1 minute read
Die „Anonymisierung“ personenbezogener Daten im Überblick
02
Die Vorschriften des Datenschutzrechts in der Europäischen Union (EU) und in Deutschland stellen an die Verarbeitung personenbezogener Daten bestimmte Anforderungen. Insbesondere steht die Verarbeitung personenbezogener Daten unter einem Erlaubnisvorbehalt, d.h. es bedarf stets einer Rechtsgrundlage für jede Form der Verarbeitung (vgl. Art. 6 und 9 DSGVO). Hinzu treten weitere datenschutzrechtliche Pflichten, wie zum Beispiel die Pflichten zur Erfüllung von Informations- und Betroffenenrechten (vgl. Art. 12 bis 23 DSGVO) sowie zum Schutz personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen (vgl. Art. 32 DSGVO).
Daten, die keinen Personenbezug aufweisen (zum Begriff der personenbezogenen Daten siehe 3.1), sind dem sachlichen Anwendungsbereich der DSGVO (vgl. Art. 2 Abs. 1 DSGVO) entzogen. Wenn personenbezogene Daten derart anonymisiert werden, dass sie den Personenbezug „verlieren“, sind die datenschutzrechtlichen Vorschriften nicht weiter anwendbar (vgl. Erwägungsgrund Nr. 26 DSGVO). Anonymisierung meint also nichts anderes als das (schrittweise) Entfernen des Personenbezugs – dieser Prozess wird in diesem Leitfaden als „De-Identifizierung“ von Daten beschrieben (siehe 3.4) –, bis ein ausreichender Grad der De-Identifizierung vorliegt (faktische-Anonymisierung, siehe 3.3.1).
Diese Anonymisierung im Sinne der DSGVO ist abzugrenzen von anderen Formen der Reduktion des Personenbezugs bzw. der Erschwerung der Re-Identifizierbarkeit, die jedoch für sich genommen nicht zu einer ausreichenden Entfernung des Personenbezugs führen. Zu diesen Maßnahmen gehört insbesondere die „Pseudonymisierung“. Bei einer Pseudonymisierung bleibt die Zuordnung einer Information zu einer natürlichen Person mittels Hinzuziehung bestimmter weiterer Informationen möglich und es liegt daher weiterhin ein Personenbezug vor, sodass auch die datenschutzrechtlichen Vorschriften weiterhin anwendbar sind (siehe zur Abgrenzung 3.6).
