkeit, Datensätze mit verschiedenem Personenbezug überhaupt trennen zu können. In einem nächsten Schritt sei zu eruieren, ob die Datensätze einer einzelnen Person vollständig verknüpft werden könnten. Zu guter Letzt ist festzustellen, ob anhand der anonymisierten Datensätze Rückschlüsse oder Schlussfolgerungen getroffen werden können, anhand derer es wahrscheinlich wäre, die Daten wiederum einer bestimmten Person zuzuorden. - „How should we approach this assessment?“
Im Zuge eines Anonymisierungsverfahrens sei prinzipiell zu überlegen, ob es zusätzliche Informationen oder Techniken gäbe, die eine Identifizierung ermöglichen könnten. So bestünde immer die Gefahr, dass einem eigentlich anonymisierten Datensatz durch Ergänzung von Informationen letztlich wieder Personenbezug zukäme.
„Effective anonymisation is about finding the right balance between managing this risk while keeping the utility of data. It may not be possible to determine with absolute certainty that no individual will ever be identifiable as result oft he disclosure of anonymous information. However, you can adopt a certain amount of pragmatism.“
Ein Blick über den europäischen Tellerrand
In Singapur hat die pdpc (Personal Data Protection Commsission) schon bereits 2018 versucht, Anonymisierung im „Guide to basic data anonymisation techniques“ in praxisnahe Konzepte zu überführen. Auch hier ist wie schon im Vereinigten Königreich die Risikobeurteilung einer „Re-identification“ zentrales Element einer erfolgreichen Anonymisierung.
Zu einem ähnlichen Ergebnis kam 2016 der Information and Privacy Commissioner of Ontario in seinen veröffentlichten „De-Identification Guidelines for Structured Data“. So sei ein „De-Identifzierungs“-Prozess umso erfolgreicher, je niedriger das Risiko einer erneuten Identifizierung ist.
Weitere zwei Jahre zuvor, nämlich 2014 veröffentlichte das Office of the Privacy Commissioner for Personal Data in Hong Kong die „Guidance on Personal Data Erasure and Anonymisation“. So sei ein einfaches Entfernen von Name, Adresse und solch klassischen Identifikatoren keinesfalls ausreichend, sondern es gehe wiederum um die möglichen Hürden einer erneuten Identifizierung. Es sei beispielsweise bei kleinen Gruppen sehr leicht möglich, entsprechende Rückschlüsse zu ziehen. Dieses Risiko sei wiederum abzuwägen.
Fazit
Die Erkenntnis aus den verschiedenen Ländern ist eindeutig: Erfolgreiche Anonymisierung ist größtenteils Risikomanagement. Dass eine Anonymisierung eine Identifikation endgültig ausschlösse, ist dagegen ein Mythos – wie auch die spanische Datenschutzaufsichtsbehörde aepd (agencia espanola proteccion datos) in ihren „10 misunderstandings related to Anonymisation“ festhielt.
Für 2022 erwartet man ein Positionspapier des European Data Protection Boards zu diesem Thema. Wünschenswert wären klare Anforderungen hinsichtlich der Regelungen der Datenschutzgrundverordnung an ein erfolgreiches Risk-Assessment und somit für erfolgreiche Anonymisierungsprozesse.
Dr. Hartmut Voelskow
Meiner Meinung nach ist das ziemlicher Formalismus, ob die Anonymisierung ein Verarbeitungsvorgang ist, oder nicht. Wenn man überlegt, was in der Praxis gemacht wird:
Nimmt man Datensätze in einer Datenbank, deren Aufbewahrungszeit abgelaufen ist und entfernt zur Anonymisierung die Merkmale, die Personenbezug ermöglichen, dann ist es aus technischer Sicht ein Verarbeitungsvorgang. Schließlich hat man den ehemals personenbezogenen Datensatz elektronisch verändert. Dieser Fall aber macht überhaupt kein Problem, denn darauf kann man entsprechend in den Informationen gem. Artt. 13+14 DSGVO hinweisen, z.B. "wird nach ... gelöscht oder anonymisiert" (mit kleiner Erklärung der Folgen einer Anonymisierung, damit es jeder datenschutzunkundige Leser auch versteht).
Wo die Frage problematischer wird wegen der oft nahezu unmöglichen Information der Betroffenen ist der Übergang anonymer Datenbestände in Forschungsauswertungen oder Statistiken. Nicht in jedem Fall ist schon von Beginn an bekannt, was es später für einen anonymen Verwendungsbedarf gibt und daher ist nicht immer eine klare Information von vornherein möglich. Eine sehr allgemeine Information zu dieser eventuell gegebenen Möglichkeit wird im medizinischen Bereich nun oft in die Artt.13+14-Info aufgenommen. Diese könnte aber wegen der nicht konkreten Angaben als nicht ausreichend gewertet werden, wenn man das als Verarbeitungsvorgang voll dem Datenschutzrecht unterwirft.
Rein technisch gesehen ist der Ablauf aber kein Verarbeitungsvorgang von personenbezogenen Daten. Grund: Aus der Datenbank mit personenbezogenen Daten werden ausschließlich anonyme Daten in eine neue Anwendung exportiert. Die Daten, die Personenbezug ermöglichen, werden von vornherein weggelassen. Somit ist diese neue Anwendung von Beginn an anonym (vorausgesetzt, die im Beitrag zuvor genannten Vorsichtsmaßnahmen bei kleinen Datengruppen wurden beachtet).
Der Vorgang selbst ist also technisch gesehen keine Verarbeitung personenbezogener Daten, sondern gezielt nur das Herausnehmen anonymer Daten aus dem Gesamtpool. Dabei werden schließlich keine Daten gelöscht, die Personenbezug ermöglichen, was dem Vorgang "Anonymisierung" entsprechen würde.
Das ist jetzt auch eine sehr formelle Betrachtung, aber des genauen technischen Vorgangs, und genau dieser ist es doch, den man nach den Forderungen der Behörden für eine Bewertung zum Datenschutz immer sehr genau ansehen soll.
Ich hoffe, diese Darstellung ist provozierend genug, dass sie weitere Meinungsäußerungen dazu veranlasst.