Leitfaden | Recht | Datenschutzrecht Anonymisierung personenbezogener Daten
Begriffsdefinitionen
Folgt man der Auffassung des BfDI und behandelt die Anonymisierung als eine Form der Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO6, so müssen sämtliche Anforderungen der DSGVO auch für den Vorgang der Anonymisierung eingehalten werden. Vor diesem Hintergrund enthält dieser Leitfaden an verschiedenen Stellen auch Ausführungen zu möglichen Rechtsgrundlagen sowie Nebenpflichten, die mit Verarbeitungsvorgängen einhergehen.
3.3.2 Absolute Anonymisierung
3.3 Begriffsdiversität „Anonymisierung“ In der Praxis werden verschiedene Bezeichnungen für den Begriff der „Anonymisierung“ alternativ und teilweise auch synonym verwendet, die zum Teil auf unterschiedliche Grade an De-Identifizierung von Datensätzen abstellen und nicht immer gleichbedeutend mit einer DSGVO-konformen, d.h. ausreichenden, faktischen Anonymisierung sind. Teilweise wird Anonymisierung als Oberbegriff für alle Reduktionen des Personenbezugs verwendet. Im Rahmen dieses Leitfadens beschreibt „Anonymisierung“ jedoch ausschließlich solche De-Identifizierungsmaßnahmen, die zu einer Entfernung des Personenbezugs in dem Sinne führen, dass die datenschutzrechtlichen Vorschriften nicht weiter anwendbar sind. Dabei handelt es sich um die nachfolgend beschriebenen Methoden der faktischen Anonymisierung. Auch die absolute Anonymisierung würde eine „DSGVO-konforme“ Anonymisierung darstellen, sie ist aber weder durch die DSGVO gefordert noch in den allermeisten Fällen umsetzbar 7.
3.3.1 Faktische Anonymisierung Faktische Anonymisierung (teilweise auch als relative Anonymisierung bezeichnet) beschreibt Vorgänge der DeIdentifizierung, durch die so viele Identifier entfernt und weitere Techniken (siehe 6.1) zur Reduktion von Personenbezug (zum Beispiel Randomisierung oder Generalisierung) angewendet werden, dass eine Re-Identifizierung mit verhältnismäßigem Aufwand nach dem aktuellen Stand der Technik (siehe hierzu 3.3.4) nicht mehr möglich ist und so der Personenbezug entfällt (siehe hierzu ausführlicher Kapitel 5). Zum Begriff des „verhältnismäßigen Aufwands“ siehe 5.2.
10
6
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, Stand: 29. Juni 2020, S. 5.
7
Siehe ausführlich zu den rechtlichen Anforderungen an die Anonymisierung in Abschnitt 5.1
Eine absolute Anonymisierung liegt vor, wenn die DeIdentifizierung zum vollständigen Verlust jeglichen Personenbezugs führt und auch aus dem Gesamtkontext, unter größtmöglichem Aufwand, d.h. unter Einsatz aller auch nur theoretisch denkbarer Techniken unabhängig vom Stand der Technik und von der Wahrscheinlichkeit der Re-Identifizierung, den Kosten und dem erforderlichen Arbeitseinsatz und der Dauer und mittels allen möglichen Zusatzinformationen eine Re-Identifizierung absolut und für jeden ausgeschlossen ist. Aufgrund der vielfältigen (digital verfügbaren) Datenquellen, der heutigen Informationstechnologie mit ihrer immer leichter werdenden Verknüpfbarkeit von Daten sowie der kontinuierlichen Steigerung der verfügbaren Rechenleistungen erscheint jedoch der absolut irreversible Verlust jeglichen Personenbezugs in sehr vielen Fällen unmöglich. Insbesondere personenbezogene Daten, die in Form eines digitalen Fußabdruckes ihre Spuren in der digitalen Welt durch Nutzung des Internets oder auch des Mobiltelefons hinterlassen, sind kaum absolut zu beseitigen. Zumindest unter Beachtung rein theoretisch denkbarer Re-Identifizierungs-Techniken können personenbezogene Daten in der Praxis fast nie so anonymisiert werden, dass eine Wiederherstellung des Personenbezugs absolut ausgeschlossen werden kann (siehe hierzu auch 5.1). Beispiel: Eine absolute Anonymisierung liegt etwa vor, wenn Daten einer sehr großen Zahl an Kunden aus allen Bevölkerungsgruppen und verschiedensten geografischen Regionen (etwa bei einer weltweiten Umfrage) aggregiert werden. Werden Kunden zur Zufriedenheit mit einem Produkt befragt, wobei die Antwortmöglichkeit nur „Daumen hoch“ oder „Daumen runter“ ist, es eine belastbare Anzahl von Antworten für diese beiden Optionen gibt und werden die Einzelantworten nach der Auswertung vollständig (d.h. auch alle Kopien und etwaige Zwischenergebnisse) vernichtet, wäre das Umfrageergebnis (zum Beispiel weltweit haben 58% der Kunden mit Daumen hoch „gevoted“) unter keinen Umständen mehr auf eine bestimmte Person rückführbar.
