6. November 2015 - Bundesdatenschutzgesetz

Anonymisierung und Pseudonymisierung von Kundendaten

„Weniger ist mehr“ heißt die Devise, die das ganze Datenschutzrecht prägt. Entweder sollen gar keine oder nur die absolut notwendigen personenbezogenen Daten erhoben und verarbeitet werden. Begrüßenswert aus Sicht der Betroffenen, kritisch aus Sicht der Unternehmen: Gute Kundendaten sind ein wirtschaftliches Potenzial, das es auszuschöpfen gilt. Doch was dürfen Unternehmen noch?

Datenschutzkonzept ist Grundlage der Datenschutzorganisation Anonymisierung und Pseudonymisierung sind grundlegend für den Datenschutz (Bild: Mathias Rosenthal / iStock / Thinkstock)

Die in § 3a Bundesdatenschutzgesetz (BDSG) formulierten Grundsätze der Datenvermeidung und Datensparsamkeit sind seit langem ein fester Bestandteil des Datenschutzes.

Datenvermeidung und Datensparsamkeit sind das Ziel

Vor der BDSG-Novelle II im Jahr 2009 sah § 3a Satz 1 BDSG vor, dass Unternehmen die Auswahl und Gestaltung ihrer Datenverarbeitungssysteme an dem Ziel ausrichten sollen, die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zu vermeiden.

Der sogenannte Systemdatenschutz sollte Unternehmen dazu anhalten, z.B. ihre Organisation so auszurichten, dass nur die absolut erforderlichen Daten in den Systemen gespeichert oder Prozesse deutlich entschlackt werden, sodass auf eine Verarbeitung personenbezogener Daten weitestgehend verzichtet wird.

Ziele gelten nicht nur für den Systemdatenschutz

Die BDSG-Novelle II hat § 3a Satz 1 BDSG dann erweitert: Unternehmen müssen sich jetzt nicht nur bei der Ausgestaltung ihrer technischen Systeme an dem Ziel der Datenvermeidung und -sparsamkeit orientieren. Sie müssen diese Grundsätze auch ganz allgemein bereits bei Datenerhebung, -verarbeitung und -nutzung berücksichtigen.

Datenvermeidung und Datensparsamkeit als Zwang?
Der Gesetzgeber hat die Grundsätze von Datenvermeidung und Datensparsamkeit nur als Ziel definiert. Unternehmen steht es daher frei, mit welchen Mitteln und auf welche Weise sie dieses Ziel erreichen wollen bzw. wie sie ihre Datenverarbeitungsvorgänge optimieren.

Die Datenvermeidung und die Datensparsamkeit sind per se keine rechtliche Pflicht, die zwangsweise eine Datenschutzaufsichtsbehörde durchsetzen kann.

Zumindest mittelbarer Zwang!

Gleichwohl sieht das BDSG vor, dass z.B. nur die Daten, die für die jeweilige Verarbeitung erforderlich sind, auch verarbeitet werden dürfen (etwa § 28 Abs. 1 BDSG) oder dass Daten, die nicht mehr benötigt werden, zu löschen sind (z.B. § 35 Abs. 2 BDSG).

Die Ziele des § 3a BDSG werden in diesen Vorschriften widergespiegelt und sind daher mittelbar rechtlich verpflichtend. Damit kann ein Verstoß gegen § 3a BSDG im Ergebnis auch zu einer Sanktion führen.

Prüfen Sie die folgenden Punkte

Wichtige Fragen zu Datenvermeidung und Datensparsamkeit z.B. im Rahmen der Prozessoptimierung könnten sein:

  • Bedarf es tatsächlich der Erhebung und Speicherung sämtlicher Kundendaten, oder ist ein Verzicht möglich?
  • Müssen Daten tatsächlich an diese Stelle übermittelt werden, und benötigt sie die Daten für die angegebenen Zwecke?
  • Muss jeder Berechtigte tatsächlich diese Daten einsehen, oder kann auf einzelne Berechtigungen verzichtet werden?
  • Kann diese Statistik auch ohne Personenbezug erstellt werden?

Konkretisierung der Zielvorgaben durch Anonymisierung und Pseudonymisierung

Ergänzt bzw. konkretisiert werden die Ziele der Datenvermeidung und -sparsamkeit durch die Anonymisierung und Pseudonymisierung als Ausprägung dieser Grundsätze.

Was ist Anonymisierung?

Als Anonymisierung gilt nach § 3 Abs. 6 BDSG jede Veränderung personenbezogener Daten, die eine Zuordnung der erhobenen Einzelangaben zu einer Person nicht mehr oder nur noch mit einem erheblichen und unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft möglich macht.

Im Ergebnis wird ein personenbezogenes Datum so umgestaltet, dass kein Personenbezug mehr besteht und damit die Erhebung, Verarbeitung und Nutzung von Daten vermieden wird.

Wie definiert sich Pseudonymisierung?

§ 3 Abs. 6a BDSG regelt, dass eine Pseudonymisierung vorliegt, wenn ein Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen ersetzt und damit die Bestimmung des Betroffenen ausgeschlossen oder wesentlich erschwert wird.

Die Pseudonymisierung stellt einen Kompromiss dar: Einerseits werden Daten relativ anonymisiert verarbeitet und so die Identifikation des Betroffenen ermöglicht. Andererseits werden die Daten zumindest im gewissen Rahmen geschützt.

Während im ursprünglichen § 3a Satz 2 BDSG lediglich angeregt wurde, dass von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch gemacht werden soll, wird dieses Ziel nun seit 2009 sprachlich hervorgehoben und bekräftigt, dass von diesen Möglichkeiten Gebrauch zu machen ist, soweit nach dem Verwendungszweck möglich. Sofern der Zweck eine Anonymisierung etc. zulässt, ist diese also ohne Wenn und Aber durchzuführen.

Beispiel: Kundenprofilbildung

Unternehmen erheben regelmäßig Daten zur Kundenpflege und -bindung. Häufig werden diese Daten auch zur Analyse des Kundenverhaltens wie zur Identifizierung von Zusammenhängen und Hintergründen von Käufen genutzt, um damit Marketing- und Vertriebstätigkeiten strategisch zu planen und zu unterstützen.

Dafür werden die Namen der Betroffenen jedoch nicht benötigt. Daher gilt: Anonymisieren oder Pseudonymisieren.

Entsprechend finden sich auch im Bereich der Marktforschung in § 30a BDSG in Abs. 2 und 3 explizite Regelungen zur Anonymisierung von Daten, die im Rahmen von Forschungsvorhaben erhoben und verarbeitet werden.

Das Verhältnis von Aufwand und Schutzzweck

Unternehmen müssen nach § 3a Satz 2 BDSG nur Maßnahmen zur Anonymisierung und Pseudonymisierung ergreifen, sofern deren Umsetzungsaufwand im Verhältnis zum Schutzzweck angemessen ist. Unternehmen können daher argumentieren, dass die Umsetzung der Maßnahmen zu kostenintensiv sei, um sie durchzuführen.

Hier müssen Sie als Datenschutzbeauftragter mit der Schutzbedürftigkeit des Betroffenen dagegen argumentieren: Handelt es sich z.B. um gesundheitsbezogene Daten, die im Rahmen der Patientenbefragung eines Pharmaunternehmens erhoben wurden, wird die Schutzbedürftigkeit der Betroffenen regelmäßig hoch zu bewerten sein. Das Pharmaunternehmen wird daher auch höheren Aufwand betreiben müssen, um eine erforderliche Anonymisierung bzw. Pseudonymisierung durchzuführen.

Fazit: Der Datenschutzbeauftragte muss ran!

Wie immer ist der Datenschutzbeauftragte gefragt: Er sollte jedenfalls auf die Einhaltung dieser Vorgaben hinwirken – auch in Hinblick auf die Wahrnehmung durch die Öffentlichkeit.

Silvia C. Bauer
Silvia C. Bauer ist Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft mbH, Köln.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln