Anonymisierung
Der Begriff „Anonymisierung“
Die Anonymisierung verändert personenbezogene Daten derart, dass sich die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen.
Die Datenschutz-Grundverordnung (DSGVO) verwendet im Gegensatz zum alten Bundesdatenschutzgesetz (BDSG a.F.) den Begriff Anonymisierung an keiner Stelle mehr. Das ist konsequent. Denn anonymisierte Daten sind keine Daten, die personenbezogen sind oder sich auf eine natürliche Person beziehen lassen.
Verwandter Begriff: Pseudonymisierung bzw. Pseudonymisieren
Im Unterschied zur Anonymisierung ist Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass sich die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zuordnen lassen, ohne zusätzliche Informationen hinzuzuziehen.
Voraussetzung: Diese zusätzlichen Informationen sind gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Abs. 1 Nr. 4 DSGVO).
ACHTUNG: Die Umgangssprache bezeichnet das Pseudonymisieren häufig fälschlich als Anonymisieren.
Stellt beispielsweise eine Telefonrechnung die Kontonummer, von der der Rechnungsbetrag abgebucht werden soll, nur unvollständig im Klartext dar und ersetzt einen Teil der Ziffern durch Pseudonyme, durch XX, so kann der Kontoinhaber zwar erkennen, welches seiner Konten betroffen ist. Ein unbefugter Dritter, in dessen Hände die Rechnung fällt, kann jedoch mit der Kontonummer nichts anfangen.
Wozu dient die Anonymisierung?
Experten gehen heute davon aus, dass eine vollständige Anonymisierung eigentlich nicht mehr umsetzbar ist. Denn aufgrund des technische Fortschritts ist es immer auf irgendeine Art und Weise möglich, die Daten, die für die Anonymisierung abgetrennt wurden, wieder zurückzuholen und hinzuzufügen.
Dennoch gilt, dass anonymisierte Daten keine personenbezogenen oder personenbeziehbaren Daten mehr sind. Anonymisiert also eine zuständige Stelle Daten, indem sie sämtliche Merkmale, die die Daten repersonalisierbar machen, konsequent und dauerhaft entfernt, und leitet sie dann die anonymisierten Daten an Dritte weiter, greift die DSGVO nicht. Doch wozu sollte das gut sein?
Um die Daten im eigenen Unternehmen zu speichern, ist eine Anonymisierung im Normalfall nicht erforderlich. Speichert der Verantwortliche die Daten in Cloud-Systemen, könnte das schon anders aussehen.
Cloud-Speicherung kann nicht anonymisiert erfolgen
Möchte ein Unternehmen Cloud-Speicher nutzen, um dort anonymisierte Daten in einer Sicherungskopie zu verwahren, und es ist dem Betreiber des Cloud-Service und allen zum Zugriff Berechtigten nicht mehr möglich, die Daten einer bestimmten oder bestimmbaren natürlichen Person zuzuordnen, dann greift die DSGVO nicht.
Da die Daten aber in aller Regel in bestimmten Fällen wieder personalisiert werden sollen, muss zumindest der Datenbank-Administrator noch den Schlüssel für die erneute Personalisierbarkeit haben.
Da dieser Administrator naturgemäß daran interessiert ist, die Daten wieder zu personalisieren oder auf Personen beziehbar zu machen, kann von Anonymisierung in diesem Fall nicht die Rede sein.
Beispiele für echte und unechte Anonymisierung
Medizinische Studie eines Pharmaunternehmens
Ärzte werden gebeten, Daten ihrer Patientinnen und Patienten für eine Pharma-Studie zur Verfügung zu stellen.
Sollten im Rahmen der Studie markante Abweichungen bei einzelnen Patienten ersichtlich werden, und es handelt sich gar um pathologische Werte, also Werte, bei denen akute Gefahr für Leib und Leben besteht, wenn keine ärztliche Behandlung erfolgt, muss es möglich sein, einzelne Studienteilnehmer zu reidentifizieren. Hier handelt es sich also nicht um Anonymisierung.
Risikodefinition im Rahmen einer statistischen Auswertung von Risikogruppen
Ein Unternehmen, das Leistungen der Gesundheitsprävention anbietet, möchte einen Querschnitt über alle untersuchten Patienten erstellen, um bestimmte Risikofaktoren zu ermitteln.
So möchte es beispielsweise ermitteln, welches Krankheitsrisiko ein 50-jähriger Patient mit einem bestimmten Übergewicht und parallel vorliegendem Bluthochdruck hat, für eine bestimmte Zeit im Unternehmen durch entsprechende Erkrankungen auszufallen.
Da es hierfür die Daten komplett entpersonalisiert und eine spätere Rückführbarkeit konsequent ausschließt, handelt es sich nicht mehr um personenbezogene oder auf Personen beziehbare Daten.
Somit greift das Datenschutzrecht nicht. Das hat unter anderem zur Folge, dass das Unternehmen die Patienten, deren Daten einfließen, nicht über die Studie informieren muss. Denn sie sind keine betroffenen Personen im Sinne der DSGVO.
Wie viele Betroffene muss eine Gruppe haben, um Anonymisierung zu gewährleisten?
Ein Hauseigentümer möchte seiner gesetzlichen Verpflichtung nachkommen, einen Energieausweis zu erstellen. Dafür benötigt er die Verbrauchsabrechnungen für Heizung und Strom bzw. Gas seiner Mieter.
Die Mieter sind jedoch nicht bereit, die Daten an den Eigentümer weiterzuleiten. Im Mietvertrag gibt es keine Regelung. Dürfen die zuständigen Stadtwerke die Verbrauchsdaten an den Vermieter weiterleiten, damit er seine gesetzlichen Pflichten erfüllen kann?
Hier kommt es darauf an, wie viele Mietparteien im Haus wohnen. Handelt es sich um ein Haus mit zehn Parteien, entfällt eine Beziehbarkeit auf einzelne Mieter. In diesem Fall dürfen die Stadtwerke die summierten Verbrauchswerte an den Vermieter weitergeben.
Anders sieht die Sache aus, wenn es sich um weniger Mietparteien handelt. Bei nur zwei Mietparteien kann keine Anonymisierung stattfinden. Fünf Mietparteien dürften in der Regel ausreichen, damit keine Beziehbarkeit auf einen einzelnen Mieter gegeben ist.
Unter Umständen genügen auch schon drei Mietparteien, wenn etwa die Wohnungen gleich oder annähernd gleich groß sind.
Hätten die Mieter ihr Einverständnis zur Weitergabe der Verbrauchsdaten erteilt, wäre die Datenweitergabe an den berechtigten Interessenten, der ja gesetzlich verpflichtet ist, einen Energieausweis zu erstellen, in jedem Fall möglich.
Anonymisierung: Aufgaben von Datenschutzbeauftragten
Datenschutzbeauftragte müssen prüfen, ob und zu welchem Zweck ein Unternehmen die Anonymisierung anwendet. Dann ist zu prüfen, ob es sich um echte Anonymisierung oder nur um Pseudonymisierung handelt.
Bei echter Anonymisierung ist der Datenschutzbeauftragte ab dem Moment der Erkenntnis der Tatsache der Anonymisierung außen vor, da es sich nicht mehr um personenbezogene Daten handelt.
Unterrichtung und Beratung der Beschäftigten
Da beschäftigte Personen oft den Unterschied zwischen Anonymisierung und Pseudonymisierung nicht kennen, empfiehlt es sich, in den Datenschutz-Schulungen auf diesen Unterschied einzugehen. Oft glauben beschäftigte Personen nämlich, dass Daten, die sie ohne den Namen der betroffenen Person verarbeiten, anonymisiert wären. Klären Sie diesen Irrtum auf.
Überwachung der Einhaltung des Datenschutzes
Im Zusammenhang mit seiner Überwachungstätigkeit sollte der Datenschutzbeauftragte die Verantwortlichen für die Verarbeitungstätigkeiten regelmäßig darauf ansprechen, ob es in ihrem Verantwortungsbereich Daten gibt, die sich in keinem Fall mehr auf Personen zurückführen lassen. Das kann beispielsweise bei Statistiken der Fall sein.
Diese Daten fallen dann aus der Übersicht der Verarbeitungstätigkeit heraus. Sie unterliegen zudem keinerlei Restriktionen hinsichtlich der Aufbewahrungsdauer.
Zu beachten sind auch Anwendungen wie beispielsweise Power BI von Microsoft, das umfangreiche personenbezogene Datensammlungen übersichtlich machen kann. Datenschutzbeauftragte sollten darauf achten, dass keine ungewollte Personalisierung stattfindet, indem eine Krankenstatistik beispielsweise nur eine Person mit sehr vielen Krankheitstagen ausweist.
Eigentlich wären die in der Statistik genannten Fälle entpersonalisiert. Kennt aber jeder im Unternehmen das tragische Krankenschicksal dieser einen Person, sind ihre personenbezogene Daten mutmaßlich ungewollt personalisiert worden. Darauf sollten DSB im Rahmen von Datenschutzschulungen hinweisen.
Beratung im Zusammenhang mit Datenschutz-Folgenabschätzung
Auch bei einer möglichen Datenschutz-Folgenabschätzung kann die Anonymisierung eine entscheidende Rolle spielen.
Gerade bei wissenschaftlichen Studien kann es vorkommen, dass sich eigentlich hochsensible Daten nach Art. 9 DSGVO anonymisieren lassen. Ist dies in technischer Hinsicht auch schwierig, so kann es doch ein Weg sein, im Rahmen einer Datenschutz-Folgenabschätzung einen Weg aufzuzeigen, wie ein Unternehmen oder etwa eine Forschungseinrichtung sensible Daten verarbeiten kann. Oft genügen als Ergebnisse nämlich Statistiken.
Risikoabwägung
Da der Datenschutzbeauftragte dem Risiko, das mit den Verarbeitungsvorgängen verbunden ist, Rechnung tragen muss, wenn er seine Aufgaben erfüllt, ist es wichtig zu wissen, dass eine Anonymisierung das Risiko für Grundrechte und Grundfreiheiten betroffener Personen auf null setzen kann.
