Datenschutz-Aufsichtsbehörden: Anonymisierung von personenbezogenen Daten
01.07.2024
Zusammenfassung
Die Datenschutz-Aufsichtsbehörden diskutieren auf europäischer Ebene weiter über die Rahmenbedingungen und Voraussetzungen der Anonymisierung personenbezogener Daten. Herr Sachs, Vizepräsident des BayLDA, gab einen Einblick in den aktuellen Diskussionsstand zu der aus seiner Sicht schwierigsten Frage im Datenschutzrecht.
5 Minuten Lesezeit
Wann genau gelten Daten als anonymisiert? Und unter welchen Voraussetzungen dürfen Unternehmen personenbezogene Daten anonymisieren? Im Rahmen eines beim ADAC in München stattfindenden IAPP KnowledgeNet zum Thema „What Makes Data Personal Data?“ berichtete unter anderem Herr Andreas Sachs, Vizepräsident des BayLDA, von dem aktuellen Diskussionsstand der Datenschutz-Aufsichtsbehörden.
Guideline des EDSA: voraussichtlich nicht mehr in diesem Jahr
Die europäischen Datenschutz-Aufsichtsbehörden im Rahmen des EDSA (Europäischer Datenschutz-Ausschuss) arbeiten seit mehreren Jahren an einer Guideline zu den grundlegenden Begrifflichkeiten der Anonymisierung. Laut Information von Herrn Sachs wird derzeit die aktuelle EuGH-Rechtsprechung in das Positionspapier eingearbeitet. Mit einer Veröffentlichung in 2024 sei nicht zu rechnen. [Anm.: auch stehen zu den zentralen Rechtsfragen noch zwei Urteile des EuGH aus, die vermutlich ebenfalls noch vor einer Publikation abgewartet werden sollen.]
Aufsichtsbehörden: relativer Personenbezug
Bislang behördenintern umstritten war die Positionierung, ob Anonymisierung unter der DSGVO bedeuten würde, dass (a) niemand die Daten re-identifizieren dürfe („absoluter Personenbezug“) oder ob (b) man ein Restrisiko der Re-Identifizierung in Kauf zu nehmen habe („relativer Personenbezug“). Herr Sachs führte aus, dass seitens der Aufsichtsbehörden nun mehrheitlich die Ansicht bestünde, dass man ein Restrisiko der Re-Identifizierung in Kauf zu nehmen habe – dies insb. im Hinblick auf Erwägungsgrund 26 der DSGVO sowie in Anbetracht der aktuellen EuGH-Rechtsprechung.
Verbleibendes Risiko darf nur gering sein
Aus Sicht der Aufsichtsbehörden relevant sei daher letztlich die Frage, wie hoch dieses verbleibende Risiko sei dürfe. Die Aufsichtsbehörden vertreten hierbei aktuell die Auffassung, dass nur ein geringes Risiko toleriert werden dürfe. Neben technischen Schutzmaßnahmen sei es auch möglich, das verbleibende Risiko durch rechtliche Garantien, zum Beispiel vertragliche Vereinbarungen, zu reduzieren. Inwieweit mögliches geheimdienstliches Wissen in die Betrachtung einer Re-Identifizierung mit einbezogen werden soll, ist derzeit noch Gegenstand von behördeninternen Gesprächen. Eine umfassende Zurechnung wird jedoch nicht erwartet.
Anonymisierung bedarf einer Rechtsgrundlage
Seitens der Aufsichtsbehörden scheint Einigkeit zu bestehen, dass die Anonymisierung eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO darstellen und daher einer Rechtsgrundlage bedürfen würde. Diese Auffassung wurde nicht von allen Teilnehmern geteilt und dürfte in Zukunft noch für vertiefende Diskussionen sorgen. Im Ergebnis bedeutet dies auch eine Abkehr der Position, dass Unternehmen anstelle der Löschung von personenbezogenen Daten auch eine Anonymisierung vornehmen dürften.
Folgt man der Auffassung, dass auch die Anonymisierung eine Verarbeitung im Sinne der DSGVO darstellt folgt daraus ebenfalls, dass die Betroffenen über den Vorgang zu informieren sind. Soweit als Rechtsgrundlage ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO herangezogen wird, ist den Betroffenen zudem ein Widerspruchsrecht einzuräumen. Zudem würde bei Anonymisierung personenbezogener Daten durch den Auftragsverarbeiter dieser zum datenschutzrechtlich Verantwortlichen.
Bedeutung gerade für Gesundheitsdaten: Diskussion um Begriff der Forschungsausnahme
Gerade im Hinblick auf Gesundheitsdaten dürfte die aufsichtsrechtliche Positionierung von hoher Relevanz sein. Mangels Rückgriffmöglichkeit auf die Verarbeitungsgrundlage des berechtigten Interesses bleibt hier nur die Möglichkeit, auf die Einwilligung der Betroffenen zu setzen oder von den sonstigen Ausnahmefallgestaltungen des Art. 9 Abs. 2 DSGVO Gebrauch zu machen, die indes stark beschränkt sind. Herr Sachs sprach in dem Zusammenhang davon, dass der Begriff der Forschung im Gesundheitsbereich deutlich breiter ausgelegt werden solle. Aufgrund der besonderen Risikosituation sei zudem bei der Anonymisierung von Gesundheitsdaten im Regelfall eine Datenschutzfolgenabschätzung erforderlich.
Herr Sachs betonte, dass die Frage von Anfang und Ende des Personenbezugs aus seiner Sicht die schwierigste Frage im Datenschutzrecht sei. Gerade für die Auslegung der neuen europäischen Digitalrechtsakte (insb. dem Data Act) im Zusammenspiel mit der DSGVO ist diese Frage indes von essentieller Bedeutung.
