Anonymisierung personenbezogener Daten by Bundesverband der Deutschen Industrie e.V.

LEITFADEN | RECHT | DATENSCHUTZRECHT

Anonymisierung personenbezogener Daten Ein branchenübergreifender Praxisleitfaden für Industrieunternehmen

Digitale Version Einfach den QR-Code mit dem Smartphone oder Tablet einscannen, und die digitale Version รถffnen. www.bdi.eu/publikation/news/anonymisierung-personenbezogener-daten

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Inhaltsverzeichnis

Inhaltsverzeichnis Vorwort .................................................................................................................................................................................... 5 1. Einleitung ......................................................................................................................................................................... 6 2. Die „Anonymisierung“ personenbezogener Daten im Überblick .......................................................... 8 3. Begriffsdefinitionen ..................................................................................................................................................... 9 3.1 Personenbezogene Daten ................................................................................................................................... 9 3.2 Verarbeitung personenbezogener Daten ...................................................................................................... 9 3.3 Begriffsdiversität „Anonymisierung“ .................................................................................................................. 10 3.3.1 Faktische Anonymisierung .................................................................................................................. 10 3.3.2 Absolute Anonymisierung .................................................................................................................... 10 3.3.3 Formale Anonymisierung ..................................................................................................................... 11 3.3.4 Stand der Technik ................................................................................................................................... 11 3.4 .De-Identifizierung ................................................................................................................................................. 12 3.5 .Re-Identifizierung ................................................................................................................................................. 12 3.6 .Pseudonymisierung und Abgrenzung von der faktischen Anonymisierung ................................... 12 4. Rechtsfolgen einer wirksamen Anonymisierung ........................................................................................ 13 5. Wirksame Anonymisierung – rechtlicher Rahmen ..................................................................................... 14 5.1 Anforderungen der DSGVO .............................................................................................................................. 14 5.2 Objektive Faktoren für die Bemessung einer ausreichenden faktischen Anonymisierung ....... 14 5.3 Mögliche Stufen von De-Identifizierungsmaßnahmen ............................................................................ 17 5.4 Löschung des Originaldatensatzes ................................................................................................................ 18 6. Technische Anforderungen an eine wirksame faktische Anonymisierung ..................................... 20 6.1 De-Identifizierungstechniken im Überblick ................................................................................................ 20 6.1.1 Entfernen der Identifier ......................................................................................................................... 20 6.1.2 Randomisierung ...................................................................................................................................... 20 6.1.3 Generalisierung/Aggregation .............................................................................................................. 23 6.2 Formalisierte Anonymisierungskriterien ....................................................................................................... 24 6.2.1 Differential Privacy .................................................................................................................................. 24 6.2.2 k-Anonymität ............................................................................................................................................ 25 6.2.3 l-Diversität und t-Closeness ............................................................................................................... 26 6.3 Wirksamkeit der Anonymisierung ................................................................................................................... 26 6.4 Auswahl der Anonymisierungsmethode ....................................................................................................... 28 6.4.1 Um welche Art von Datensätzen handelt es sich? ..................................................................... 28

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Inhaltsverzeichnis

6.4.2 Für welchen Use Case werden die Daten anonymisiert? ......................................................... 28 6.4.3 Stufen der Anonymisierung ................................................................................................................. 28 6.4.4 Überprüfung .............................................................................................................................................. 28 6.5 Regelmäßige Überprüfung der Anonymisierungsmethode ................................................................... 29 7. Organisatorische Umsetzung der faktischen Anonymisierung durch Dritte ................................. 30 7.1 Organisatorische Maßnahmen ......................................................................................................................... 30 7.2 Datenschutzrechtliche Verantwortlichkeit des Dritten ........................................................................... 30 7.2.1 Auftragsverarbeiter ................................................................................................................................. 30 7.2.2 Gemeinsame Verantwortlichkeit ........................................................................................................ 31 7.2.3 (Getrennt) Verantwortliche ................................................................................................................... 31 7.3 Besonderheiten bei der De-Identifizierung innerhalb des Konzerns/eines Unternehmensverbunds ............................................................................................................... 31 8. Rechtmäßigkeit von De-Identifizierungsmaßnahmen ........................................................................................ 32 8.1 .Zulässigkeit von De-Identifizierungsmaßnahmen im Falle einer „Zweckänderung“ .................... 33 8.2 Prüfpflichten hinsichtlich der Rechtmäßigkeit der (Erst-)Erhebungen .............................................. 34 9. Weitere datenschutzrechtliche Anforderungen im Hinblick auf eine faktische .Anonymisierung .......................................................................................................................................................... 35 9.1 Informationspflichten nach Art. 13, 14 DSGVO ......................................................................................... 35 9.2 Dokumentation ...................................................................................................................................................... 36 9.3 .Datenschutz-Folgenabschätzung ................................................................................................................. 37 Impressum ........................................................................................................................................................................... 38

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Vorwort

Vorwort Die Bedeutung von Daten für die digitale Transformation der deutschen Industrie rückt immer mehr in das Zentrum der digitalpolitischen Diskussion. In ihrer europäischen Datenstrategie schafft die EU-Kommission Rahmenbedingungen für den Aufbau eines echten EU-Binnenmarkts für Daten auf Basis europäischer Werte und Standards, womit insbesondere das hohe Datenschutzniveau in Europa angesprochen ist. Um die nationale und europäische Datenwirtschaft bei einem hohen Anspruch an das Datenschutzniveau zu einem Erfolgsmodell auszugestalten, muss Europa jetzt schnellstmöglich praxistaugliche Lösungen für die Nutzung anonymisierter Daten finden. Schließlich bergen anonymisierte Daten ein großes Potenzial für wirtschaftliche Wertschöpfungsprozesse, wenn sie mit statistischen und analytischen Methoden erschlossen werden. Abstriche am gebotenen Datenschutzniveau sind dafür nicht erforderlich. Viele Industrieunternehmen stehen unter dem immer schärferen, auch internationalen Wettbewerbsdruck einer datenbasierenden Optimierung ihrer Produktions- und Geschäftsprozesse. Für die Entwicklung digitaler Geschäftsmodelle sind sie auf die Nutzung anonymisierter Daten angewiesen. In Ermangelung eines hinreichend ausdifferenzierten rechtlichen Rahmens und angesichts fehlender technischer Standards gestaltet sich dies in der Praxis aber schwierig. Die Beantwortung der Frage, auf welche Art und Weise eine DSGVO-konforme Anonymisierung personenbezogener Daten erfolgen kann, bleibt angesichts der teils uneinheitlichen Auslegung durch Datenschutzbehörden und der exorbitanten Bußgelder bei einem möglichen Datenschutzverstoß ein riskantes Unterfangen. Nicht selten schrecken Unternehmen daher im Zweifel vor der effizienten Nutzung anonymisierter Daten zurück. Die Sorge um die Verletzung datenschutzrechtlicher Bestimmungen darf Unternehmen nicht weiter von der Entwicklung digitaler Geschäftsmodelle abhalten. Europa muss das Tempo bei dem rechtssicheren Umgang mit Daten deutlich erhöhen, wenn es den Rückstand bei der Digitalisierung und der dafür erforderlichen Datennutzung ernsthaft aufholen will. Dieser branchenübergreifende Leitfaden soll für Unternehmen einige grundsätzliche Fragestellungen klären. Best practice- Beispiele aus der Industrie liefern zusätzlich eine Orientierung, auf welche Art und Weise eine möglichst rechtssichere Anonymisierung personenbezogener Daten erfolgen kann. Wir freuen uns, wenn dieser Leitfaden in der Praxis einen Beitrag zur besseren Nutzung anonymisierter Daten leisten kann.

Iris Plöger

Dr. Bertram Burtscher

Mitglied der Hauptgeschäftsführung Bundesverband der Deutschen Industrie e. V.

Partner, Leiter der Sektorgruppe TMT (Wien) Freshfields Bruckhaus Deringer LLP

Einleitung

Die datenschutzrechtlichen Anforderungen der DSGVO und des BDSG gelten für „personenbezogene Daten“, d.h. Informationen, die sich direkt oder indirekt auf natürliche Personen beziehen. Die Verarbeitung von personenbezogenen Daten ist nur beim Vorliegen eines Rechtfertigungsgrunds zulässig. Außerdem sehen die datenschutzrechtlichen Vorschriften weitere Pflichten des Verarbeiters vor, welche zum Beispiel die Grundsätze der Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung, Integrität und Rechenschaftspflicht sicherstellen sollen. Daher sind nicht sämtliche Analysen oder sonstige Nutzungen von personenbezogenen Daten, die für digitale Innovation oder sonstige wirtschaftliche Anwendungen sinnvoll oder erforderlich sind, datenschutzrechtlich zulässig.

hierbei aus juristischer Sicht allenfalls um eine (schwache) Pseudonymisierung handelt.1

Bei genauer Betrachtung ist es in vielen Fällen jedoch nicht erforderlich, Daten mit Personenbezug zu verwenden. Sofern die Daten auch ohne Informationen zu bestimmten oder bestimmbaren natürlichen Personen für den Verantwortlichen oder auch Dritte „wertvoll“ sind, besteht mithilfe der Anonymisierung die Möglichkeit, diese Daten zu nutzen, ohne den strengen datenschutzrechtlichen Vorgaben zu unterliegen. Eine große Herausforderung besteht darin, dass es bislang kaum konkrete Vorgaben gibt, die darlegen, unter welchen Umständen Daten im Zeitalter von Big Data tatsächlich anonym sind. Insbesondere wird der Begriff „Anonymisierung“ in der Praxis sehr uneinheitlich verwendet. Beispielsweise spricht man bei der Ersetzung von Namen durch Anfangsbuchstaben in Gerichtsentscheidungen von „Anonymisierung“, obwohl es sich

Dieser Leitfaden kann einen Rechtsrat in konkreten Fällen nicht ersetzen und auch nicht alle Fragestellungen in diesem Zusammenhang abdecken. Es handelt sich bei diesem Leitfaden außerdem ausdrücklich nicht um eine technische Anleitung zur konkreten Umsetzung von Anonymisierungsmaßnahmen. Die Herausgeber und Autoren übernehmen für den Inhalt dieses Leitfadens keine Haftung.

Dieser Leitfaden richtet sich an Unternehmen der Privatwirtschaft und soll einen Überblick über die datenschutzrechtlichen Rahmenbedingungen möglicher Anonymisierungsmaßnahmen geben. Für die öffentliche Verwaltung und insbesondere Strafverfolgungsbehörden können weitere Vorgaben gelten, die nicht Gegenstand dieses Leitfadens sind. Sektorspezifische Besonderheiten (beispielsweise für Finanzinstitutionen, Telekommunikationsdienste oder die Gesundheits-, Pharma- oder Automobilbranche etc.) werden in diesem Leitfaden nicht vertieft, da hierfür ggf. weitere Rahmenbedingungen zu berücksichtigen sind.

In einer immer stärker digitalisierten Gesellschaft sind Daten von immenser Bedeutung. So sieht auch die Datenstrategie der Europäischen Kommission vom Februar 2020 enorme Vorteile von Big Data für die europäischen Bürgerinnen und Bürger, insbesondere im 1

Vgl. etwa VG Berlin, Beschluss vom 27.2.2020 – 27 L 43/20, ZD 2020, 324.

Bereich der Mobilität. Durch Schaffung eines gemeinsamen Binnenmarktes für Daten sollen diese zum Nutzen von Unternehmen, Forschern und öffentlicher Verwaltung weitergegeben werden können.2 Unternehmen stellt dieser Wandel jedoch vor wachsende Herausforderungen: Digitale Innovation voranzutreiben und dabei zugleich die komplexen Anforderungen an den Schutz personenbezogener Daten einzuhalten, stellt auch zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung (DSGVO), ergänzt durch die Vorschriften des Bundesdatenschutzgesetzes (BDSG), für Wirtschaftsunternehmen aller Branchen eine Herausforderung dar, dies nicht zuletzt wegen des Mangels an verbindlichen Orientierungshilfen bei der praktischen Umsetzung der teilweise neuen und rigoros sanktionierten rechtlichen Vorgaben. Vor diesem Hintergrund besteht ein enormes Interesse der Industrie, Daten zu anonymisieren, um den Anwendungsbereich der datenschutzrechtlichen Vorgaben wirksam auszuschließen und damit datenbasierende Wertschöpfung zu erschließen. Dieser Leitfaden unterstützt Unternehmen bei der Bewältigung dieser Aufgabe. Er bietet Entscheidungsträgern und

Spezialisten in den mit datenschutzrechtlichen Fragen betrauten Unternehmensbereichen wie IT, Recht, Compliance und Datenschutz einen schnellen Zugang zum Konzept der „Anonymisierung“ und unternimmt es, unter Berücksichtigung konkreter Lösungsstrategien aus einem breiten Spektrum der Industrie einen Weg in Richtung von best practices zur Umsetzung der Einhaltung der rechtlichen Anforderungen an eine wirksame Anonymisierung zu skizzieren. Die datenschutzrechtlichen Anforderungen der DSGVO und des BDSG gelten für „personenbezogene Daten“, d.h. Informationen, die sich direkt oder indirekt auf natürliche Personen beziehen. Die Verarbeitung von personenbezogenen Daten ist nur beim Vorliegen eines Rechtfertigungsgrunds zulässig. Außerdem sehen die datenschutzrechtlichen Vorschriften weitere Pflichten des Verarbeiters vor, welche zum Beispiel die Grundsätze der Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung, Integrität und Rechenschaftspflicht sicherstellen sollen. Daher sind nicht sämtliche Analysen oder sonstige Nutzungen von personenbezogenen Daten, die für digitale Innovation oder sonstige wirtschaftliche Anwendungen sinnvoll oder erforderlich sind, datenschutzrechtlich zulässig.

Europäische Datenstrategie – Die EU zum Vorbild für eine digitale Gesellschaft, abrufbar unter https://ec.europa.eu/info/strategy/ priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de.

Die „Anonymisierung“ personenbezogener Daten im Überblick

Die Vorschriften des Datenschutzrechts in der Europäischen Union (EU) und in Deutschland stellen an die Verarbeitung personenbezogener Daten bestimmte Anforderungen. Insbesondere steht die Verarbeitung personenbezogener Daten unter einem Erlaubnisvorbehalt, d.h. es bedarf stets einer Rechtsgrundlage für jede Form der Verarbeitung (vgl. Art. 6 und 9 DSGVO). Hinzu treten weitere datenschutzrechtliche Pflichten, wie zum Beispiel die Pflichten zur Erfüllung von Informations- und Betroffenenrechten (vgl. Art. 12 bis 23 DSGVO) sowie zum Schutz personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen (vgl. Art. 32 DSGVO). Daten, die keinen Personenbezug aufweisen (zum Begriff der personenbezogenen Daten siehe 3.1), sind dem sachlichen Anwendungsbereich der DSGVO (vgl. Art. 2 Abs. 1 DSGVO) entzogen. Wenn personenbezogene Daten derart anonymisiert werden, dass sie den Personenbezug „verlieren“, sind die datenschutzrechtlichen Vorschriften nicht weiter anwendbar

(vgl. Erwägungsgrund Nr. 26 DSGVO). Anonymisierung meint also nichts anderes als das (schrittweise) Entfernen des Personenbezugs – dieser Prozess wird in diesem Leitfaden als „De-Identifizierung“ von Daten beschrieben (siehe 3.4) –, bis ein ausreichender Grad der De-Identifizierung vorliegt (faktische-Anonymisierung, siehe 3.3.1). Diese Anonymisierung im Sinne der DSGVO ist abzugrenzen von anderen Formen der Reduktion des Personenbezugs bzw. der Erschwerung der Re-Identifizierbarkeit, die jedoch für sich genommen nicht zu einer ausreichenden Entfernung des Personenbezugs führen. Zu diesen Maßnahmen gehört insbesondere die „Pseudonymisierung“. Bei einer Pseudonymisierung bleibt die Zuordnung einer Information zu einer natürlichen Person mittels Hinzuziehung bestimmter weiterer Informationen möglich und es liegt daher weiterhin ein Personenbezug vor, sodass auch die datenschutzrechtlichen Vorschriften weiterhin anwendbar sind (siehe zur Abgrenzung 3.6).

Begriffsdefinitionen In der rechtlichen und technischen Literatur werden die Begriffe rund um die Anonymisierung uneinheitlich verwendet, was die Rechtsunsicherheit im Hinblick auf eine DSGVO-konforme Anonymisierung noch verstärkt. Nachfolgend werden die wichtigsten Begriffe definiert und anschließend im Rahmen dieses Leitfadens nur in diesem Sinne verwendet.

3.1 Personenbezogene Daten Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (vgl. Art. 4 Nr. 1 DSGVO). Für die Identifizierbarkeit ist maßgeblich, ob die Information einer natürlichen Person direkt oder indirekt, etwa mittels einer Kennung (nachfolgend: Identifier) wie Name, Nummer, Standort oder anderer Merkmale zugeordnet werden kann. Wenn Daten nach Entfernen eines bestimmten Identifiers (zum Beispiel eines Namens) durch weitere Identifier (zum Beispiel eines Jobtitels und Unternehmen, wenn es diese Position nur einmal im Unternehmen gibt) oder unter Hinzuziehung sonstiger zusätzlicher Informationen (zum Beispiel einer IP-Adresse und Informationen zur Identität des dahinterstehenden Nutzers durch den Provider) einer natürlichen Person zugeordnet werden können, sind diese Daten weiterhin personenbezogen. Hinweis: In vielen Fällen sind einzelne Daten trotz bestimmter individueller Merkmale auf den ersten Blick noch nicht einer betroffenen Person eindeutig zuzuordnen, wohl aber einer sehr überschaubaren Gruppe von Personen und es lässt sich wegen der mangelnden Größe der Gruppe eine natürliche Person identifizieren (zum Beispiel kann eine Re-Identifizierung vorgenommen werden, wenn von einem „weiblichen Vorstandsmitglied“ eines Konzerns gesprochen wird und es in diesem Vorstand nur eine oder zwei Frauen gibt) oder es besteht bei Kombination dieser Daten mit anderen (verfügbaren) Daten eine Identifizierbarkeit einer spezifischen Person (beispielsweise bei einem Beschäftigten: Gehaltshöhe in Verbindung mit Eintrittsdatum; bei einer Patientin: Geschlecht, Postleitzahl und seltene Diagnose). In diesen Fällen liegt wegen der Identifizierbarkeit einer Person weiterhin Personenbezug vor.

3.2 Verarbeitung personenbezogener Daten

Das Datenschutzrecht knüpft an die „Verarbeitung“ personenbezogener Daten an. Der Begriff der Verarbeitung ist weit zu verstehen und erfasst jeden Vorgang, der mit personenbezogenen Daten „im Zusammenhang steht“ (vgl. Art. 4 Nr. 2 Hs. 1 DSGVO). Es sind in der Praxis kaum Vorgänge in der Handhabung von personenbezogenen Daten denkbar, die nicht unter diesen weiten Verarbeitungsbegriff fallen. Auch das (bloße) Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen bzw. Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten oder sonstiges Bereitstellen, Abgleichen, Verknüpfen, Einschränken oder Löschen bzw. Vernichten von personenbezogenen Daten stellt jeweils eine Verarbeitung dar (vgl. Art. 4 Nr. 2 Hs. 1 DSGVO). Zur Frage, ob die Anonymisierung von personenbezogenen Daten, d.h. der Entzug des Personenbezugs, auch eine Datenverarbeitung darstellt, werden unterschiedliche Auffassungen vertreten. Da der Anonymisierungsvorgang den Personenbezug eines Datensatzes – wie bei der Löschung oder Pseudonymisierung von Daten (vgl. Art. 4 Nr. 2, 5 DSGVO) – beeinflusst, wird vertreten, den Vorgang als eine Verarbeitung im Sinne der DSGVO zu behandeln.3 Dagegen wird angeführt, dass in der Anonymisierung gerade kein datenschutzrelevanter Vorgang vorliege, da der Vorgang der Anonymisierung durch die DSGVO für sich gesehen privilegiert ist und damit nicht den Anforderungen der DSGVO unterliegen soll.4 Der BDI hat sich im Rahmen des BfDI-Konsultationsverfahrens sehr deutlich dieser Gegenauffassung angeschlossen.5 Dennoch kann aufgrund des weit gefassten Begriffs der Verarbeitung und mangels höchstrichterlicher Rechtsprechung derzeit keine final belastbare Aussage dahingehend getroffen werden, wie die Anonymisierung im Verhältnis zur Legaldefinition der Verarbeitung im Sinne der DSGVO einzuordnen ist.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. 5.

Die Anonymisierung der Daten ist typischerweise auch im Interesse der betroffenen Person oder läuft diesen Interessen zumindest nicht zuwider, Hornung/Wagner, ZD 2020, 223 (224) mwN zum Meinungsstreit.

BDI e.V., Stellungnahme zum BfDI-Konsultationsverfahren „Anonymisierung personenbezogener Daten vom 23. März 2020, abrufbar unter: https://www.bfdi.bund.de/DE/Infothek/Transparenz/ Konsultationsverfahren/01_Konsulation-Anonymisierung-TK/ Stellungnahmen/BDI.pdf?__blob=publicationFile&v=1. 9

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Begriffsdefinitionen

Folgt man der Auffassung des BfDI und behandelt die Anonymisierung als eine Form der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO6, so müssen sämtliche Anforderungen der DSGVO auch für den Vorgang der Anonymisierung eingehalten werden. Vor diesem Hintergrund enthält dieser Leitfaden an verschiedenen Stellen auch Ausführungen zu möglichen Rechtsgrundlagen sowie Nebenpflichten, die mit Verarbeitungsvorgängen einhergehen.

3.3.2 Absolute Anonymisierung

3.3 Begriffsdiversität „Anonymisierung“ In der Praxis werden verschiedene Bezeichnungen für den Begriff der „Anonymisierung“ alternativ und teilweise auch synonym verwendet, die zum Teil auf unterschiedliche Grade an De-Identifizierung von Datensätzen abstellen und nicht immer gleichbedeutend mit einer DSGVO-konformen, d.h. ausreichenden, faktischen Anonymisierung sind. Teilweise wird Anonymisierung als Oberbegriff für alle Reduktionen des Personenbezugs verwendet. Im Rahmen dieses Leitfadens beschreibt „Anonymisierung“ jedoch ausschließlich solche De-Identifizierungsmaßnahmen, die zu einer Entfernung des Personenbezugs in dem Sinne führen, dass die datenschutzrechtlichen Vorschriften nicht weiter anwendbar sind. Dabei handelt es sich um die nachfolgend beschriebenen Methoden der faktischen Anonymisierung. Auch die absolute Anonymisierung würde eine „DSGVO-konforme“ Anonymisierung darstellen, sie ist aber weder durch die DSGVO gefordert noch in den allermeisten Fällen umsetzbar 7.

3.3.1 Faktische Anonymisierung Faktische Anonymisierung (teilweise auch als relative Anonymisierung bezeichnet) beschreibt Vorgänge der DeIdentifizierung, durch die so viele Identifier entfernt und weitere Techniken (siehe 6.1) zur Reduktion von Personenbezug (zum Beispiel Randomisierung oder Generalisierung) angewendet werden, dass eine Re-Identifizierung mit verhältnismäßigem Aufwand nach dem aktuellen Stand der Technik (siehe hierzu 3.3.4) nicht mehr möglich ist und so der Personenbezug entfällt (siehe hierzu ausführlicher Kapitel 5). Zum Begriff des „verhältnismäßigen Aufwands“ siehe 5.2.

Siehe ausführlich zu den rechtlichen Anforderungen an die Anonymisierung in Abschnitt 5.1

Eine absolute Anonymisierung liegt vor, wenn die DeIdentifizierung zum vollständigen Verlust jeglichen Personenbezugs führt und auch aus dem Gesamtkontext, unter größtmöglichem Aufwand, d.h. unter Einsatz aller auch nur theoretisch denkbarer Techniken unabhängig vom Stand der Technik und von der Wahrscheinlichkeit der Re-Identifizierung, den Kosten und dem erforderlichen Arbeitseinsatz und der Dauer und mittels allen möglichen Zusatzinformationen eine Re-Identifizierung absolut und für jeden ausgeschlossen ist. Aufgrund der vielfältigen (digital verfügbaren) Datenquellen, der heutigen Informationstechnologie mit ihrer immer leichter werdenden Verknüpfbarkeit von Daten sowie der kontinuierlichen Steigerung der verfügbaren Rechenleistungen erscheint jedoch der absolut irreversible Verlust jeglichen Personenbezugs in sehr vielen Fällen unmöglich. Insbesondere personenbezogene Daten, die in Form eines digitalen Fußabdruckes ihre Spuren in der digitalen Welt durch Nutzung des Internets oder auch des Mobiltelefons hinterlassen, sind kaum absolut zu beseitigen. Zumindest unter Beachtung rein theoretisch denkbarer Re-Identifizierungs-Techniken können personenbezogene Daten in der Praxis fast nie so anonymisiert werden, dass eine Wiederherstellung des Personenbezugs absolut ausgeschlossen werden kann (siehe hierzu auch 5.1). Beispiel: Eine absolute Anonymisierung liegt etwa vor, wenn Daten einer sehr großen Zahl an Kunden aus allen Bevölkerungsgruppen und verschiedensten geografischen Regionen (etwa bei einer weltweiten Umfrage) aggregiert werden. Werden Kunden zur Zufriedenheit mit einem Produkt befragt, wobei die Antwortmöglichkeit nur „Daumen hoch“ oder „Daumen runter“ ist, es eine belastbare Anzahl von Antworten für diese beiden Optionen gibt und werden die Einzelantworten nach der Auswertung vollständig (d.h. auch alle Kopien und etwaige Zwischenergebnisse) vernichtet, wäre das Umfrageergebnis (zum Beispiel weltweit haben 58% der Kunden mit Daumen hoch „gevoted“) unter keinen Umständen mehr auf eine bestimmte Person rückführbar.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

3.3.3 Formale Anonymisierung Die schwächste Form der De-Identifizierung ist das Entfernen oder Weglassen von direkt identifizierenden Attributen aus dem Datensatz, wie etwa dem Klarnamen oder einer personalisierten E-Mail-Adresse. Der weitere Merkmalsumfang (beispielsweise sog. quasi identifizierende Attribute wie eine Nutzer-ID, Ausweisnummer, FIN etc.) bleibt dagegen erhalten. Diese Technik wird auch als formale (oder teilweise auch als formelle) Anonymisierung bezeichnet und führt regelmäßig nicht zu einer DSGVO-konformen faktischen Anonymisierung. Vielmehr ist die formale Anonymisierung häufig nur eine Form der Pseudonymisierung, da durch das Hinzuziehen des entfernten Identifizierungsmerkmals eine Zuordnung zu einer natürlichen Person möglich bleibt. Die formale Anonymisierung gilt daher allgemein als unzureichend und ist beispielsweise im Bundesstatistikgesetz8 auf bestimmte Empfängerkreise beschränkt. § 16 Abs. 6 Nr. 2 BStatG gewährt nur innerhalb speziell abgesicherter Bereiche des Statistischen Bundesamtes und der statistischen Ämter der Länder Zugang zu formal anonymisierten Einzelangaben, wenn wirksame Vorkehrungen zur Wahrung der Geheimhaltung getroffen werden. Berechtigte können dabei nur Amtsträger oder Amtsträgerinnen als für den öffentlichen Dienst besonders Verpflichtete sein. Um die Re-Identifizierung auf Basis von sog. quasi-identifizierenden Attributen und die Aufdeckung von Identifikationsmerkmalen zumindest zu erschweren, sind weitere Maßnahmen erforderlich.9 Beispiel: Im Rahmen einer Kundenzufriedenheitsbefragung werden die Antworten mit Namen tabellarisch erfasst. Aus der Tabelle wird anschließend nur die Spalte mit den Namen gelöscht. Es ist in diesen Fällen möglich, dass sich aus den Angaben der Kunden (zum Beispiel Angaben von Name, Adresse etc. in einem Freitextfeld) und weiteren Informationen in der Tabelle (zum Beispiel Kundennummer oder Produktnummer) in Kombination mit weiteren Informationen (zum Beispiel

Gesetz über die Statistik für Bundeszwecke (Bundesstatistikgesetz – BStatG) in der Fassung der Bekanntmachung vom 20. Oktober 2016 (BGBl. I S. 2394).

Jan Dennis Gumz, Mike Weber, Christian Welzel (Kompetenzzentrum für Öffentliche IT), Anonymisierung: Schutzziele und Techniken, S. 10, abrufbar unter https://cdn0.scrvt.com/fokus/784daae14fc72f91/ bcebf7142066/Anonymisierung---Schutzziele-und-Techniken.pdf.

Begriffsdefinitionen

Übersicht der Transaktionen mit Datum und Produktnummer; die Lieferadresse ist ein Einfamilienhaus, in dem nur eine Person lebt) einzelne Angaben bestimmten Kunden zuordnen lassen.

3.3.4 Stand der Technik Der Stand der Technik im Sinne der DSGVO umfasst die anerkannten Regeln der Technik, die sich bereits in der Praxis verbreitet und bewährt haben. Der Begriff findet sich nicht nur in der DSGVO, sondern auch in nationalen Vorschriften wie § 109 Abs. 1 TKG, § 13 Abs. 7 TMG, § 8 a Abs. 1 S. 2 BSIG. Dabei wird zur Bestimmung des Stands der Technik insbesondere auf Ansätze zu „State-of-the-art“ oder zu den verwandten „Best available techniques“ zurückgegriffen. Der Begriff „Stand der Technik“ ist als Dynamisierung innerhalb der DSGVO zu verstehen, da sich der Stand der Technik immer weiterentwickelt. Die Pflicht zur Berücksichtigung des Stands der Technik ist insoweit als obere Grenze zu verstehen; es müssen nicht die neuesten wissenschaftlichen Trends und Prototypen berücksichtigt werden, sobald diese in der Fachgemeinschaft diskutiert werden, sondern es kommt darauf an, ob sich Techniken in der Praxis etablieren. D.h. der Verantwortliche oder Auftragsverarbeiter kann nicht davon ausgehen, dass der Stand der Technik statisch bleibt. Es ist deshalb eine regelmäßige Überprüfung der Anonymisierungsmethode erforderlich (siehe hierzu 6.4). Für eine Überprüfung können auch Standards herangezogen werden, um den eigenen Sorgfaltspflichten nachzukommen, indem auf Maßnahmen, Techniken und Prozesse zurückgegriffen wird, die bereits durch Expertengremien als angemessen bewertet wurden.10 Die folgenden Standards mit Bezug zur Anonymisierung werden derzeit erarbeitet oder sind bereits publiziert:11

DIN Normenausschuss Informationstechnik und Anwendungen, Stellungnahme zum BfDI Konsultationsverfahren zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, abrufbar unter https://www.bfdi.bund.de/DE/Infothek/Transparenz/ Konsultationsverfahren/01_Konsulation-Anonymisierung-TK/ Positionspapier-Anonymisierung-DSGVO-TKG.html;jsessionid=F53D FE83354223C285E7093AF6EC59B4.2_cid507?nn=5216976.

DIN Normenausschuss Informationstechnik und Anwendungen, Stellungnahme zum BfDI Konsultationsverfahren zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, abrufbar unter https://www.bfdi.bund.de/DE/Infothek/Transparenz/ Konsultationsverfahren/01_Konsulation-Anonymisierung-TK/ Stellungnahmen/DIN.pdf;jsessionid=B5D45D1FD485BC3389BEFD8 56DE7F466.2_cid329?__blob=publicationFile&v=1. 11

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

ISO/IEC 20889:2018 "Informationstechnik-Sicherheitsverfahren-Techniken zur De-Identifizierung von Daten für einen verbesserten Schutz der Privatsphäre“;

ISO/IEC 27555 "Guidelines on personally identifiable information deletion" (voraussichtliche Veröffentlichung: Dezember 2021).

3.4 De-Identifizierung De-Identifizierung beschreibt ganz grundsätzlich den Vorgang, an dessen Ende die Verringerung bzw. letztlich sogar die Aufhebung des Personenbezugs vormals personenbezogener Daten steht. Das Ergebnis einer De-Identifizierung kann auch eine „bloße“ Pseudonymisierung sein, d.h. wenn eine Wiederherstellung des Personenbezugs noch (wenn auch ggf. mit gewissem Aufwand) möglich ist. Je weitreichender die „De-Identifizierung“ reicht, desto wahrscheinlicher ist es, dass am Ende eine DSGVO-konforme faktische Anonymisierung angenommen werden kann. Wenn im Rahmen dieses Leitfadens von Methoden oder Techniken der Anonymisierung die Rede ist, sind damit Methoden oder Techniken der De-Identifizierung gemeint.

3.5 Re-Identifizierung Im Gegensatz zur De-Identifizierung steht Re-Identifizierung für die Wiederherstellung des Personenbezugs, d.h. die Umkehrung des Vorgangs, der zur Verringerung oder dem Entfernen der Identifier führte. Eine Re-Identifizierung ist bei absoluter Anonymisierung nicht und bei faktischer Anonymisierung nur mit unverhältnismäßig großem Aufwand oder nach Weiterentwicklung des Stands der Technik möglich.

3.6 Pseudonymisierung und Abgrenzung von der faktischen Anonymisierung Pseudonymisierung bezeichnet einen Vorgang der DeIdentifizierung, infolgedessen Daten nur unter Hinzuziehung zusätzlicher verfügbarer Informationen (dem Originaldatensatz oder eines „Schlüssels“) einer bestimmten betroffenen Person zugeordnet werden können (vgl. Art. 4 Nr. 5 DSGVO). Der Personenbezug wird demnach nicht irreversibel entfernt; vielmehr werden die Daten nur (vorübergehend) von den zugehörigen betroffenen Personen „entkoppelt“ und der Personenbezug eingeschränkt, die hier den Informationen 12

Begriffsdefinitionen

stehenden natürlichen Personen sind aber weiterhin (über den Schlüssel) identifizierbar. Beispiel: In einem Dokument werden Klarnamen durch Nummern ersetzt. Es gibt ein zweites separates Dokument, das eine Liste enthält, welche Nummer für welchen Namen steht.

Aufgrund der Möglichkeit, die Daten ohne größeren Aufwand wieder re-identifizieren zu können (etwa durch Beschaffung eines Re-Identifizierungsschlüssels), stellt eine Pseudonymisierung keine Form der faktischen Anonymisierung dar. Es handelt sich bei der Pseudonymisierung vielmehr um eine technische und organisatorische Maßnahme zum Schutz personenbezogener Daten, die eine ungehinderte Zuordnung der Datensätze zu betroffenen Personen, insbesondere durch Dritte, verhindern oder zumindest einschränken (etwa indem nur einer bestimmten ausgewählten Anzahl an Personen Zugang zu einem Re-Identifizierungsschlüssel eingeräumt wird) kann (vgl. Art. 32 Abs. 1 lit. a) DSGVO). Unter Pseudonymisierung fallen daher solche De-Identifizierungsmaßnahmen, die zwar den direkten Personenbezug im Datensatz entfernen, zugleich jedoch die Möglichkeit einer späteren Zuordnung offenhalten (beispielsweise Verwendung von Initialen statt Namen etc.). Durch den zusätzlichen Einsatz weiterer Anonymisierungstechniken (siehe hierzu Kapitel 6), aber auch ergänzender organisatorischer Maßnahmen (beispielsweise Beschränkung des Zugriffs auf die De-Identifizierungsmethoden), können pseudonymisierte Daten faktisch anonymisiert werden. Ob ein personenbezogenes, anonymes oder pseudonymes Datum vorliegt, hängt stark von den Umständen und Rahmenbedingungen im Einzelfall ab. Ein Datum kann demnach von verschiedenen Verarbeitern unterschiedlich eingestuft werden. Beispiel: Ein Datensatz, der IP-Adressen von Gerätenutzern enthält, ist für den Telekommunikationsdiensteanbieter, personenbezogen, da er die Zuordnung vornehmen kann. Für sonstige Personen ist derselbe Datensatz hingegen (zumindest) pseudonymisiert, da diesen ohne zusätzliche Informationen keine Zuordnung zu bestimmten Personen möglich ist.

Rechtsfolgen einer wirksamen Anonymisierung Bei einer ausreichenden faktischen Anonymisierung ist die Nutzung der anonymisierten Daten vom Anwendungsbereich der DSGVO ausgenommen, da die Daten nicht weiter personenbezogen sind (siehe nachfolgend 5.1). Andere Regelungen außerhalb der datenschutzrechtlichen Regelungen, die nicht oder nur mittelbar an einen Personenbezug anknüpfen, können jedoch weiter gelten oder müssen ggf. vor der Anonymisierung beachtet werden. Beispielsweise sind bestimmte Informationen besonders geschützt, etwa da sie dem Postgeheimnis oder dem Fernmeldegeheimnis unterliegen. Bestimmte unionsrechtliche und nationale Regelungen sehen auch die Anonymisierungen vor oder sind im Zusammenhang mit dem Anonymisierungsvorgang zu beachten. Beispielsweise sind für die Verarbeitung von Verkehrsdaten im Sinne des § 3 Nr. 30 TKG, also Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden, die §§ 91 ff TKG maßgeblich. Standortdaten, die in Bezug auf die Nutzer von öffentlichen Telekommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten verwendet werden, dürfen nur im zur Bereitstellung von Diensten mit Zusatznutzen (beispielsweise Ortungsdienste) erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Teilnehmer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat (vgl. § 98 Abs. 1 Satz 1 TKG). Weitere einschlägige Rechtsgrundlagen hinsichtlich Maßgaben für Datenschutz bei der elektronischen Kommunikation (ePrivacy) oder Sonderregelungen finden sich u.a. in § 282 SGB III; §§ 276, 277, 287 SGB V; § 64 SGB VIII; §§ 67c, 75 SGB X; §§ 79, 84, 85, 92a, 98, 115, 117 SGB XI,; §§ 8d, 9a, 12a, 14, 15, 15g TPG; § 150b GewO; § 467 StPO; §§ 26, 29 BPolG; § 38 StVG; § 32 IRegG und § 13 IfSG. Außerdem gibt es weitere Schutzvorschriften, die auch den Zugang oder die Exklusivität von Daten beeinflussen können, etwa aus dem Urheber- oder Markenrecht, Geschäftsgeheimnisschutz oder Kartellrecht.

Ferner sind ggf. vertragsrechtliche Vorgaben zu beachten. Es sei auch auf die VO (EU) 2018/1807 für freien Verkehr nicht-personenbezogener Daten hingewiesen. Diese Verordnung gilt für die Verarbeitung elektronischer Daten, die keine personenbezogenen Daten sind, wenn sie Nutzern in der EU angeboten werden, unabhängig davon, wo der Dienstleister niedergelassen ist und für natürliche wie juristische Personen in der EU, die diese nicht-personenbezogenen elektronischen Daten für ihren eigenen Bedarf verarbeiten. Die Verordnung findet unmittelbare Anwendung und trifft verschiedene Regelungen, um vor allem Hindernisse für den grenzüberschreitenden Verkehr nicht-personenbezogener Daten innerhalb der EU zu beseitigen und die Datenwirtschaft zu fördern, wie etwa ein Verbot von Datenlokalisierungsauflagen. Die Darstellung dieser weiteren rechtlichen Restriktionen ist nicht Gegenstand dieses Leitfadens. Die faktische Anonymisierung personenbezogener Daten führt zur Unanwendbarkeit der DSGVO, vgl. Art. 2 Abs. 1 DSGVO und Erwägungsgrund 26 DSGVO. Wenn eine „Anonymisierung“ jedoch unzureichend ist und der Personenbezug nicht mindestens faktisch entfernt wurde, sind die Vorschriften der DSGVO weiterhin anwendbar. Sofern eine Re-Identifizierung zu einem späteren Zeitpunkt durch eine Weiterentwicklung der Technik mit verhältnismäßigem Aufwand möglich wird, reicht der Grad an De-Identifizierung für eine faktische Anonymisierung ab diesem Zeitpunkt nicht mehr aus. Es liegt ab diesem Zeitpunkt (wieder) ein Personenbezug vor, sodass die Vorschriften der DSGVO wiederum Anwendung finden. Es wäre in derartigen Konstellationen, bei denen der Personenbezug erst mit Zeitablauf (zum Beispiel durch eine Weiterentwicklung des Standes der Technik) wieder hergestellt werden kann, zwar auch denkbar, die Wirksamkeit der Anonymisierung von Anfang an (rückwirkend) anzuzweifeln – eine derartige Handhabung wäre jedoch nicht im Einklang mit dem in der DSGVO gewählten Ansatz der „faktischen Anonymisierung“, der gerade kein absolutes (dauerhaftes) Entfernen des Personenbezugs voraussetzt.

Wirksame Anonymisierung – rechtlicher Rahmen

5.1 Anforderungen der DSGVO Die DSGVO enthält keine eindeutige Definition des Begriffs der Anonymisierung, jedoch wird die Anonymisierung in Erwägungsgrund 26 erwähnt (Hervorhebungen hinzugefügt): „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.“ Im Sinne dieser Maßgabe ist ein „faktischer“ Anonymisierungsbegriff (daher der Begriff faktische Anonymisierung) für die Bestimmung einer wirksamen Anonymisierung zugrunde zu legen und kein „absoluter“ (zum Begriff der absoluten Anonymisierung siehe 3.3.2). Bei der Beurteilung, ob eine De-Identifizierung personenbezogener Daten zu einer wirksamen, d.h. den Anforderungen der DSGVO entsprechenden, faktischen Anonymisierung führt, ist neben den dem datenschutzrechtlich Verantwortlichen oder Dritten zur Verfügung stehenden „Mitteln“ (d.h. Techniken, sonstigen Möglichkeiten und weiteren Informationen) auch zu berücksichtigen, ob es nach allgemeinem Ermessen und einem im Einzelfall noch zumutbaren Aufwand wahrscheinlich ist, dass eine spezifische Person aus einem Datensatz wieder re-identifiziert werden kann.12 D.h., es ist im Sinne einer Wahrscheinlichkeitsbetrachtung zum Zeitpunkt der Durchführung der De-Identifizierung bis hin zur faktischen Anonymisierung auch entscheidend, ob von dem Verantwortlichen erwartet werden muss, dass jemand den Aufwand betreibt, einen zumindest gewissen Personenbezug wieder herzustellen. 12

Auch der BfDI hält eine absolute Anonymisierung datenschutzrechtlich für nicht erforderlich, es reiche aus, den Personenbezug derart aufzuheben, dass eine Re-Identifizierung praktisch nicht durchführbar sei, vgl. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. 4.

Personenbezogene Daten können nach dem heutigen Stand der Technik und der erwarteten Entwicklung tatsächlich fast nie dergestalt de-identifiziert werden, dass unter Heranziehung aller auch nur rein theoretisch und in der Zukunft möglichen Mittel und jeglichen – auch immens hohen – Aufwands eine Wiederherstellung des Personenbezugs ausgeschlossen werden kann (siehe dazu auch die Beschreibung des Begriffs der „absoluten Anonymisierung“, 3.3.2). Außerdem ist es weder im Interesse der EU, noch des Bundes, der Privatwirtschaft, der Arbeitnehmer und letztlich auch der natürlichen Personen, die von datengetriebenen Innovationen profitieren werden, wenn durch überzogene Anforderungen an den Anonymisierungsmaßstab eine Anonymisierung und damit eine Nutzung von Daten faktisch ausgeschlossen wird. Eine absolute Anonymisierung derart, dass die Wiederherstellung des Personenbezugs für niemanden möglich ist, dürfte daher häufig nicht möglich sein und ist im Regelfall datenschutzrechtlich auch nicht gefordert.13 Daher ist im Ergebnis eine faktische Anonymisierung im entsprechend der Art der Daten und der sonstigen objektiven Faktoren angemessen Maß als ausreichend anzusehen, um den Anforderungen der DSGVO zu genügen.

5.2 Objektive Faktoren für die Bemessung einer ausreichenden faktischen Anonymisierung Bei der Beurteilung, ob ein ausreichender Grad der faktischen Anonymisierung erreicht ist, gibt Erwägungsgrund 26 der DSGVO nur hinsichtlich der möglichen Re-Identifizierung Anhaltspunkte: Es sollen alle „objektiven Faktoren“ berücksichtigt werden. Diese objektiven Faktoren einer möglichen Re-Identifizierung sind insbesondere der Stand der Technik (siehe dazu 3.3.4), absehbare technische Entwicklungen (siehe hierzu 6.5), Kosten und erforderlicher Zeit-/Arbeitsaufwand einer Re-Identifizierung und die sich daraus und aus weiteren Umständen ergebende Wahrscheinlichkeit, dass jemand den Aufwand einer Re-Identifizierung betreiben wird.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Wirksame Anonymisierung – rechtlicher Rahmen

Maßstab für diese Bewertung ist der potentielle „Angreifer“. Ein „Angreifer“ ist dabei ein Dritter (d.h. weder der für die Verarbeitung Verantwortliche noch der Auftragsverarbeiter), der zufällig oder absichtlich auf die Originaldatensätze zugreift.14

Die Faktoren Kosten und Zeitaufwand müssen sich jeweils auf die Mittel und den Aufwand, den ein „ReIdentifizierungs-Angreifer“ im Rahmen einer unzulässigen Re-Identifizierung möglicherweise investieren würde, beziehen. Diese Faktoren sind aber für sich genommen nicht aussagekräftig bzw. ausreichend, um beurteilen zu können, ob eine faktische Anonymisierung im konkreten Fall erreicht wurde. Vielmehr lassen sich die Faktoren Mittel, Kosten und Aufwand einer möglichen Re-Identifizierung zum jeweiligen Beurteilungszeitpunkt nur kategorisieren bzw. quantifizieren, wenn ihnen andere Faktoren gegenübergestellt werden. Zum Beispiel können der Zeitaufwand und die Kosten für eine Re-Identifizierung für sich betrachtet recht hoch, aber im Vergleich zu dem möglichen Schaden bzw. dem Gewinn, den die re-identifizierten Daten bringen könnten, sehr gering sein. Entsprechend hatte die Artikel29-Datenschutzgruppe noch zu der vor der DSGVO geltenden Datenschutzrichtlinie festgehalten, dass „die Wahrscheinlichkeit und die Schwere der Auswirkungen einer […] Umkehrung zu berücksichtigen sind“.16 Daher sollten auch weitere objektive Faktoren, die nach der allgemeinen Lebensauffassung Daten als „wertvoll“ für potentielle „Re-Identifizierungs-Angreifer“ erscheinen lassen können, berücksichtigt werden.

Einige Aufsichtsbehörden15 haben die Maßstäbe zur Prüfung einer ausreichenden faktischen Anonymisierung weiter konkretisiert: Irische Data Protection Commission „...if it can be shown that it is unlikely that a data subject will be identified given the circumstances of the Individual case and the state of technology, the data can be considered anonymous.“ „...the duty of organisations is to make all reasonable attempts to limit the risk that a person will be identified.“

Österreichische Datenschutzbehörde Durch Anonymisierung müsse sichergestellt werden, dass weder der Verantwortliche selbst noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezog wiederherstellen kann.

Spanische Agencia Espanola Proteccion Datos „... in order to anonymise a file, the corresponding data should be such as not to allow the data subject to be Identified via „all“ „likely“ and „reasonable means by the data controller or by any third party. Therefore anonymisation procedures must ensure that not even the data controller is capable of reidentifying the data holders in an anonymised file.“

Artikel-29-Datenschutzgruppe, WP 216: Stellungnahme 5/2014 zu Anonymisierungstechniken, S. 16, abrufbar unter https://datenschutz. hessen.de/sites/datenschutz.hessen.de/files/wp216_de.pdf.

Österreich, abrufbar unter https://www.ris.bka.gv.at/ Dokumente/Dsk/DSBT_20181205_DSB_D123_270_0009_ DSB_2018_00/DSBT_20181205_DSB_D123_270_0009_ DSB_2018_00.pdf; Irland, abrufbar unter https://www. dataprotection.ie/sites/default/files/uploads/2019-06/190614%20 Anonymisation%20and%20Pseudonymisation.pdf; Spanien, abrufbar unter https://edps.europa.eu/sites/edp/files/ publication/19-10-30_aepd-edps_paper_hash_final_en.pdf.

Beispiel: Zum Zeitpunkt der Beurteilung ist anzunehmen, dass es einen „Re-Identifizierungs-Angreifer“ mindestens zwei Tage kosten würde, eine De-Identifizierung aufzuheben, und die dafür erforderliche Software würde etwa EUR 100 kosten. In dem Datensatz sind jedoch mehrere 10.000 Bankdaten enthalten, die mit sehr hohem Gewinn illegal verkauft werden könnten. In diesem Fall sind Zeitaufwand und Kosten im Verhältnis zum potentiellen Schaden eher niedrig und die DeIdentifizierung als faktische Anonymisierung daher nicht ausreichend abgesichert.

Artikel-29-Datenschutzgruppe, WP 216: Stellungnahme 5/2014 zu Anonymisierungstechniken, S. 10, abrufbar unter https://datenschutz. hessen.de/sites/datenschutz.hessen.de/files/wp216_de.pdf.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Re-Identifizierungstechniken Status Quo und absehbare Entwicklung

Aufwand Re-Identifizierung Kosten und Zeit

Der Begriff „Sensibilität“ der Art der Daten ist hier nicht deckungsgleich mit besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO zu verstehen. „Sensibilität“ bezieht sich hier vielmehr auf die möglichen Auswirkungen für die betroffenen Personen (siehe hierzu 6.1.1). So kann auch bei sonstigen, nicht in Art. 9 DSGVO genannten Informationen, eine ReIdentifizierung einschneidende Folgen für eine betroffene Person haben. Beispiel:

Wirksame Anonymisierung – rechtlicher Rahmen

Wert“ der Rohdaten

. . ..

,,Sensibilität“ der Art der betroffenen Daten (nach der Schwere des möglichen Risikos) Sensibilität“ der betroffenen Personen (Kinder, Prominente, Politiker) Hohe Anzahl betroffener Personen Komplexität und hoher Informationsgehalt der Datensätze

Datensatz unter Beachtung aller objektiven Faktoren bewertet werden. Daneben stellt sich in der Praxis auch oft die Frage, ob die Kosten der De-Identifizierung, die dem Verantwortlichen entstehen, berücksichtigt werden können. Fraglich ist also, ob auch der Aufwand der Re-Identifizierung mit dem Aufwand der De-Identifizierung bis hin zur faktischen Anonymisierung abgewogen werden darf. In der Stellungnahme der Artikel-29-Datenschutzgruppe zur Anonymisierung unter der Datenschutzrichtlinie hieß es:

Ein Unternehmen, das Tierfutter an Endkunden verkauft, will Datensätze zur Analyse vom Verkaufsverhalten von Kunden, die in einem Einkauf nur Hundeund Katzenfutter kaufen, faktisch anonymisieren. Die Datensätze enthalten neben der Art des erworbenen Tierfutters pro Einkauf auch EC- und Kreditkarteninformationen. Während die Information, welche Art von Tierfutter eine Person gekauft hat, auch bei einer Veröffentlichung höchstwahrscheinlich nicht zu einem Schaden von materiellen oder immateriellen Rechtsgütern der betroffenen Personen führen würde, sind die EC- und Kreditkarteninformationen aus Sicht der betroffenen Personen „sensibel“, da ihre Veröffentlichung zu großen materiellen Schäden führen kann. Wegen dieser Informationen ist ein höherer Anspruch an die faktische Anonymisierung zu stellen.

Zu den zu beachtenden objektiven Faktoren gibt es bisher keine verlässlichen Vorgaben von Aufsichtsbehörden. Generalisierend ist eine allgemeine Quantifizierung, wann eine Re-Identifizierung einen unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde und die Anonymisierung damit eine ausreichende faktische Anonymisierung ist, kaum möglich. Daher muss die Wirksamkeit der faktischen Anonymisierung immer für den jeweiligen 16

„Beispielsweise sollten die für die Verarbeitung Verantwortlichen den Aufwand und die Kosten der Anonymisierung (im Hinblick sowohl auf die zeitlichen als auch auf die sonstigen erforderlichen Ressourcen) gegen die zunehmende Verfügbarkeit kostengünstiger technischer Mittel zur Identifizierung von Personen in Datenbeständen, die zunehmende öffentliche Verfügbarkeit anderer Datenbestände (wie sie beispielsweise im Zusammenhang mit Strategien der „offenen Daten“ verfügbar gemacht werden) und die zahlreichen Beispiele unvollständiger Anonymisierungsverfahren abwägen, die mit nachteiligen und zuweilen nicht wiedergutzumachenden Auswirkungen auf die betroffenen Personen verbunden sind.“17 Hieraus ergibt sich, dass die wirtschaftlichen Interessen an einer möglichst günstigen De-Identifizierung den Interessen der betroffenen Personen gegenüberzustellen sind. Entscheidend ist aber weiterhin, dass die Interessen der betroffenen Personen (nur) dann hinreichend geschützt sind, wenn ein Grad ausreichender faktisch Anonymisierung erreicht wurde. 17

Artikel-29-Datenschutzgruppe, WP 216: Stellungnahme 5/2014 zu Anonymisierungstechniken, S. 10, abrufbar unter https://datenschutz. hessen.de/sites/datenschutz.hessen.de/files/wp216_de.pdf.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Wirksame Anonymisierung – rechtlicher Rahmen

Bei der Ermittlung der Wahrscheinlichkeit einer Re-Identifizierung sind Informationen zu berücksichtigen, die zusätzlich zu den anonymisierten Daten vorliegen können. Mögliche Hilfsmittel, die Schlussfolgerungen über Identifikatoren ermöglichen, können beispielsweise für einen Dritten (wie etwa potenzielle „Re-IdentifizierungsAngreifer“) zugängliche Zusatzinformationen darstellen (beispielsweise, wenn die Methodik preisgegeben wird oder fremde Daten mit den anonymisierten Daten so verknüpft werden, dass daraus re-identifizierende Informationen entstehen).18 Die anonymisierten Daten müssen daher zusätzlich durch geeignete Sicherungsmaßnahmen vor unbefugtem Zugriff geschützt werden.

Es können sich beispielsweise folgende „Stufen“ (vgl. Grafik unten) für die De-Identifizierung anbieten (wobei die erste Stufe keine De-Identifizierungstechnik ist, sondern sich auf die Erhebung bezieht und die Stufen jeweils für den konkreten Use Case ausgewählt werden müssen). Zur Erläuterung der einzelnen Techniken, siehe unten 6.1.

5.3 Mögliche Stufen von De-Identifizierungsmaßnahmen Um den für eine faktische Anonymisierung erforderlichen De-Identifizierungsgrad zu erreichen, müssen meist verschiedene De-Identifizierungstechniken kombiniert werden (siehe 6.4.3). Beispiele eines stufenweisen Vorgehens: Daten von Nutzern eines „Video on Demand-Service“ werden zur statistischen Auswertung bereits formal anonym oder zumindest stark pseudonymisiert erhoben. In einem nächsten Schritt werden Daten aggregiert.

Vor Anwendung der möglichen Techniken sollte jeweils überlegt werden, ob die Daten nach Anwendung der jeweiligen De-Identifizierungsmaßnahme(n) weiterhin für den beabsichtigten Zweck geeignet sind: Ein stärkerer Grad an De-Identifizierung geht nämlich stets auch mit einer stärkeren Verfälschung und Vergröberung der Daten einher. Je nach geplanter Auswertung verlieren Datensätze mit zunehmendem Grad der De-Identifizierung an Robustheit bzw. Aussagekraft. In einigen Fällen kann es sogar sein, dass Daten ihre Aussagekraft vollkommen verlieren oder falsche Rückschlüsse zulassen, was diese Daten wertlos machen würde. Es sollte also stets zur Förderung des Aussagewerts der de-identifizierten Daten der beabsichtigte Use Case bei der Beurteilung des erforderlichen Grades an De-Identifizierung mit beachtet werden. Die Auswahl der geeigneten Techniken muss daher für jeden Einzelfall entschieden werden. Effektive Anonymisierungsmaßnahmen werden dabei regelmäßig aus einer Bündelung verschiedener Techniken bestehen (siehe unten 6.1). Es kann daher sein, dass gewisse Techniken einen Datensatz für einen bestimmten Use Case unbrauchbar machen.

1. Stufe

2. Stufe

3. Stufe

4. Stufe

Einschränkung der Merkmale auf das erforderliche Maß

Löschung von personenbezogenen Daten

Randomisierung

Generalisierung / Aggregierung

Jan Dennis Gumz, Mike Weber, Christian Welzel (Kompetenzzentrum für Öffentliche IT), Anonymisierung: Schutzziele und Techniken, S. 16, abrufbar unter https://cdn0.scrvt.com/fokus/784daae14fc72f91/ bcebf7142066/Anonymisierung---Schutzziele-und-Techniken.pdf.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Beispiel: Eine Bestellapplikation zeigt den Kunden und Fahrern jeweils die Positionen der Lieferroute und die Zeit an. Diese Daten sollen zur Optimierung von Lieferrouten anonymisiert und anschließend ausgewertet werden. Über die Kundendaten, den Start und den Endpunkt und die Lieferzeit lassen sich die Daten bestimmten Kunden und bestimmten Fahrern zuordnen. Auch wenn die Kundennummer entfernt wird, ist über Zeit und Route ein Personenbezug noch herstellbar. Wird die Uhrzeit entfernt, kann über Start und Endpunkt evtl. immer noch ein Personenbezug hergestellt werden. Außerdem ist die Zeit für die Optimierung der Lieferroute relevant, kann aber in Zeitabschnitte vergröbert werden (beispielsweise morgens, mittags, nachmittags, abends, nachts). Werden zusätzlich die Positions-/Routenangaben entfernt, sind die Daten wahrscheinlich hinreichend anonymisiert, jedoch für die geplante Auswertung auch unbrauchbar, da sie keinen Aussagegehalt mehr zur Lieferroute haben. Werden die Routenangaben aggregiert, können sie hinreichend anonymisiert sein, aber bei ausreichender Aggregierung verlieren die Routendaten ihren Aussagegehalt. Wird der Start und Endpunkt jedoch vergröbert (durch Erweiterung des Clusters, etwa nach Stadtgebiet) und werden die Datensätze mit „synthetischen“ Daten (beispielsweise künstlich über verschiedenen Routenplaner hinzugefügte Datensätze) angereichert, kann es sein, dass eine ausreichende faktische Anonymisierung erreicht wird und die Datensätze für den beabsichtigten Use Case noch immer nutzbar sind.

Die Beachtung des beabsichtigten Use Cases bei der Beurteilung der im Einzelfall anzuwendenden Anonymisierungsmethode entspricht dabei auch dem Grundsatz „Datenschutz durch Technikgestaltung“ (Privacy by Design). Außerdem gilt nach diesem Grundsatz für die Anonymisierungsmethode, dass die personenbezogenen Daten im Sinne einer Datenminimierung und zum Schutz der Datenintegrität (durch mehr Sicherheit) zum frühestmöglichen Zeitpunkt zu de-identifizieren sind, soweit dies nach dem beabsichtigten Use Case und den sonstigen rechtlichen Vorgaben zur Speicherung von personenbezogenen Daten möglich ist. Es kann zudem erforderlich sein, dass Daten überhaupt nur in einer de-identifizierten (also meist pseudonymisierten) Form

Wirksame Anonymisierung – rechtlicher Rahmen

erhoben werden, sodass der Personenbezug bereits zu Beginn der geplanten Verarbeitung originär zumindest bloß in reduzierter Form vorliegt und (manche) DeIdentifizierungsmaßnahmen erst gar nicht angewendet werden müssen. Oft ist es für die verantwortliche Stelle nämlich nicht notwendig, zu irgendeinem Zeitpunkt die betroffenen Personen direkt identifizieren zu können. 19 Beispiel: Ein Zustelldienst möchte die Effizienz seiner Zustellungen hinsichtlich benötigter Zeit und Benzinverbrauch evaluieren. Bei der Analyse dieser Prozesse können auch eine Reihe von personenbezogenen Daten betroffen sein (Mitarbeiterdaten wie auch Kundendaten, beispielsweise Anschrift), obwohl diese nicht für die beabsichtigte Prüfung der Effizienz erforderlich sind. Um dem Grundsatz der Datenminimierung bereits zum Zeitpunkt der Erhebung gerecht zu werden, sollte die verantwortliche Stelle bereits bei der Erhebung der Daten eine technische Lösung vorsehen, dass die Datensätze bloß in de-identifizierter Form erhoben und gespeichert werden.

In diesem Zusammenhang hat etwa der Europäische Datenschutzausschuss für den Bereich vernetzter Fahrzeuge die Empfehlung ausgesprochen, dass Daten schon im Auto de-identifiziert werden sollten, bevor sie anschließend übertragen werden.20

5.4 Löschung des Originaldatensatzes In vielen Konstellationen kann es vorkommen, dass ein Verantwortlicher denselben Datensatz selbst in personenbezogener Form (beispielsweise für die Erbringung von Services) nutzen und gleichzeitig in einer weiteren Form de-identifizieren möchte, um die reduziert personenbezogenen Daten für einen anderen Zweck zu nutzen (dies ist beispielsweise dann der Fall, wenn die personenbezogenen Daten durch die Sales-Abteilung für die Erbringung von Leistungen des Kunden zwingend erforderlich sind und gleichzeitig der Bereich Forschung

European Data Protection Board, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, S. 20.

European Data Protection Board, Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications, S. 16.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

und Entwicklung die anonymisierten Datensätze zur Weiterentwicklung nutzen möchte). Das gleichzeitige Vorhalten beider Datensätze erhöht zwar das Risiko einer Re-Identifizierung. Solange aber der reduziert personenbezogene Datensatz ausreichend vom Originaldatensatz getrennt ist und mit diesem nicht in Verbindung gebracht werden kann, kann im Einzelfall nach unserer Auffassung dennoch eine wirksame Anonymisierung erreicht werden, ohne dass der Originaldatensatz gelöscht werden müsste. Die Anforderungen sind in einem solchen Fall naturgemäß höher, da mithilfe des Zugriffs auf den Originaldatensatz (oder beispielsweise einen Hash-Schlüssel) unter Umständen eine Re-Identifizierung der de-identifizierten Datensätze vorgenommen werden kann, sodass tatsächlich keine faktisch anonymisierten Daten vorliegen. Das Risiko einer Re-Identifizierung kann (trotz Vorhalten des Originaldatensatzes) durch die Implementierung der untenstehenden organisatorischen Maßnahmen jedoch verringert werden.21 Neben den verschiedenen „allgemeinen“ Maßnahmen im Hinblick auf die faktische Anonymisierung (beispielsweise regelmäßige Überprüfung des De-Identifizierungsverfahrens dahingehend, ob (un-)berechtigte Dritte eine Re-Identifizierung durchführen können; siehe hierzu Punkt 6.2 letzter Absatz) trägt die Löschung des Originaldatensatzes in jedem Fall wesentlich dazu bei, eine DSGVO-konforme faktische Anonymisierung herbeizuführen. Aber auch das gleichzeitige Nutzen desselben Datensatzes in personenbezogener und faktisch anonymisierter Form ist unseres Erachtens zumindest dann möglich, wenn durch flankierende Maßnahmen sichergestellt ist, dass eine Re-Identifizierung unter Berücksichtigung der von dem Verantwortlichen (d.h. den jeweiligen Abteilungen bzw. Fachbereichen innerhalb desselben Verantwortlichen, die keinen Zugriff auf die personenbezogenen Daten haben sollen) vernünftigerweise einzusetzenden Mittel nicht möglich ist. 21

Zu beachten ist, dass eine behördliche oder gerichtliche Klärung der Wirksamkeit einer Anonymisierung, wenn sich sowohl der „anonymisierte“ als auch der Originaldatensatz im Besitz desselben Verantwortlichen befinden, bisher nicht erfolgt ist.

Wirksame Anonymisierung – rechtlicher Rahmen

Abhängig von dem jeweiligen Use Case können unter anderem die folgenden Maßnahmen (bzw. eine Kombination derselben) ergriffen werden:

Der Verantwortliche sollte sicherstellen, dass sich der Personenkreis mit Zugriff auf die Originaldaten und der Personenkreis mit Zugriff auf die de-identifizierten Daten nicht überlappt.

Der Verantwortliche kann mehrere De-Identifizierungstechniken in einer Weise kombinieren, sodass für ihn – unabhängig von weiteren flankierenden Maßnahmen – eine „Verknüpfung“ der personenbezogenen Datensätze und de-identifizierten Datensätze technisch wesentlich erschwert bzw. praktisch unmöglich wird. Idealerweise wird die Anonymisierung zudem von einem Dritten vorgenommen, der den Verantwortlichen nicht über die verwendeten Techniken in Kenntnis setzt.22

Mithilfe der De-Identifizierung durch einen Dritten kann ausgeschlossen werden, dass der Verantwortliche das Verfahren der De-Identifizierung kennt und ein Re-Engineering durch den Verantwortlichen keine „vernünftigerweise“ eingesetzte Maßnahme darstellt.

Durch zusätzliche technische und organisatorische Maßnahmen (beispielsweise Rechte- und Rollenkonzepte, separate Datenbanken für personenbezogene und de-identifizierte Datensätze etc.) kann sichergestellt werden, dass ein gleichzeitiger Zugriff auf personenbezogene Daten und de-identifizierte Daten ausgeschlossen ist und es auch zu keiner „Vermischung“ der Datensätze kommt.

Durch regelmäßige Überprüfungen der eingesetzten Maßnahmen muss sichergestellt werden, dass ein „Re-Identifizierungs-Angreifer“ keinen Zugang zu dem Originaldatensatz hat und somit keine Verknüpfung der Datensätze und damit eine Re-Identifizierung vornehmen kann.

Siehe dazu auch Abschnitt 7.

Technische Anforderungen an eine wirksame faktische Anonymisierung

Die wirksame Umsetzung der faktischen Anonymisierung (d.h. die Erfüllung bestimmter formalisierter Anonymitätskriterien) ist abhängig von der bzw. den eingesetzten Anonymisierungstechnik(en). Die DSGVO selbst macht keine Vorgaben hinsichtlich der auszuwählenden Anonymisierungstechniken. In diesem Abschnitt werden einige der gängigen De-Identifizierungstechniken und Empfehlungen zur Prüfung von deren Wirksamkeit dargestellt.

6.1 De-Identifizierungstechniken im Überblick Es gibt eine große Anzahl von De-Identifizierungstechniken, mit denen personenbezogene Daten deidentifiziert werden können. Diese erfüllen – je nach methodischem Vorgehen und potentiellem „Re-Iden tifizierungs-Angriffsmodell“ – bestimmte formalisierte Anonymitätskriterien (zum Beispiel: k-Anonymität, l-Diversität, t-Closeness, Differential Privacy). Welche De-Identifizierungstechnik oder Kombination dieser eine ausreichende faktische Anonymisierung gewährleisten kann, muss immer für den konkreten Einzelfall beurteilt werden.

6.1.1 Entfernen der Identifier Personenbezogene Daten können sich aus identifizierenden Attributen (d.h. Name oder Personalausweisnummer), einem quasi-identifizierenden Attributen (d.h. Geburtsdatum, Wohnort oder das Geschlecht) sowie sensiblen Attributen (beispielsweise Krankheiten, sexuelle Neigungen, sehr hohes Alter etc.) zusammensetzen. Der Begriff „sensibles Attribut“ ist in diesem Zusammenhang nicht gleichzusetzen mit besonderen Kategorien i.S.v. Art. 9 Abs. 1 DSGVO. Man spricht auch dann von einem sensiblen Attribut, wenn die Offenlegung des Inhalts und die Zuordnung zu einer Person ein besonderes Risikopotenzial oder Eingriffe in die Privatsphäre begründen (hierzu zählen beispielsweise auch die Kontoverbindung, Sozialversicherungsnummer oder Lichtbilder).23 Durch das Entfernen der identifizierenden und quasi-identifizierenden Attribute können Daten de-identifiziert werden. Hierbei werden

einzelne oder mehrere identifizierende bzw. quasi-identifizierende Attribute (d.h. Identifier) aus einem Datensatz vollständig gelöscht, sodass ein Rückschluss auf eine individuelle Person nicht mehr oder nur noch erschwert möglich ist. Das Entfernen dieser Identifier stellt jedoch meist nur den ersten Schritt für eine faktische Anonymisierung dar. Beispiel: Aus von Fahrzeugen generierte GPS-Standortdaten werden der Name des Nutzers, die Nutzer- sowie Fahrzeugnummer gelöscht. Auf diese Weise lassen sich die GPS-Standortdaten nur noch unter erschwerten Bedingungen (und ggf. nur mit entsprechendem Zusatzwissen) auf eine einzelne Person zurückführen.

6.1.2 Randomisierung Als Randomisierung/Perturbation (d.h. eine Art von „Störung“) werden Techniken (siehe eine Auswahl einzelner solcher Techniken nachfolgend unter 6.1.2.1 bis 6.1.2.6) bezeichnet, mit denen Datenwerte durch künstlich generierte Werte ersetzt werden, um einen Datensatz so zu „verändern" bzw. zu „stören“, dass die direkte Verbindung zwischen bestimmten Daten und den betroffenen Personen entfernt wird. Die Daten sollen dabei nur so weit verändert werden, dass zumindest statistische Eigenschaften des Datensatzes für Analysen erhalten bleiben.

6.1.2.1 Vertauschung („data swapping“) Bei der Vertauschung werden bestimmte Merkmale einer betroffenen Person künstlich mit Merkmalen einer anderen Person vertauscht. Das geschieht idealerweise zufällig bzw. pseudozufällig24, wobei sicherzustellen ist, dass kein Datensatz sich im Ergebnis wieder selbst abbildet. Das Verfahren kann dadurch verbessert werden, dass die Variablen einer spezifischen Person mit den Variablen der anderen Person nicht ganz genau übereinstimmen.

24 23

Allgemein zu diesen Konzepten, Dietmar Hauf, S. 8, abrufbar unter: https://dbis.ipd.kit.edu/img/content/SS07Hauf_kAnonym.pdf.

Pseudozufälligkeit ist eine berechnete Zufälligkeit. Diese sieht für den Betrachter zwar aus wie eine „echte“ Zufälligkeit, kann mit Kenntnis des Schlüsselmaterials jedoch umgekehrt werden.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Beispiel: In einer Kundenliste soll der Wohnort der Kunden vertauscht werden. Wohnt etwa Person A in Ort X und Person B in Ort Y, so ist nach der Vertauschung der Information „Ort“ in der Datenbank abgebildet, dass Person A in Ort Y und Person B in Ort X wohnt. Würden nun aber auch weitere Elemente zwischen Person A und Person B vertauscht werden, könnte dies dazu führen, dass sich der Datensatz im Ergebnis zum großen Teil wieder selbst abbildet und somit der Zweck der Vertauschung nicht erreicht wird. Zwischen zwei konkreten Datensätzen sollte daher immer nur ein nicht maßgeblicher Teil des Datensatzes vertauscht werden.

6.1.2.2 Kryptografische Hashfunktion Eine kryptografische Hashfunktion bildet für ein Datum oder Eingabewert (in beliebiger Länge) einen Ausgabewert – den sogenannten Hashwert – mit fester Länge ab. Eine kryptografische Hashfunktion ist eine Einwegfunktion, sodass allein aus dem Hashwert kein Rückschluss auf das Ursprungsdatum vorgenommen werden kann. Zudem ist eine kryptografische Hashfunktion kollisionsresistent, sodass einem Hashwert immer nur ein Eingabewert zugeordnet werden kann. Dieser Vorgang wird als Hashing bezeichnet. Die kryptografische Hashfunktion selbst ist dabei standardisiert und insoweit (allgemein) bekannt. Daher ermöglicht die Nutzung kryptografischer Hashfunktionen keinen automatischen Schutz der Entschlüsselung. Ein ReIdentifizierungs-Angreifer, der den hinterlegten Hashwert kennt, kann solange verschiedene Eingabewerte mittels der bekannten Hashfunktion berechnen, bis er eine Übereinstimmung mit dem hinterlegten Hashwert erhält. Somit hängt eine Entschlüsselung davon ab, inwieweit ein Re-Identifizierungs-Angreifer die Art der möglichen Eingabewerte kennt oder eingrenzen kann (z.B. Telefonnummern). Um die Schwierigkeit des Entschlüsselns zu erhöhen, wird einem Eingabewert oftmals ein Zufallswert hinzugefügt, wodurch sich der Hashwert verändert. Dieser Zufallswert wird, wenn bekannt, als „Salt“ bezeichnet.

Technische Anforderungen an eine wirksame faktische Anonymisierung

Wird der Zufallswert geheim gehalten, wird dieser „Pepper“ genannt. Damit der Zufallswert eine möglichst hohe Sicherheit vor einem Re-IdentifizierungsAngreifer bietet, sollte dieser eine hinreichende Komplexität und Länge aufweisen und möglichst geheim gehalten werden. Zudem empfehlen sich weitere De-Identifizierungstechniken (wie etwa die stochastische Überlagerung; siehe dazu 6.1.2.3) bzw. konkrete technische und organisatorische Maßnahmen (wie etwa Zugriffsbeschränkungen und restriktive Rechte- und Rollenvergabe). Beispiel: In der Praxis wird Hashing etwa dazu verwendet, User Passwörter von Online-Portalen nicht im Klartext, also unverschlüsselt, speichern zu müssen. Es wird dabei nur der sog. eindeutige Hashwert, also das Ergebnis der auf das Passwort angewandten kryptografischen Hash-Funktion, gespeichert. Wird ein Passwort eingegeben, wird von der Eingabe ebenfalls ein (eindeutiger) Hashwert generiert und bei Übereinstimmung der beiden Hashwerte ist mathematisch sichergestellt, dass das eingegebene Passwort mit dem in der Datenbank hinterlegten Passwort übereinstimmt. Um zu verhindern, dass durch Ausprobieren die Hashwerte von einfacheren Passwörtern ermittelt werden können, wird üblicherweise dem Passwort noch vor dem „Hashen“ ein Zufallswert hinzugefügt (Salt). Eine andere weit verbreitete Einsatzmöglichkeit des Hashing ist die de-identifizierte Speicherung von IPAdressen, bei der das gleiche Verfahren angewendet werden kann.

6.1.2.3 Stochastische Überlagerung („additive noise“) Bei der Stochastischen Überlagerung wird den Daten bewusst ein zufälliger „Messfehler“ hinzugefügt, beispielsweise durch Überlagerung mit Zufallsdaten (die zum Beispiel durch die Addition zufälliger Werte auf die bestehenden Werte erzeugt werden). Diese Methode kann nur auf numerische Werte angewendet werden.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Beispiel: Es wird bei Zahlenwerten etwa die Ziffer an der letzten Stelle durch eine zufällige Ziffer ausgetauscht (beispielsweise bei GPS-Koordinaten).

6.1.2.4 Synthetic Data Generation Bei dieser Methode werden künstliche Datensätze auf Grundlage eines statistischen Modells erstellt. Das Modell wird anhand von statistischen Merkmalen der Ursprungsdaten konstruiert, die synthetischen Daten bilden dabei eine Teilmenge der Ursprungsdaten. Daraus werden dann Stichproben entnommen, um einen neuen Datensatz zu formen. Beispiel: Aus einem Datensatz über Wohnungseinbrüche in einer bestimmten Region werden nur die statistischen Befunde in ein mathematisches Modell extrahiert, welches nun auf Basis dieser statistischen Befunde und ggf. weiteren hinzugefügten Parametern andere Szenarien berechnet.

6.1.2.5 Perturbation Bei der Perturbation werden Datenwerte durch künstliche Werte ersetzt. Das Ziel dabei ist, die Daten so zu verändern, dass dennoch statistische Eigenschaften des Datensatzes für Analysen erhalten bleiben. Die

Technische Anforderungen an eine wirksame faktische Anonymisierung

Methoden bieten einen hohen Schutz vor Angriffen, da die generierten Einträge, welche mit zufallsbasierten Verfahren erzeugt werden, nicht mehr realen Personen entsprechen. Dies stellt jedoch auch einen Nachteil dar, weil die Flexibilität in Bezug auf Analysen verloren geht. Beispiel: In einem umfassenden Datensatz ist neben der Klassifizierung „arbeitssuchend, in Ausbildung, selbständig, angestellt und in Rente“ jeweils das Geburtsjahrzehnt (1950 bis 1959, 1960 bis 1969, 1970 bis 1979, 1980 bis 1989, 1990 bis 1999, usw.) der entsprechenden Personen enthalten. Diese Werte werden jeweils durch zufällig generierte künstliche Informationen ersetzt.

6.1.2.6 Permutation Bei der Permutation werden Daten zwischen Datensätzen innerhalb von Attributen gemischt. Bei dieser Methode werden keine Werte des Datensatzes verändert, sondern der Ursprungsdatensatz in zwei Teile (beispielsweise zwei Tabellen) zerlegt und neu über eine Gruppen-ID verbunden. Dadurch wird die Assoziation zwischen den Werten aus Tabelle 1 mit den Werten aus Tabelle 2 aufgeweicht.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Beispiel: In einem Datensatz über 30 Patienten wird die Tabelle mit den personenbezogenen Daten in die quasi-identifizierenden Attribute (Alter, Geschlecht und Wohnort) einerseits und die sensiblen Attribute andererseits aufgeteilt (Krankheitsverlauf, Symptomatik). Die aufgeteilten Tabellen sind über eine Gruppen-ID nach wie vor miteinander verbunden. Nunmehr kommen für einen Eintrag in der Tabelle 1 (quasi-identifizierende Attribute) 30 verschiedene sensible Werte (Tabelle 2) in Frage. Es kann nicht mehr festgestellt werden, welchen Krankheitsverlauf und welche Symptome die Patienten auf der Liste haben.

6.1.3 Generalisierung/Aggregation Daten können durch Reduzierung ihrer Genauigkeit mittels verschiedener Techniken (siehe eine Auswahl einzelner solcher Techniken nachfolgend unter 6.1.3.1 und 6.1.3.2) de-identifiziert werden (beispielsweise können kategoriale Werte anhand einer Taxonomie durch allgemeinere Werte ersetzt werden, so ersetzt der Begriff „Akademiker“ die Bezeichnungen Richter, Arzt oder Apotheker). Bei numerischen Attributen werden exakte Angaben durch Intervalle ersetzt (beispielsweise wird das Alter 30 durch das Intervall 30-35 ersetzt). Dadurch werden die Daten unspezifischer und sind nicht mehr so leicht auf individuelle Personen zurückzuführen. Aggregation kann jedoch

Technische Anforderungen an eine wirksame faktische Anonymisierung

bei zu geringer Anzahl der Datensätze oder zu geringer Streuung weiterhin einen Personenbezug zulassen.

6.1.3.1 Anwendung verschiedener Generalisierungsschemata Je nach Generalisierungsansatz lässt sich zwischen verschiedenen Schemata unterscheiden: Bei einem sog. „full-domain generalization scheme“ werden alle Werte eines Attributs auf die gleiche Ebene generalisiert. Werden im oben genannten Beispiel daher „Arzt“, „Richter“ und „Apotheker“ durch „Akademiker“ ersetzt, wären auch „Elektriker“ und „Maler“ zu „Handwerkern“ zu generalisieren. Bei einem sog. „subtree generalization scheme“ werden alle sog. „Kindknoten“25 eines „Elternknotens“ generalisiert. Ein sog. „sibling generalization scheme“ wiederum ähnelt dem vorherigen, allerdings werden hier nur spezifische Kindknoten eines Elternknotens generalisiert. Zum Beispiel kann „Arzt“ durch „Akademiker“ ersetzt werden, ohne dass der Begriff „Richter“ verändert wird. Ein sog. „cell generalization scheme“ erlaubt hingegen die Generalisierung lediglich ausgewählter

Als Knoten bezeichnet man in der Graphentheorie ein Element der Knotenmenge eines Graphen. Eine Kante gibt an, ob zwei Knoten miteinander in Beziehung stehen bzw. in der grafischen Darstellung der Knotenmenge miteinander verbunden sind. Für einen von der Wurzel verschiedenen Knoten bezeichnet man den Knoten, durch den er mit einer eingehenden Kante verbunden ist als Vaterknoten, Mutterknoten oder Elternknoten. Umgekehrt bezeichnet man alle Knoten, die von einem beliebigen Knoten aus durch eine ausgehende Kante verbunden sind als Kinder, Kinderknoten, Sohn oder Nachfolger.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Einzelwerte. Zum Beispiel kann der Wert „Richter“ in einem Eintrag generalisiert werden und gleichzeitig in einem anderen Eintrag derselben Tabelle erhalten bleiben. Sog. „multidimensional generalization“ betrachtet mehrere Attribute gleichzeitig und sieht für die jeweiligen Attribute jeweils unterschiedliche andere Generalisierungsansätze vor. So kann zum Beispiel die Gruppe „Arzt, 32“ durch „Arzt, (30-40)“ ersetzt werden, wohingegen alle Einträge mit „Arzt, 36“ zu „Akademiker, 36“ generalisiert werden. Beispiel: In einem Datensatz über Patienten werden – nachdem die (eindeutig) identifizierenden Attribute (Name, Krankenversichertennummer) gelöscht wurden – alle quasi-identifizierenden und sensiblen Attribute eine Stufe nach oben generalisiert (aus der exakten Wohnadresse des Patienten wird das Viertel, aus dem Alter eine festgelegte Altersspanne und aus dem Beinbruch die Fraktur).

de-identifiziert werden, indem die Patienten zunächst nach dem Alter in Gruppen gegliedert und danach innerhalb einer Altersgruppe die einzelnen Alterswerte durch das Altersmittel dieser Gruppe ersetzt werden.

6.2 Formalisierte Anonymisierungskriterien Es wird zwischen De-Identifizierungstechniken einerseits und formalisierten Anonymisierungskriterien andererseits unterschieden. „Formalisierte Anonymisierungskriterien“ sind keine Techniken als solche, sondern eine mathematische Beschreibung des spezifischen „Sicherheitsniveaus“ der angestrebten De-Identifizierung als Ergebnis der geplanten (Kombination von) De-Identifizierungstechniken, die angewendet werden sollen. Die Erfüllung eines formalisierten Grades an De-Identifizierung ist nicht gleichbedeutend mit der Erreichung einer faktischen Anonymisierung, es sind vielmehr auch die weiteren hierfür erforderlichen Kriterien (siehe 6.2.1 bis 6.2.3) zu beachten.

6.1.3.2 Mikroaggregierung

6.2.1 Differential Privacy

Mikroaggregierung beschreibt eine Technik der De-Identifizierung, bei der die Daten nach Ähnlichkeit in den Attributwerten gruppiert und pro Gruppe die einzelnen Werte zu einem repräsentativen Wert zusammengefasst werden, etwa dem Mittelwert oder dem Median. Während bei der klassischen Aggregierung einzelne Attributwerte verändert (beziehungsweise generalisiert) werden, bleiben bei der Mikroaggregierung die Attributwerte gleich und werden lediglich zusammengefasst. Die Mikroaggregierung hat daher gegenüber der klassischen Aggregierung unter anderem den Vorteil, dass sie zu geringeren Datenverlusten führt und regelmäßig die Granularität der Daten in höherem Maß erhält.

Differential Privacy ist eine mathematische Definition von Anforderungen, um den Grad der De-Identifizierung messbar zu machen.26 Mit Differential Privacy wird das Ziel verfolgt, eine genaue Aussage über die Wahrscheinlichkeit einer Re-Identifizierung treffen zu können, ohne dass dadurch eine Identifizierung einzelner Datensätze erforderlich ist.

Beispiel: Eine sehr einfache Form der Aggregation ist die Zusammenfassung aller Datenpunkte auf einen Durchschnittswert. Dieser lässt grundsätzlich keine Rückschlüsse mehr auf Einzelpersonen zu (beispielsweise das durchschnittliche Gehalt eines Software -Entwicklers in einem größeren Konzern). So können beispielsweise Patientendaten mithilfe von Mikroaggregation

Technische Anforderungen an eine wirksame faktische Anonymisierung

Wie hoch das Risiko einer Re-Identifizierung ist, wird durch den Parameter Epsilon (ε)27 als die Wahrscheinlichkeit ausgedrückt, dass eine Abfrage über eine Datenbank, die einen zusätzlichen Datensatz enthält, dasselbe Ergebnis liefert wie eine Abfrage über eine andere Datenbank, die diesen Datensatz nicht enthält. Je kleiner der Faktor ε ist, desto höher ist der Schutz vor einem Re-Identifizierungs-Angriff. Welchen Wert ε annehmen muss, um nach dieser Messmethode den Grad einer faktischen Anonymisierung zu erreichen, kann nur anhand des Einzelfalles beurteilt werden, da

Eine randomisierte Funktion κ liefert ∈ Differential Privacy, falls für alle Datensätze D1 und D2 die sich in höchstens einem Eintrag unterscheiden,und alle S ⊆ Range(κ) gilt: Pr[κ(D1) ∈ S]≤e{ϵ}\times\Pr[κ(D2 ) ∈ S].

Papastefanou, „Database Reconstruction Theorem“ und die Verletzung der Privatsphäre (Differential Pri-vacy), CR 2020, 379-386 (382f).

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Technische Anforderungen an eine wirksame faktische Anonymisierung

insofern insbesondere die Quantität der Daten eine signifikante Rolle spielt.

über die Wahrscheinlichkeit einer Re-Identifizierung getroffen werden.

Beispiel: Bei einer Konferenz soll die Anzahl aller Teilnehmer pro Fachgebiet veröffentlicht werden. Dazu werden die Daten aggregiert und das Ergebnis mit einem zufälligen Rauschen addiert, welches entsprechend des Beitrags eines einzelnen Nutzers gewählt wird (jeder Teilnehmer kann beispielsweise maximal drei Fachgebiete wählen und wird für jedes Fachgebiet nur einmal gezählt). Ändert sich der mögliche Beitrag der Nutzer, so müssen auch die Parameter des Rauschens geändert werden (wenn beispielsweise ein Nutzer nur ein einzelnes Fachgebiet wählen soll).

Unter dem Schlagwort „Lokale Differential Privacy“ wird das Zufügen eines statistischen Rauschens verstanden, wodurch Rückschlüsse auf Einzelpersonen unmöglich werden, aber die derart de-identifizierten Daten weiterhin eine statistische Auswertung erlauben. „Zentrale Differential Privacy“ hingegen bedeutet, dass Daten zunächst aggregiert und danach mit einem zufälligen Rauschen versehen werden, um die Existenz einzelner Datensätze von Nutzern in den gesammelten Daten zu verschleiern. Das Rauschen kommt in beiden Fällen von einer anerkannten Verteilung (meist Laplace oder Gauss) mit vorbestimmten Parametern, welche aus bekannten Eigenschaften der vorhandenen Datensätze gewonnen werden (beispielsweise, wie oft ein einzelner Nutzer einen Wert beigetragen hat und wie viel Einfluss dessen Daten auf das Ergebnis der Aggregation hat).

Die k-Anonymität verlangt für eine De-Identifizierung, dass Datensätze soweit verändert werden, dass kein Rückschluss auf eine einzelne Person (d.h. ununterscheidbar mit k-1 anderen Personen) möglich ist. Der „k-Wert“ drückt den Parameter aus, wie häufig ein Attribut eines Datensatzes innerhalb einer Datensammlung sog. Äquivalenzklasse) vorkommt. Beispiel: Im Rahmen einer medizinischen Studie werden PLZ, behandelnder Arzt und Krankheit gespeichert und die sensible Information zu der Krankheit soll de-identifiziert werden. Befinden sich in der Tabelle jeweils zwei identische Einträge mit denselben Attributen zu PLZ, behandelnder Arzt und Krankheit liegt, der k-Wert bei 2.

Die k-Anonymität weist jedoch Schwächen auf. Aufgrund der Homogenität der Äquivalenzklassen (d.h. alle k Datensätze einer Äquivalenzklasse weisen identische Attribute auf) oder durch zusätzliches Hintergrundwissen (d.h., ein Angreifer weiß über die Existenz einer Person in einer Datenbank und kann diese Person der korrekten Äquivalenzklasse zuordnen, daher kann er ggf. durch das Zusatzwissen bestimmte sensible Attribute für die Person ausschließen) ist eine Re-Identifizierung möglich. Diese Schwächen sollen durch Weiterentwicklungen der k-Anonymität (durch l-Diversität und t-Closeness, siehe nachfolgend) behoben werden.

6.2.2 k-Anonymität Die k-Anonymität ist ein formelles Datenschutzmodell, mit dem die Aussage über die Wahrscheinlichkeit beschrieben wird, ob sich ein Datensatz mit einem anderen verknüpfen lässt. Damit kann eine Aussage

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

6.2.3 l-Diversität und t-Closeness Die l-Diversität ist eine Erweiterung der k-Anonymität, um Schwachstellen im k-Anonymitätsmodell zu bereinigen, dass k keine Aussage über die Repräsentanz der Person in der k-Gruppe trifft. Bei der l-Diversität wird die Verbindung eines sensiblen oder sonst leicht identifizierbaren Attributes (vgl. 6.1.1.) mit einer Person geschützt, indem dieses mindestens in einer Menge von l anderen sensiblen Attributen versteckt wird. Ein Angreifer benötigt somit mindestens l-1 Hintergrundwissen, um durch genügend Ausschluss falscher sensibler Attribute auf das richtige schließen zu können. Beispiel: Bei einem k-Faktor von 5 sind zum Beispiel zwei über 100-jährige Personen enthalten und die Altersangabe ist im Datensatz vorhanden. Durch das Hintergrundwissen, dass zwei über 100-jährige Personen in einem Datensatz vorhanden sind und da über 100-jährige Personen sehr selten sind, können diese zwei Personen leicht re-identifiziert werden. Durch weitere DeIdentifizierung dieser Information, indem beispielsweise die über 100-jährigen Personen einer anderen Altersgruppe zugeordnet werden, kann der Datensatz nach der l-Diversität anonymisiert werden.

Das Modell t-Closeness verfeinert wiederum den Ansatz der l-Diversität, indem Äquivalenzklassen (auch sog. Blöcke) gebildet werden, die der ursprünglichen Verteilung der Merkmalswerte in den Daten ähneln. Hierfür wird eine weitere Bedingung eingeführt: Es sollen nicht nur mindestens l verschiedene Werte in einer Äquivalenzklasse vertreten sein, sondern es ist auch erforderlich, dass jeder Wert so oft in einem Block vertreten ist, wie es der ursprünglichen Verteilung für jedes einzelne Merkmal entspricht.

Technische Anforderungen an eine wirksame faktische Anonymisierung

Beispiel: Ein Versicherer will eine statistische Übersicht erstellen, in welchen Wohnbezirken die meisten Versicherungsfälle durch Kunden gemeldet werden und dies auch nach Alter aufschlüsseln. Dazu ist es aber nicht zwingend notwendig, von den betreffenden Kunden PLZ, Alter und die Zahl der gemeldeten Versicherungsfälle direkt in Relation zu setzen und zu verarbeiten. Bei entsprechender Anwendung der t-Closeness Methode könnte man die letzte Stelle der PLZ weglassen und diese in Blöcke einteilen, beispielsweise 8080*, 8033*, etc. Dasselbe kann mit dem Alter der Kunden zum Beispiel in Fünfjahresschritten erfolgen. Die Zahl der gemeldeten Versicherungsfälle würde folglich nur in Relation zu diesen Blöcken (d.h. PLZ-Bereiche und Altersbereiche) dargestellt und verarbeitet werden.

6.3 Wirksamkeit der Anonymisierung Abhängig von der Beschaffenheit des Rohdatensatzes kann eine Kombination der oben angeführten formalisierten Anonymisierungskriterien bzw. De-Identifizierungstechniken (siehe 5.3) erforderlich sein. Die zur De-Identifizierung verwendeten Methoden müssen sicherstellen, dass im Sinne der faktischen Anonymisierung (siehe dazu oben 3.3.1) nicht zu erwarten ist, dass jemand in der Lage ist:

eine einzelne Person aus dem Datenbestand herauszugreifen („Singling out“) – dies ist solange gegeben, wie sich Datensätze (etwa einer Tabelle) einzelnen Personen zuordnen lassen; Beispiel: In einer Arbeitnehmerliste werden verschiedenste Attribute in den Datensätzen vertauscht oder stochastisch überlagert, nicht aber die Position des Arbeitnehmers im Unternehmen. Da es in vielen Unternehmen nur einen Leiter der IT-Abteilung gibt, ist dieser aus dem Datenbestand heraus leicht identifizierbar (wenn man weiß, dass die Position des Arbeitnehmers nicht vertauscht wurde), auch wenn einige in der Datenbank gespeicherte Attribute nicht auf den Leiter der IT-Abteilung zutreffen.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

eine Verbindung zwischen zwei Datensätzen eines Datenbestandes oder zwischen zwei unabhängigen Datenbeständen im Sinne einer Verknüpfbarkeit herzustellen („Linkability“) – damit ist die Möglichkeit gemeint, mindestens zwei verschiedene Einträge derselben Person oder derselben Gruppe von Personen zuzuordnen und zwar unabhängig davon, ob sich diese in derselben Datenbank befinden oder nicht28; Beispiel: Bei der De-Identifizierung von Suchanfragen über öffentlich zugängliche Suchmaschinen kann etwa nicht ausgeschlossen werden, dass die Daten mit Hilfe sonstiger im Internet verfügbaren Informationen auf eine bestimmte Person zusammengeführt werden könnten.

durch Inferenz Informationen aus einem Datenbestand abzuleiten (sog. „Inference“) – hiernach darf es mit überwiegender Wahrscheinlichkeit nicht möglich sein, den Wert bzw. Gehalt eines Datensatzes von denen anderer Einträge abzuleiten. Beispiel: Bei einer Volkszählung werden bestimmte Informationen über die Bevölkerung erhoben. Die Daten werden veröffentlicht, allerdings derart aggregiert, dass bei jeder Abfrage mindestens fünf Personen als Ergebnis ausgegeben wurden oder andernfalls gar kein Ergebnis angegeben wurde. Die Auswahl bestimmter Kriterien der Einwohner einer Ortschaft (Geschlecht, Altersgruppe, Staatsangehörigkeit) ergibt exakt fünf Personen, deren Schulbildung allerdings dieselbe ist. Somit kann aus den aggregierten Daten abgeleitet werden, dass, wenn man eine Person aus dieser Ortschaft mit entsprechendem Geschlecht, Alter und Staatsangehörigkeit trifft, man implizit auch deren Schulbildung kennen würde.

In Einzelfällen kann die Aussagequalität der anonymisierten Daten (z.B. einer Statistik) davon abhängen, dass verschiedene Datensätze einer einzelnen Person weiter zuzuordnen sind, ohne dass diese Person bekannt sein muss. In einem solchen Fall müsste für eine wirksame Anonymisierung sichergestellt werden, dass eine Re-Identifizierung trotz der Verknüpfung mehrerer Datensätze nicht möglich ist.

Technische Anforderungen an eine wirksame faktische Anonymisierung

Führt eine oder mehrere dieser „Re-IdentifizierungsAngriffen“ zum „Erfolg“, d.h. es ist dadurch eine – teilweise – Re-Identifizierung möglich, liegen weiterhin personenbezogene Daten vor. Regelmäßig ist keine Methode und kein Kriterium für sich alleine ausreichend, um Daten wirksam faktisch zu anonymisieren. Eine ausreichende faktische Anonymisierung bedarf daher regelmäßig der Kombination verschiedener Methoden der Randomisierung und der Generalisierung (siehe auch 5.3 und 6.4.3). Hinweis: Die Wirksamkeit der faktischen Anonymisierung muss für den jeweiligen Sachverhalt und die zum Einsatz kommenden Methoden zur De-Identifizierung beurteilt und dokumentiert werden. Als Anhaltspunkt können dabei die folgenden Fragen dienen:

. . .

Wer könnte ein Motiv zur Re-Identifizierung haben? Welche Mittel stehen jemanden zur Re-Identifizierung zur Verfügung? Welche Schritte und welcher (Zeit-)Aufwand ist erforderlich, damit die de-identifizierten Daten wiederhergestellt werden können?

Welche Daten sind öffentlich verfügbar, die dazu benutzt werden könnten, den Personenbezug wiederherzustellen? Das könnten etwa Informationen aus öffentlichen Registern (beispielsweise Handelsregister, Grundbuch, Vereinsregister etc.), Informationen aus Sozialen Medien, über Suchmaschinen oder Datenbanken auffindbare Informationen oder Informationen sein, die sonst anderweitig über das Internet oder aus anderen Datenquellen abrufbar sind.

Gibt es Dritte mit Zugriff auf die de-identifizierten Daten, die über weitere Informationen verfügen, anhand derer sich der Personenbezug wiederherstellen lässt? (beispielsweise Originaldatensatz, Standortdaten, die in Kombination mit den de-iden tifizierten Daten eine Identifikation ermöglichen können etc.)

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Technische Anforderungen an eine wirksame faktische Anonymisierung

6.4 Auswahl der Anonymisierungsmethode

Grad der Anonymisierung die faktische Anonymisierung ausschließen kann.

Zur Bestimmung der Auswahl der Anonymisierungsmethode (also der erforderlichen Kombination von DeIdentifizierungstechniken) sind insbesondere die nachfolgenden Aspekte zu berücksichtigen:

6.4.3 Stufen der Anonymisierung

6.4.1 Um welche Art von Datensätzen handelt es sich?

Die EU-Datenschutzbehörden schlagen ein stufenweises Vorgehen bei der Anonymisierung vor, d.h. verschiedene Techniken sollten kombiniert werden (siehe dazu auch 5.3).29 Es kann sich folgende Reihenfolge anbieten:

Im ersten Schritt sind Art und Natur der betroffenen Datensätze zu bewerten:

Welche „Sensibilität“ (Sensibilität beschreibt hier nicht nur besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO, sondern auch Informationen die eine besondere Relevanz für die betroffene Person haben, wie beispielsweise Bank- und Kontoinformationen, siehe 5.2) kommt den Daten zu?

. .

Würde eine Re-Identifizierung ein hohes datenschutzrechtliches Risiko mit sich bringen? Wie viele Daten/Personen und welche („Art“ von) Personen (beispielsweise Kinder) sind betroffen?

6.4.2 Für welchen Use Case werden die Daten anonymisiert? Damit die zu anonymisierenden Daten, die für den jeweiligen Use Case erforderliche Qualität haben, muss auch der konkrete Verwendungszweck der anonymisierten Daten bei der Auswahl der De-Identifizierungstechniken berücksichtigt werden. Ein zu hoher Grad der Anonymisierung könnte zur Unverwertbarkeit der Daten führen, wohingegen ein zu geringer

Entfernen der Identifier: Zuerst sollten die Identifier entfernt werden, d.h. sämtliche direkt bzw. indirekt identifizierenden Attribute gelöscht werden.

Randomisierung: Im nächsten Schritt sind die Datensätze zu randomisieren, um eine direkte Verbindung zwischen den Daten und den betroffenen Personen aufzuheben.

Generalisierung: Im letzten Schritt sind durch Generalisierung und Aggregierung die Genauigkeit der Daten zu reduzieren.

Je nach konkretem Use Case und Risikogeneigtheit der Datensätze gegenüber einer Re-Identifizierung kann jedoch auch eine andere Reihenfolge der De-Identifizierungstechniken sinnvoller sein. Jedenfalls wird es in den seltensten Fällen ausreichen, bloß eine einzelne De-Identifizierungstechnik anzuwenden, damit ein ausreichendes Niveau an De-Identifizierung erreicht werden kann.

6.4.4 Überprüfung Nach jedem De-Identifizierungsschritt muss überprüft werden, ob bereits eine ausreichende faktische Anonymisierung erreicht wurde und demnach ein „Re-Identifizierungs-Angreifer“ einen unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft eingehen müsste, um eine Re-Identifizierung durchzuführen. Siehe hierzu im Detail der folgende Abschnitt 6.5

Vgl. hierzu u.a. CNIL, abrufbar unter https://www.cnil.fr/fr/ lanonymisation-de-donnees-personnelles.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

6.5 Regelmäßige Überprüfung der Anonymisierungsmethode Aufgrund des technischen Fortschritts und der möglichen Änderung sonstiger relevanter objektiver Faktoren (siehe 5.2) muss die eingesetzte Anonymisierungsmethode (d.h., die Summe der angewandten De-Identifizierungsmethoden, die zu einer wirksamen faktischen Anonymisierung führen) regelmäßig überprüft und – soweit erforderlich – aktualisiert werden. Informationssicherheit ist kein Zustand, sondern als kontinuierlicher Verbesserungsprozess zu sehen (ISO/ IEC 27001) und sollte regelmäßig anhand des PDCAZyklus (Plan-Do-Check-Act)30 oder im Wege einer vergleichbaren Methodik geprüft werden. Auch für durchgeführte oder noch geplante faktische Anonymisierungen ist das PDCA-System empfehlenswert, um regelmäßig den Bestand über den Sicherheitsstand aufzunehmen. Da der technische Fortschritt weder in Bezug auf DeIdentifizierungstechniken noch hinsichtlich zukünftiger Hardwareleistung realistisch vorhergesehen werden kann (und der Verantwortliche im Rahmen der faktische Anonymisierung zunächst nur zum Zeitpunkt der Durchführung der Anonymisierungsmethode prüft, ob eine Re-Identifizierung nicht wahrscheinlich ist, siehe 5.2 und 6.2), sollte der Zeitraum zwischen derartigen Überprüfungen im Zweifel eher kurz gewählt werden. Als Orientierungshilfe können auch die Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu kryptographischen Verfahren herangezogen werden. Diese geben Auskunft über die Zuverlässigkeit von Prognosen zur Sicherheit kryptografischer Verfahren und sind damit ein Indikator, über welchen Zeitraum eine eingesetzte Technologie (zur Anonymisierung) als wirksam betrachtet werden kann.31

Vgl. etwa GDD-Praxishilfe DS-GVO II, Verantwortlichkeiten und Aufgaben nach der DSGVO, S. 7, abrufbar unter https://www.gdd.de/ downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_2.pdf. Der PDCAZyklus beschreibt einen vierphasigen Prozess, der zur Kontrolle und stetigen Verbesserung von Prozessen und Produkten dient. Hierbei werden Prozesse zunächst geplant (plan), getestet (do), die Testphase ausgewertet (check) und auf dieser Grundlage der Prozess verbessert (act).

Vgl. BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen, abrufbar unter https://www.bsi.bund.de/DE/ Publikationen/TechnischeRichtlinien/tr02102/index_htm.html.

Technische Anforderungen an eine wirksame faktische Anonymisierung

Hinweis: Zur Überprüfung der Wirksamkeit der vorgenommenen Anonymisierungsmethode bieten sich auch Audits durch externe, darauf spezialisierte Dienstleister an. Bisher werden Überprüfungen der Wirksamkeit der eingesetzten Anonymisierungsmethode aber noch nicht von den bekannten Dienstleistern angeboten.

Sollte die Überprüfung und Bewertung der Anonymisierungsmethode zu dem Ergebnis führen, dass ihre Wirksamkeit nicht mehr ausreichend gegeben und eine Re-Identifizierung möglich ist, muss Abhilfe geschaffen werden, da sonst ein Risiko für die Rechte und Freiheiten der betroffenen Personen be- bzw. entsteht. Dies kann möglicherweise bedeuten, dass alte Methoden nicht mehr, oder zumindest nicht mehr alleine ohne weitere flankierende De-Identifizierungstechniken, zum Einsatz kommen dürfen und durch neue Maßnahmen ersetzt werden müssen oder sogar, dass die gesamte Anonymisierungsmethode umgestaltet werden muss. Es kann im Einzelfall auch erforderlich sein, bereits de-identifizierte Daten, die mit der „alten“ Anonymisierungsmethode de-identifiziert wurden, noch einmal mit der neuen Anonymisierungsmethode zu de-identifizieren, um diese Datensätze weiterhin in faktisch anonymisierter Form nutzen zu können. Auch dann, wenn anonymisierte Daten gegenüber Dritten offenbart oder öffentlich zugänglich gemacht worden sind und später wieder re-identifizierbar werden, müssen diese im Falle einer später eintretenden Re-Identifizierbarkeit gelöscht oder durch neu anonymisierte Daten ersetzt werden. Dies sollte vor der Weitergabe von faktisch anonymisierten Daten bedacht werden. Darüber hinaus kann ein Löschkonzept – auch wenn dies bei anonymisierten Daten rechtlich nicht zwingend erforderlich ist – für zusätzliche Rechtssicherheit und Risikominimierung beim Umgang mit faktisch anonymisierten Daten schaffen. Die Parameter für einen Austausch oder einer Rückgabe/Löschung dieser Daten können beispielsweise vertraglich geregelt werden.

Organisatorische Umsetzung der faktischen Anonymisierung durch Dritte

Der Verantwortliche kann eine wirksame faktische Anonymisierung von personenbezogenen Daten selbst vornehmen oder sich eines Dienstleisters bedienen. Sofern der Originaldatensatz nicht gelöscht werden kann (etwa wegen gesetzlicher Aufbewahrungspflichten oder weil eine gerechtfertigte Datenverarbeitung des Originaldatensatzes vorgenommen werden soll), kann die Einschaltung eines Dritten das Risiko einer Re-Identifizierung unter Umständen verringern. Denn wenn der Dritte den Originaldatensatz löscht und weiteren Nutzern (d.h. nicht der Stelle, die den Originaldatensatz hält) nur der anonymisierte Datensatz zur Verfügung gestellt wird, ist für den Dritten und diese weiteren Nutzer eine weitere Sicherheitsschwelle hinsichtlich einer möglichen Re-Identifizierung geschaffen worden. Dieses Vorgehen kann auch innerhalb eines Konzernverbunds eine hilfreiche organisatorische Maßnahme sein. Nach unserer Auffassung ist der Einsatz von Dritten jedoch nicht zwingend, sofern durch interne Strukturen (zum Beispiel sog. Chinese Walls) organisatorische Grundlagen geschaffen werden, die ein Zusammenführen von Informationen, die in einem Unternehmen vorhanden sind, wirksam ausschließen. 32

Zusammenhang mit möglichen Rechtsfolgen auf dem Prüfstand steht, wenn trotz konkreter Schutzmaßnahmen eine Re-Identifizierung stattfindet.

7.1 Organisatorische Maßnahmen

In der Praxis kann es vorkommen, dass sich ein Auftragsverarbeiter vorbehalten möchte, personenbezogene Daten auch für eigene Zwecke (beispielsweise für interne Analyse- und Statistikzwecke) zu anonymisieren. Wenn man davon ausgeht, dass es sich bei der faktischen Anonymisierung um eine Datenverarbeitung handelt (siehe hierzu 3.2), stellen sich bei diesem Vorgehen die folgenden Probleme:

Neben den technischen Anforderungen an eine faktische Anonymisierung müssen Unternehmen auch durch flankierende organisatorische Maßnahmen sicherstellen, dass eine Re-Identifizierung verhindert wird. Zu solchen Maßnahmen zählen unter anderem Berechtigungskonzepte, in denen Zugriffsregeln für Benutzer oder Benutzergruppen beschrieben wird, klare Data Governance Strukturen (zum Beispiel auch das Einsetzen von unabhängigen Kontrollinstanzen), die durch Standards und Richtlinien den Umgang und Zugriff auf Daten sowie die Anonymisierung regeln, aber auch Verträge und Weisungen, die eine Re-Identifizierung anonymisierter Daten verbieten und sanktionieren. Gerade mithilfe vertraglicher Regelungen kann ein Verantwortlicher gegenüber Dritten Regelungen vereinbaren, was im Fall einer (ggf. auch unabsichtlichen) Re-Identifizierung zu tun ist. Hierdurch wird zwar die Anonymisierung als solche nicht effektiver oder wirksamer, jedoch unterstreicht und belegt dies das redliche Bemühen des Verantwortlichen um eine effektive Anonymisierung, falls dieses etwa im Rahmen von Ermessensentscheidungen einer Datenschutzbehörde in 32

Siehe dazu bereits 3.4

7.2 Datenschutzrechtliche Verantwortlichkeit des Dritten Wird ein Dritter (d.h. ein externer Dienstleister oder ein verbundenes Konzernunternehmen) für die faktische Anonymisierung der Daten hinzugezogen, ist die datenschutzrechtliche Rollenverteilung nach den allgemeinen Kriterien näher zu bestimmen.

7.2.1 Auftragsverarbeiter De-identifiziert der Dritte bloß auf Weisung des Verantwortlichen personenbezogene Daten, sodass das beauftragende Unternehmen allein über Mittel und Zweck der Datenverarbeitung entscheidet, wird der Dritte als Auftragsverarbeiter tätig. Es wäre daher mit dem Dienstleister eine Auftragsverarbeitungsvereinbarung im Sinne des Art. 28 DSGVO abzuschließen und es sind die weiteren gesetzlichen Anforderungen einzuhalten.

der Auftragsverarbeiter handelt in diesem Fall nicht auf Weisung des Auftragsgebers, es besteht das Risiko, dass er als gemeinsam Verantwortlicher eingestuft werden könnte,

. .

die faktische Anonymisierung löst unter Umständen Informationspflichten (siehe dazu 9.1) aus und sollten die anonymisierten Daten zu einem späteren Zeitpunkt (beispielsweise aufgrund technischen Fortschritts) re-identifizierbar und damit personenbezogenen werden, müssten diese auch beim Auftragsverarbeiter gelöscht oder durch „nach-anonymisierte“ Daten ersetzt werden.

Daher sollte dieses Vorgehen und die entsprechenden Konsequenzen vertraglich ausgeschlossen oder

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Organisatorische Umsetzung der faktischen Anonymisierung durch Dritte

eindeutig zwischen den Parteien geregelt werden (zum Beispiel durch eine Vereinbarung der gemeinsamen Verantwortlichkeit für die Tätigkeiten, in denen der Dienstleister nicht auf Weisung tätig wird, wenn es sich dabei um gemeinsame Kontrolle handelt, die auch die Informations- und etwaige Löschpflichten regelt).

dann nämlich sichergestellt sein, dass der ursprüngliche und der neue Verantwortliche nicht gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden.

7.2.2 Gemeinsame Verantwortlichkeit Die Einbeziehung Dritter kann in einer Art und Weise erfolgen, dass die involvierten Parteien als gemeinsam Verantwortliche für die Datenverarbeitung tätig werden (vgl. Art. 26 DSGVO). Dies ist dann der Fall, wenn der (ursprünglich) Verantwortliche gemeinsam mit dem Dritten über die Zwecke und Mittel der Datenverarbeitung bestimmt. Beispiel: Der Dritte, der die faktische Anonymisierung durchführt, hat selbst ein wirtschaftliches Interesse an der Verarbeitung der personenbezogenen Daten und möchte die faktisch anonymisierten Daten zusammen mit dem Verantwortlichen gemeinsam zur Erbringung einer Serviceleistung verwenden.

In dieser Konstellation müssen die gemeinsam Verantwortlichen in einer Vereinbarung gemäß Art. 26 DSGVO die jeweiligen datenschutzrechtlichen Rollen und Verantwortlichkeiten festlegen.

7.2.3 (Getrennt) Verantwortliche Der Dritte kann auch als selbst (getrennt) Verantwortlicher tätig werden. Das ist in Fällen denkbar, in denen der Dritte die Daten anderweitig und ohne Einflussmöglichkeiten oder sonstige gemeinsame Planung des ursprünglich Verantwortlichen (weiter-)verarbeitet. Angesichts des weiten Verständnisses der Gerichte und Aufsichtsbehörden zur gemeinsamen Verantwortlichkeit i.S.v. Art. 26 DSGVO dürfte eine derartige Gestaltung aber nur in Ausnahmefällen möglich sein. Es muss

7.3 Besonderheiten bei der De-Identifizierung innerhalb des Konzerns/ eines Unternehmensverbunds In der DSGVO gibt es kein "Konzernprivileg", weshalb die obigen Ausführungen auch für verbundene Unternehmen im Sinne des § 15 Aktiengesetz zutreffen. Eine Besonderheit kann sich jedoch durch das im Konzernverbund bestehende Weisungsrecht einer Muttergesellschaft ergeben. Das Weisungsrecht kann zwar eine Maßnahme zur Sicherstellung der Anonymisierung sein, etwa, wenn der Konzern-Code of Conduct Re-Identifizierungsversuche anderweitig anonymisierter Daten konzernweit als Business Ethics Incident mit möglicherweise drastischen Konsequenzen qualifiziert. Dies allein reicht aber für eine faktische Anonymisierung nicht aus. De-identifiziert etwa eine Tochtergesellschaft die personenbezogenen Daten einer oder mehrerer Konzerngesellschaften, hat die übergeordnete Gesellschaft häufig im Rahmen ihrer Weisungsrechte (auch wenn rechtwidrige Weisungen grundsätzlich nicht beachtet werden müssen) aus gesellschaftsrechtlicher Sicht die Möglichkeit, den Originaldatensatz von ihren Tochtergesellschaften zu erlangen. Der EuGH33 sah in seiner noch zur Datenschutzrichtlinie ergangenen Entscheidung zur Einordnung von dynamischen IP-Adressen diese als personenbezogenes Datum an, sofern der Verarbeiter (hier ein Website-Betreiber) über die rechtliche Möglichkeit verfügt, den Personenbezug aufschlüsseln zu lassen. Dies ist insbesondere bei gemeinsam genutzten IT-Systemen auch mit der Situation im Konzern vergleichbar. Flankierend zu der technischen Umsetzung sollte daher durch ausreichende Data Governance-Maßnahmen sichergestellt werden, dass (ggf. auch mithilfe von gesellschaftsrechtlichen Mitteln) eine den datenschutzrechtlichen Voraussetzungen nicht genügende Verwendung oder Verarbeitung von Daten, auch innerhalb derselben Organisationseinheit, nicht möglich ist.

EuGH, Urteil vom 19.10.2016 – C-582/14 – Breyer.

Rechtmäßigkeit von De-Identifizierungsmaßnahmen

Die DSGVO regelt nicht, ob eine faktische Anonymisierung einer eigenen Rechtfertigung bedarf oder die weiteren Verpflichtungen nach der DSGVO auslöst. Der BDI vertritt die Auffassung, dass die faktische Anonymisierung in der DSGVO insgesamt privilegiert ist und insofern keiner eigenen Rechtsgrundlage bedarf.34 Folgt man jedoch der Auffassung des BfDI35 und begreift die Anonymisierung als eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO, ist die DSGVO auf diesen Vorgang auch in vollem Umfang anzuwenden. Vor diesem Hintergrund behandelt dieser Leitfaden – als Hilfestellung – auch die Anforderungen an eine faktische Anonymisierung aus datenschutzrechtlicher Sicht, insbesondere hinsichtlich möglicher Rechtfertigungsgrundlagen nach der DSGVO (siehe 3.2).

Rechtfertigungsgründe gestützt werden kann, sofern die betroffenen Personen hierüber informiert werden.36

Sofern personenbezogene Daten auch zum Zweck der faktischen Anonymisierung ersterhoben werden und sich die Erhebung und Verarbeitung nicht auf eine Einwilligung stützt, ist das Vorliegen eines der Rechtfertigungsgründe aus Art. 6 Abs. 1 lit. b) bis f) DSGVO erforderlich. Dabei ist zu beachten, dass De-Identifizierungsmaßnahmen, die eine faktische Anonymisierung zur Folge haben, regelmäßig die Rechte und Freiheiten betroffener Personen nicht oder nur unwesentlich tangieren, sodass diese nur beim Hinzutreten sonstiger Gründe oder sonstiger Verarbeitungen die Interessen der Verantwortlichen überwiegen werden.37 Dies bedeutet jedoch nicht, dass ohne Begrenzung personenbezogene Daten aus allen verfügbaren Quellen erhoben werden dürfen, sofern alleiniger Zweck die Anonymisierung ist (siehe hierzu 8.2).

Sofern personenbezogene Daten auf Grundlage einer Einwilligung erhoben werden, muss im Sinne des Transparenzgebots über die Durchführung der DeIdentifizierungsmaßnahmen ausreichend transparent informiert werden, um die faktische Anonymisierung zu rechtfertigen. Sofern dem Transparenzgebot nicht genügt wird, können die betroffenen Personen um eine weitere Einwilligung gebeten werden. Das Einholen von zusätzlichen Einwilligungen lediglich zum Zweck der faktischen Anonymisierung ist aber wohl in der Praxis kaum umsetzbar, sofern der Anonymisierungsvorgang nicht bereits von der ursprünglichen Einwilligung mitumfasst wäre. Die betroffene Person dürfte regelmäßig kein Interesse haben, eine erneute Einwilligung abzugeben und die praktische Umsetzung der einzuholenden Einwilligung wäre mit einem hohen organisatorischen und personellen Aufwand verbunden. Es spricht vieles dafür, dass die Durchführung von DeIdentifizierungsmaßnahmen auch auf die weiteren

Werden personenbezogene Daten als Sicherheitsmaßnahme (vgl. Art. 32 DSGVO) oder aufgrund eines Löschungsverlangen (vgl. Art. 17 DSGVO) anonymisiert, erfolgt dies regelmäßig aufgrund einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt und ist gem. Art. 6 Abs. 1 lit. c) DSGVO gerechtfertigt.

Es wird zwar teilweise vertreten, dass Einwilligungen im Hinblick auf dieselbe Verarbeitungstätigkeit eine Art „Sperrwirkung“ entfalten, die es unzulässig macht, auf eine andere Rechtsgrundlage abzustellen. Richtigerweise stellt die Anonymisierung aber allenfalls eine zusätzliche Verarbeitungstätigkeit dar, für die eine etwaige Sperrwirkung aufgrund einer erteilten Einwilligung nicht gilt. Da Art. 6 Abs. 4 DSGVO, der die Zulässigkeit der Zweckänderung regelt, in diesen Fällen nicht gilt („[b] eruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person […]“), richtet sich die Zulässigkeit in diesem Fällen nach Art. 6 Abs. 1 lit. b) bis f) DSGVO oder, bei besonderen Kategorien personenbezogener Daten, nach Art. 9 Abs. 2 DSGVO.

Insbesondere sind Innovationen, die durch die Nutzung von Daten entstehen, auch im Interesse der Allgemeinheit und mithin auch im Interesse der von der faktischen Anonymisierung betroffenen Personen. Insofern ließe sich zwar anführen, dass die natürlichen Personen nicht unmittelbar an den durch Auswertung der durch ihr Verhalten erzeugten, aber nach der ihnen im Sinne einer faktischen Anonymisierung vollständigen De-Identifizierung nicht weiter zuzuordnenden Daten teilhaben. Jedoch tragen die vormals betroffenen Personen auch die Kosten der Innovationen nicht mit und werden letztlich aber direkt und indirekt von neuen Technologien profitieren, die durch die Analyse faktisch anonymisierter Daten entstehen: als mögliche Nutzer dieser neuen Technologien und indirekt durch eine nachhaltige und erfolgreiche deutsche und europäische Datenwirtschaft. Stimmen in der Literatur diskutieren teilweise die Möglichkeit einer teleologischen Reduktion des Verbots in Art. 9 Abs. 1 DSGVO, sodass für eine Anonymisierung besondere Kategorien personenbezogener Daten nur die Schranken aus Art. 6 Abs. 1 Abs. 1 lit. e) und lit. f) DSGVO gelten (vgl. Hornung/ Wagner in ZD 2020, 223), wobei dieser Ansatz allerdings bislang weder von Gerichten noch von Aufsichtsbehörden bestätigt wurde.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Sofern bereits zu einem anderen Zweck erhobene personenbezogene Daten nachträglich faktisch anonymisiert werden sollen (und die Ersterhebung nicht auf einer Einwilligung der betroffenen Personen oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten im Sinne von Art. 23 DSGVO beruhte), richtet sich die Zulässigkeit nach Art. 6 Abs. 4 DSGVO. Siehe hierzu ausführlicher den nachfolgenden Abschnitt 8.1).

Bei der faktischen Anonymisierung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, die gesetzlich besonders geschützt sind, müssen zusätzlich die Anforderungen des Art. 9 Abs. 2 DSGVO vorliegen38, wobei der Anonymisierungsvorgang von besonderen Kategorien personenbezogener Daten grundsätzlich auch durch Art. 6 Abs. 4 DSGVO gerechtfertigt werden kann (siehe dazu Punkt 8.1)

8.1 Zulässigkeit von De-Identifizierungsmaßnahmen im Falle einer „Zweckänderung“ Im Regelfall sollen personenbezogene Daten de-identifiziert werden, die für einen anderen Zweck als die faktische Anonymisierung erhoben wurden. Art. 6 Abs. 4 DSGVO regelt die Anforderungen einer sog. Zweckänderung. Maßgeblich ist, dass die ursprüngliche Erhebung und Verarbeitung der personenbezogenen Daten rechtmäßig war und der Zweck der Erstverarbeitung und der Zweitverarbeitung miteinander vereinbar sind. Für diese Prüfung enthält Art. 6 Abs. 4 DSGVO eine nicht abschließende Liste mit Kriterien zur Beurteilung der Kompatibilität von Erhebungs- und Weiterverarbeitungszweck. Zu diesen Kriterien gehört auch das „Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann“. Der Zweck der DeIdentifizierungsmaßnahmen zur Erreichung einer faktischen Anonymisierung wird regelmäßig darin liegen, dass personenbezogene Daten im Anschluss an die faktische Anonymisierung ausgewertet werden können, ohne dass die Rechte der betroffenen Personen tangiert werden. Die Folgen der faktischen Anonymisierung bestehen also 38

Stimmen in der Literatur diskutieren teilweise die Möglichkeit einer teleologischen Reduktion des Verbots in Art. 9 Abs. 1 DSGVO, sodass für eine Anonymisierung besondere Kategorien personenbezogener Daten nur die Schranken aus Art. 6 Abs. 1 Abs. 1 lit. e) und lit. f) DSGVO gelten (vgl. Hornung/Wagner in ZD 2020, 223), wobei dieser Ansatz allerdings bislang weder von Gerichten noch von Aufsichtsbehörden bestätigt wurde.

Rechtmäßigkeit von De-Identifizierungsmaßnahmen

darin, dass eine nachfolgende Weiternutzung der Daten für die zuvor betroffenen Personen „neutral“ ist, da der Personenbezug faktisch entfernt wurde. Daher stellen De-Identifizierungsmaßnahmen, die gerade dazu dienen, eine Garantie gemäß Art. 6 Abs. 4 lit. e) DSGVO zu schaffen, regelmäßig eine zulässige Zweckänderung dar. Art. 6 Abs. 4 DSGVO verlangt nach seinem Wortlaut nicht, dass ergänzend zu der ursprünglichen Ersterhebung eine Rechtsgrundlage nach Art. 6 Abs. 1 S. 1 DSGVO für die „Weiterverarbeitung“ vorliegen muss. Eine solche wird nach der wohl überwiegenden Auffassung39 bei einer Zweckänderung neben den Voraussetzungen des Art. 6 Abs. 4 DSGVO auch nicht gefordert. Vielmehr wird die Weiterverarbeitung bei zulässiger Zweckänderung durch den Erlaubnistatbestand legitimiert, auf den sich die ursprüngliche Datenverarbeitung stützte. Hierfür spricht insbesondere Erwägungsgrund 50 der DSGVO, denn hiernach „ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten“. Würde man bei jeder Zweckänderung neben den Voraussetzungen des Art. 6 Abs. 4 DSGVO zusätzlich auch eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum geänderten Zweck für erforderlich halten, hätte es der Regelung des Art. 6 Abs. 4 DSGVO und der hierin vorgenommenen strikten Trennung zwischen (i) Weiterverarbeitungen zu inkompatiblen Zwecken auf Grundlage anderer Rechtsgrundlagen und (ii) Weiterverarbeitungen zu kompatiblen Zwecken nicht bedurft, denn die Verarbeitung zu einem anderen als dem ursprünglichen Zweck könnte in jedem Falle stets auf eine Erlaubnisnorm nach Art. 6 Abs. 1 DSGVO gestützt werden. Eine Zweckänderung nach Art. 6 Abs. 4 DSGVO ist auch bei besonderen Kategorien personenbezogener Daten möglich. Bei der Vereinbarkeitsprüfung gem. Art. 6 Abs. 4 lit. c) DSGVO40 muss auch die Schutzwürdigkeit der betroffenen Datenkategorie, insbesondere, ob 39

Vgl. etwa Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. S. 6f.; Artikel-29-Datenschutzgruppe, WP 216: Stellungnahme 5/2014 zu Anonymisierungstechniken, S. 8; Ziegenhorn/ von Heckel, NVwZ 2016, 1585 (1589); Taeger, in: Taeger/Gabel, DSGVO/ BDSG, 3. Aufl. 2019, Art. 6 Rn. 145 f.; Schulz, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 6 Rn. 210; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht – DSGVO mit BDSG, 2019, Art. 6 Abs. 4 Rn. 11; Monreal, ZD 2016, 507 (510); Kühling/Martini, EuZW 2016, 448 (451); Culik/Döpke, ZD 2017, 226 (330).

Vgl. Heberlein, in: Ehmann/Selmayr/Heberlein, DS-GVO, 2. Aufl. 2018, Art. 6 Rn. 58. 33

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Rechtmäßigkeit von De-Identifizierungsmaßnahmen

besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO betroffen sind, Berücksichtigung finden. Im Umkehrschluss ergibt sich, dass auch besondere Kategorien personenbezogener Daten im Rahmen der Zweckänderung für andere Zwecke verarbeitet werden dürfen. Hierfür bedarf es jedoch einer besonders sorgfältigen Prüfung des Zusammenhangs mit dem ursprünglichen Zweck und den vernünftigen Erwartungen der betroffenen Person sowie den erforderlichen Schutzgarantien. Diese Prüfung dürfte regelmäßig im Interesse des Verantwortlichen ausgehen, da gerade die Anonymisierung besonderer Kategorien von personenbezogenen Daten dem Schutz und den Interessen der betroffenen Person dienlich ist.

Erhebung nicht durch eine nachträgliche faktische Anonymisierung „geheilt“ werden. Sofern sich Verantwortliche auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f) DSGVO stützen wollen, sind die Aspekte der Datenerhebung zu Gunsten der betroffenen Personen bei der Interessenabwägung einzubeziehen und werden regelmäßig zu einem Überwiegen der Interessen der betroffenen Personen führen, sodass ihre Daten nicht weiter gespeichert und auch nicht de-identifiziert werden dürfen.

8.2 Prüfpflichten hinsichtlich der Rechtmäßigkeit der (Erst-) Erhebungen Sofern personenbezogene Daten zum Zwecke der faktischen Anonymisierung nicht bei den betroffenen Personen direkt erhoben werden, kann sich der Verantwortliche, auch wenn im Hinblick auf die faktische Anonymisierung an sich meist keine entgegenstehenden Interessen der betroffenen Personen ersichtlich sein werden (siehe Kapitel 8), nicht darauf berufen, dass personenbezogene Daten „frei“ aus allen möglichen Quellen erhoben werden können. Zum einen muss der Grundsatz der Transparenz gewahrt und auch bei einer indirekten Datenerhebung müssen die betroffenen Personen gemäß Art. 14 DSGVO informiert werden (siehe 9.1). Zum anderen ist bei der Bewertung der Zulässigkeit von De-Identifizierungsmaßnahmen auch die Datenquelle zu berücksichtigen. Werden etwa Daten durch sog. Web Crawler (ein Computerprogramm, das automatisch das World Wide Web durchsucht und Webseiten analysiert) unter einem Verstoß gegen Nutzungsbedingungen oder gesetzliche Vorschriften gesammelt oder durch Adresshändler datenschutzwidrig vermarket, kann die unrechtmäßige Herkunft bzw.

Share Deal Käufer

Werden Daten nicht selbst erhoben, sondern zum Beispiel im Rahmen eines Unternehmenskaufs erworben, wird der Käufer neuer Verantwortlicher. Wenn der Käufer Kenntnis davon hat, dass die personenbezogenen Daten unrechtmäßig erhoben wurden, darf er die Daten nicht weiterverarbeiten und wird sie regelmäßig löschen müssen. Sofern der Käufer jedoch nicht annehmen muss, dass personenbezogene Daten ursprünglich rechtswidrig erhoben wurden, ist eine faktische Anonymisierung der Daten und anschließende Nutzung der faktisch anonymisierten Daten unter den in diesem Leitfanden dargestellten Voraussetzungen grundsätzlich möglich. Beispiel: Personenbezogene Daten gehen im Rahmen eines Unternehmenskaufs als Asset oder mit einem erworbenen Unternehmensanteil über und es gibt für den Käufer keine Anhaltspunkte dafür, dass die Erhebung der Daten unzulässig war. Es wird von dem Erwerber zu verlangen sein, dass er im Rahmen einer Due Diligence prüft, ob Daten rechtmäßig erhoben wurden. Der Nachweis der ursprünglichen Rechtmäßigkeit sollte dokumentiert werden. Sofern sich die Rechtmäßigkeit der ursprünglichen Erhebung nicht eindeutig dokumentiert nachweisen lässt, sollte der Käufer zumindest alle sonstigen verhältnismäßigen Schritte ergreifen, um die Rechtmäßigkeit zu prüfen. Beispielsweise kann sich der Käufer die Rechtmäßigkeit der Erhebung vom Verkäufer zusichern lassen.

Unternehmen / Unternehmen(an)teil Datensatz (enthält personenbezogene Daten)

Asset Deal Käufer

Weitere datenschutzrechtliche Anforderungen im Hinblick auf eine faktische Anonymisierung Sofern man unterstellt, dass es sich bei der Anwendung von De-Identifizierungsmaßnahmen um eine Datenverarbeitung handelt (siehe dazu 3.2), müssen insbesondere die nachfolgend beschriebenen weiteren datenschutzrechtlichen Vorgaben beachtet werden (dies gilt auch für besondere Kategorien von personenbezogenen Daten).

9.1 Informationspflichten nach Art. 13, 14 DSGVO Die betroffenen Personen sind grundsätzlich gemäß Art. 13 oder 14 DSGVO über die Erhebung personenbezogener Daten und die Durchführung von De-Identifizierungsmaßnahmen für eine faktische Anonymisierung zu informieren. Die Informationen gemäß Art. 13 Abs. 1 und 2 DSGVO (wenn Daten direkt von der betroffenen Person erhoben wurden) sind zum Zeitpunkt der Erhebung der Daten zu erteilen, die Informationen gemäß Art. 14 Abs. 1 und 2 DSGVO (wenn Daten von Dritten erhoben wurden) dagegen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten. Steht zum Zeitpunkt der Ersterhebung bereits fest, dass die personenbezogenen Daten auch anonymisiert werden sollen, muss die Information wohl zumindest die Anonymisierung als Verarbeitungszweck, die betroffenen Daten(-kategorien) und ggf. die Funktionsweise der De-Identifizierung sowie weitere die faktische Anonymisierung betreffende Umstände enthalten. Wird zu einem späteren Zeitpunkt entschieden, dass die bereits rechtmäßig erhobenen personenbezogenen Daten anonymisiert werden sollen (vgl. H.I.), so muss die betroffene Person grundsätzliche gem. Art. 13 Abs. 3, 14 Abs. 4 DSGVO über diese Zweckänderung informiert werden. Zumindest bei der indirekten Erhebung personenbezogener Daten dürfte eine derartige Information sich regelmäßig gem. Art. 14 Abs. 5 lit. b) DSGVO als unmöglich erweisen oder zu einem unverhältnismäßigen Aufwand führen; ob dies der Fall ist, muss

jedoch im Einzelnen geprüft und dokumentiert werden. Bei direkt erhobenen Daten sieht hingegen weder die DSGVO noch das BDSG eine derartige Erleichterung ausdrücklich vor.

Es ließe sich aus Wertungsgesichtspunkten argumentieren, dass eine Information jedenfalls bei einer nachträglichen faktische Anonymisierung nicht erforderlich ist, da regelmäßig nicht in die Rechte und Freiheiten der betroffenen Personen eingegriffen wird und daher eine Information zur Wahrung der Transparenz nicht erfolgen muss. Dies sieht keine der gesetzlich angelegten Ausnahmen vor und bisher gibt es auch keine entsprechenden veröffentlichten Behördenmeinungen. Jedenfalls ist es aber interessengerecht, keine außer Verhältnis stehenden Anforderungen an die Information zu stellen. Generische Informationen dazu, dass Daten faktisch anonymisiert werden, etwa auf der Homepage des Verantwortlichen, könnten im Einzelfall beispielsweise ausreichend sein. Dies dürfte etwa auch für solche Fälle gelten, in denen die erhobenen Daten dem Verantwortlichen nur noch in pseudonymisierter Form zur Verfügung stehen und eine – ggf. nicht oder nur mit zusätzlichen Risiken für die betroffene Person mögliche – Identifizierung der betroffenen Person allein zu Zwecken der Benachrichtigung erfolgen müsste. Sofern die Ersterhebung von personenbezogenen Daten auf einer Einwilligung basierte, im Rahmen dieser Einwilligung nicht über eine mögliche faktische Anonymisierung informiert wurde und die personenbezogenen Daten anschließend auf Grundlage einer anderen Rechtfertigung (beispielsweise Art. 6 Abs. 1 lit. f) DSGVO) faktisch anonymisiert werden sollen, sind an die Information wohl regelmäßig höhere Anforderungen zu stellen, damit der Grundsatz der Transparenz ausreichend gewahrt ist. Die betroffenen Personen dürfen sich darauf verlassen, dass ihre Daten nicht zu anderen Zwecken verarbeitet werden, als ihnen mitgeteilt wurde und dass der Verantwortliche nicht „stillschweigend“ die Rechtsgrundlage ändert.41

Vgl. die durch den Europäischen Datenschutzausschuss anerkannten Artikel-29-Datenschutzgruppe Leitlinien in Bezug auf die Einwilligung gemäß Verordnung (EU) 2016/679, WP259 rev.01, S. 27 (dort für den Fall des Widerrufs einer Einwilligung).

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

9.2 Dokumentation Der Vorgang der De-Identifizierung personenbezogener Daten, der zu einer faktischen Anonymisierung führt, sollte für jeden Use Case dokumentiert werden. Die DSGVO enthält selbst keine explizite Verpflichtung eine Dokumentation vorzunehmen, jedoch legt Art. 5 DSGVO i.V.m. Erwägungsgrund 74 und 78 nahe, dass der Verantwortliche den Nachweis erbringen können muss, welche technischen und organisatorischen Maßnahmen getroffen wurden.42 Die Dokumentation sollte insbesondere Antwort auf die folgenden Fragen geben können:

. .

welche Kategorien personenbezogener Daten werden der De-Identifizierung unterzogen; auf welcher Rechtsgrundlage erfolgt die „Erst-“Erhebung der personenbezogenen Daten und wie wurden die betroffenen Personen informiert;

Vgl. Kompetenzzentrum Öffentliche IT, Anonymisierung: Schutzziele und Technik, S. 20.

Weitere datenschutzrechtliche Anforderungen im Hinblick auf eine faktische Anonymisierung

was ist der konkrete Zweck, zu dem die personenbezogenen Daten faktisch anonymisiert werden, auf welcher Rechtsgrundlage erfolgt sie und welche „Robustheit“ der Daten wird benötigt, um faktisch anonymisierte Daten für den beabsichtigten Zweck nutzen zu können;

welche Techniken der De-Identifizierung kommen zum Einsatz und inwieweit entsprechen diese dem aktuellen Stand der Technik;

in welcher Form wurde und wird kontinuierlich überprüft, dass die gewählten Techniken zu einer wirksamen faktische Anonymisierung führen.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Weitere datenschutzrechtliche Anforderungen im Hinblick auf eine faktische Anonymisierung

9.3 Datenschutz-Folgenabschätzung

Leitfadens dargestellten De-Identifizierungsmaßnahmen nicht der Fall sein, sofern diese „nicht-besondere“ Kategorien personenbezogener Daten betreffen. Jedoch haben einige Datenschutzbehörden davon Gebrauch gemacht, eine sog. „Blacklist“ (d.h. eine Liste von erforderlichen Datenschutz-Folgenabschätzungen) zu erstellen. In Deutschland halten einzelne Datenschutzbehörden eine Datenschutz-Folgenabschätzung bei einer Anonymisierung dann für erforderlich, wenn besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO zum Zweck der Weitergabe an Dritte anonymisiert werden.43

Die Datenschutzbehörden haben sich bisher nur vereinzelt bezüglich der Pflicht geäußert, ob eine Datenschutz-Folgenabschätzung für eine Anonymisierung durchzuführen ist. Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, richtet sich grundsätzlich nach dem Wahrscheinlichkeitsgrad des Eintritts eines hohen Risikos, das die jeweilige Verarbeitung voraussichtlich für natürliche Personen darstellt. Ist der Eintritt eines solchen hohen Risikos wahrscheinlich, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Dies kann grundsätzlich bei den im Rahmen dieses

Vgl. https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf.

Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten

Impressum Herausgeber Bundesverband der Deutschen Industrie e. V. Breite Straße 29 10178 Berlin T.: +49 30 2028-0 www.bdi.eu Entstanden aus der BDI-Ad-hoc-Arbeitsgruppe „Anonymisierung personenbezogener Daten“ unter Leitung der Vorsitzenden des BDI-Arbeitskreises Datenwirtschaft Carmen Schmidt, Volkswagen Group Info Service AG Dr. Guido Brinkel, Microsoft Deutschland GmbH Redaktion Dr. Bertram Burtscher, Partner Freshfields Bruckhaus Deringer LLP Dr. Christoph Werkmeister, Principal Associate Freshfields Bruckhaus Deringer LLP Dr. Michael Dose, Referent Digitalisierung und Innovation Ines Nitsche, Referentin Recht, Wettbewerb & Verbraucherpolitik Konzeption Vicharah Ly, Referentin Abteilung Marketing, Online und Veranstaltungen Layout Michel Nunez, Art Director www.man-design.net Druck Das Druckteam www.druckteam-berlin.de Verlag Industrie-Förderung Gesellschaft mbH, Berlin Bildnachweis Umschlag: © 158449702 | Michail | stock.adobe.com S. 7: © 136283864 | kiri | stock.adobe.com S. 23: © 115457793 | dvoinik | stock.adobe.com S. 37: © 188719057 | metelevan | stock.adobe.com Stand Oktober 2020 BDI-Publikations-Nr. 103 38

Impressum

Der BDI in den sozialen Netzwerken Verfolgen Sie tagesaktuell unsere BeitrĂ¤ge in den Sozialen Medien. Wir freuen uns Ăźber Likes, Retweets und Kommentare.

Twitter

YouTube

@Der_BDI

www.youtube.com/user/bdiberlin

Facebook

www.facebook.com/DerBDI

Newsletter

bdi.eu/media/newsletter-abo

Anonymisierung personenbezogener Daten

Articles inside

5. Wirksame Anonymisierung – rechtlicher Rahmen

Rechtsfolgen einer wirksamen Anonymisierung

Die „Anonymisierung“ personenbezogener Daten im Überblick

Einleitung