Datenschutz

Datenschutz-Aufsichtsbehörden: Anonymisierung von personenbezogenen Daten

01.07.2024

Zusammenfassung

Die Datenschutz-Aufsichtsbehörden diskutieren auf europäischer Ebene weiter über die Rahmenbedingungen und Voraussetzungen der Anonymisierung personenbezogener Daten. Herr Sachs, Vizepräsident des BayLDA, gab einen Einblick in den aktuellen Diskussionsstand zu der aus seiner Sicht schwierigsten Frage im Datenschutzrecht.

5 Minuten Lesezeit

Wann genau gelten Daten als anonymisiert? Und unter welchen Voraussetzungen dürfen Unternehmen personenbezogene Daten anonymisieren? Im Rahmen eines beim ADAC in München stattfindenden IAPP KnowledgeNet zum Thema „What Makes Data Personal Data?“ berichtete unter anderem Herr Andreas Sachs, Vizepräsident des BayLDA, von dem aktuellen Diskussionsstand der Datenschutz-Aufsichtsbehörden.

Guideline des EDSA: voraussichtlich nicht mehr in diesem Jahr

Die europäischen Datenschutz-Aufsichtsbehörden im Rahmen des EDSA (Europäischer Datenschutz-Ausschuss) arbeiten seit mehreren Jahren an einer Guideline zu den grundlegenden Begrifflichkeiten der Anonymisierung. Laut Information von Herrn Sachs wird derzeit die aktuelle EuGH-Rechtsprechung in das Positionspapier eingearbeitet. Mit einer Veröffentlichung in 2024 sei nicht zu rechnen. [Anm.: auch stehen zu den zentralen Rechtsfragen noch zwei Urteile des EuGH aus, die vermutlich ebenfalls noch vor einer Publikation abgewartet werden sollen.]

Aufsichtsbehörden: relativer Personenbezug

Bislang behördenintern umstritten war die Positionierung, ob Anonymisierung unter der DSGVO bedeuten würde, dass (a) niemand die Daten re-identifizieren dürfe („absoluter Personenbezug“) oder ob (b) man ein Restrisiko der Re-Identifizierung in Kauf zu nehmen habe („relativer Personenbezug“). Herr Sachs führte aus, dass seitens der Aufsichtsbehörden nun mehrheitlich die Ansicht bestünde, dass man ein Restrisiko der Re-Identifizierung in Kauf zu nehmen habe – dies insb. im Hinblick auf Erwägungsgrund 26 der DSGVO sowie in Anbetracht der aktuellen EuGH-Rechtsprechung.

Verbleibendes Risiko darf nur gering sein

Aus Sicht der Aufsichtsbehörden relevant sei daher letztlich die Frage, wie hoch dieses verbleibende Risiko sei dürfe. Die Aufsichtsbehörden vertreten hierbei aktuell die Auffassung, dass nur ein geringes Risiko toleriert werden dürfe. Neben technischen Schutzmaßnahmen sei es auch möglich, das verbleibende Risiko durch rechtliche Garantien, zum Beispiel vertragliche Vereinbarungen, zu reduzieren. Inwieweit mögliches geheimdienstliches Wissen in die Betrachtung einer Re-Identifizierung mit einbezogen werden soll, ist derzeit noch Gegenstand von behördeninternen Gesprächen. Eine umfassende Zurechnung wird jedoch nicht erwartet.

Anonymisierung bedarf einer Rechtsgrundlage

Seitens der Aufsichtsbehörden scheint Einigkeit zu bestehen, dass die Anonymisierung eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO darstellen und daher einer Rechtsgrundlage bedürfen würde. Diese Auffassung wurde nicht von allen Teilnehmern geteilt und dürfte in Zukunft noch für vertiefende Diskussionen sorgen. Im Ergebnis bedeutet dies auch eine Abkehr der Position, dass Unternehmen anstelle der Löschung von personenbezogenen Daten auch eine Anonymisierung vornehmen dürften.

Folgt man der Auffassung, dass auch die Anonymisierung eine Verarbeitung im Sinne der DSGVO darstellt folgt daraus ebenfalls, dass die Betroffenen über den Vorgang zu informieren sind. Soweit als Rechtsgrundlage ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO herangezogen wird, ist den Betroffenen zudem ein Widerspruchsrecht einzuräumen. Zudem würde bei Anonymisierung personenbezogener Daten durch den Auftragsverarbeiter dieser zum datenschutzrechtlich Verantwortlichen.

Bedeutung gerade für Gesundheitsdaten: Diskussion um Begriff der Forschungsausnahme

Gerade im Hinblick auf Gesundheitsdaten dürfte die aufsichtsrechtliche Positionierung von hoher Relevanz sein. Mangels Rückgriffmöglichkeit auf die Verarbeitungsgrundlage des berechtigten Interesses bleibt hier nur die Möglichkeit, auf die Einwilligung der Betroffenen zu setzen oder von den sonstigen Ausnahmefallgestaltungen des Art. 9 Abs. 2 DSGVO Gebrauch zu machen, die indes stark beschränkt sind. Herr Sachs sprach in dem Zusammenhang davon, dass der Begriff der Forschung im Gesundheitsbereich deutlich breiter ausgelegt werden solle. Aufgrund der besonderen Risikosituation sei zudem bei der Anonymisierung von Gesundheitsdaten im Regelfall eine Datenschutzfolgenabschätzung erforderlich.

Herr Sachs betonte, dass die Frage von Anfang und Ende des Personenbezugs aus seiner Sicht die schwierigste Frage im Datenschutzrecht sei. Gerade für die Auslegung der neuen europäischen Digitalrechtsakte (insb. dem Data Act) im Zusammenspiel mit der DSGVO ist diese Frage indes von essentieller Bedeutung.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot