Die Anonymisierung von personenbezogenen Daten ist immer noch ein Dauerbrenner im Datenschutzrecht. Was muss man hierbei beachten, wenn dies im Einklang mit den gesetzlichen Vorschriften geschehen soll? Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat dazu ein Positionspapier veröffentlicht. Wir haben uns das einmal angeschaut.
Der Inhalt im Überblick
Anonym oder pseudonym?
Warum ist das mit dem Anonymisieren eigentlich so wichtig? Der Grund dafür ist ganz einfach: Anonymisierte Daten können – das ergibt sich bereits aus dem Wortsinn – keiner natürlichen Person zugeordnet werden. Solche Daten weisen also keinen Personenbezug auf und unterfallen daher nicht den datenschutzrechtlichen Vorschriften. Obwohl die Unterscheidung also elementar für die Beurteilung datenschutzrechtlicher Sachverhalte ist, finden sich in der DSGVO praktisch keine Regelungen oder Definitionen, was unter anonymen Daten zu verstehen ist.
Lediglich in Erwägungsgrund 26 wird auf anonymisierte Daten Bezug genommen. Danach sollen die datenschutzrechtlichen Grundsätze nicht gelten
„für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.
Die Pseudonymisierung ist hingegen ausdrücklich in der DSGVO definiert. Gemäß Art 4 Nr. 5 DSGVO fällt darunter
„die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.
Anonymisierung nach Stand der Technik
Ist das ein Versehen vom europäischen Gesetzgeber gewesen? Handelt es sich hier um eine ungewollte Regelungslücke, die nun anderweitig geschlossen werden muss? Nein, denn dieser scheinbare Widerspruch lässt sich recht gut auflösen. Der Vorgang der Anonymisierung ist ein hochkomplexer Prozess, der für den Verantwortlichen einen hohen Aufwand bedeutet. Hinzu kommt, dass sich eine valide Anonymisierung stets am neuesten Stand der Technik zu orientieren hat.
Aber was ist der Stand der Technik? Was heute noch gilt, kann morgen schon veraltet sein. Der Stand der Technik definiert sich immer wieder neu. Es wäre daher nicht sinnvoll gewesen, feste Voraussetzungen für die Anonymisierung zu definieren in dem sicheren Wissen, dass diese in absehbarer Zeit überholt sein werden. So hat man zwar weniger Rechtssicherheit im engeren Sinne. Bei der Beurteilung, ob eine Anonymisierung tatsächlich valide ist, können der Verantwortliche, aber auch die jeweilige Aufsichtsbehörde deutlich flexibler agieren.
Ein dauerhafter Prozess
Aus diesen Gründen kann es auch keine „absolute“ Anonymisierung von Daten geben. Theoretisch wird es immer die Möglichkeit geben, dass man die Anonymisierung, und sei es erst in der Zukunft, rückgängig machen kann. Das BfDI stellt in dem Positionspapier auch heraus, dass diese Absolutheit auch gar nicht notwendig ist. Es sei in der Regel ausreichend, dass eine
„Re-Identifizierung praktisch nicht durchführbar ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann“.
Dies deckt sich auch mit den Vorgaben von Erwägungsgrund 26 zur DSGVO. Danach müssen bei der Beurteilung einer Anonymisierung alle verfügbaren Mittel ausgeschöpft worden sein. Zudem sind neben den technischen Möglichkeiten auch Zeit- und Kostenfaktoren, welche man zur Wiederherstellung aufwenden müsste, zu berücksichtigen. Das BfDI weist daher ausdrücklich darauf hin, dass der Verantwortliche die Validität der Anonymisierung dauerhaft zu überprüfen hat.
Anonymisierung ist eine Verarbeitung
Der BfDI vertritt die Auffassung, dass es sich bei der Anonymisierung um eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO handelt. Konkret wird der Vorgang auf den Begriff der „Veränderung“ gestützt. Dies ist konsequent, da die Daten durch die Anonymisierung ihren Personenbezug verlieren und somit tatsächlich eine Änderung eintritt. Dies muss dann erst Recht gelten, wenn es sich, wie hier, um eine rechtlich ganz entscheidende Wesensänderung der Daten handelt.
Die DSGVO geht von einem sehr umfassenden Begriff der Verarbeitung aus. Bei praktischer Anwendung kann jede Tätigkeit mit personenbezogenen Daten unter das „Verarbeiten“ im Sinne des Art. 4 Nr. 2 DSGVO gefasst werden. Das BfDI nimmt daher an, dass zumindest stets ein „Verwenden“ der Daten vorliegt, auch wenn im Einzelfall kein „Verändern“ zutreffend sein sollte.
Ohne Rechtsgrundlage geht es nicht
Eine Datenverarbeitung bedarf stets einer Rechtsgrundlage! Dies sollte inzwischen selbstverständlich sein. Fraglich ist allerdings, welche Rechtsgrundlagen in Betracht kommen. Auch dazu hat sich der BfDI seine Gedanken gemacht. Grundsätzlich kommen sämtliche Rechtsgrundlagen aus Art. 6 DSGVO in Betracht. Vor allem die folgenden sind hierbei besonders interessant:
Zweckänderung
Das Zweckbindungsgebot aus Art. 5 Abs. 1 lit. b) DSGVO bestimmt, dass personenbezogene Daten nur einem bestimmten Zweck verarbeitet werden dürfen. Die Vorschrift des Art. 6 Abs. 4 DSGVO greift dieses Gebot dahingehend auf, dass eine Weiterverarbeitung mit dem ursprünglichen Zweck vereinbar sein muss. Streng genommen stellt Art. 6 Abs. 4 daher keine eigene Rechtsgrundlage dar, sondern ist stets im Zusammenhang mit der ursprünglichen Rechtsgrundlage zu nennen.
Wann die Weiterverarbeitung mit dem Ausgangszweck vereinbar ist, wird in Abs. 4 beispielhaft aufgeführt. Im Hinblick auf eine Anonymisierung erscheint dies insbesondere deswegen interessant, weil Unternehmen diese Daten, auch wenn sie dann keinen Personenbezug mehr aufweisen, auf andere Weise verwenden können, zum Beispiel zu statistischen Zwecken. Das BfDI hat hier folgende Leitlinien entwickelt:
- Zwischen der Anonymisierung und einer beispielsweise bezweckten Optimierung der Dienstleistungen muss eine hinreichende Verbindung mit dem ursprünglichen Zweck der Begründung und der inhaltlichen Ausgestaltung des Vertragsverhältnisses im Sinne des Art. 6 Abs. 4 Buchst. a) DSGVO bestehen.
- Dies ist regelmäßig erfüllt, wenn sowohl die Erhebung der Daten als auch deren Anonymisierung zum Zweck der Optimierung der Dienstleistungen das Vertragsverhältnis zwischen Unternehmen und Kunde betrifft.
- Mit Blick auf die Art der personenbezogenen Daten ist gemäß Art. 6 Abs. 4 Buchst. c) DSGVO der Umstand in die Abwägung einzubeziehen, ob es sich bei den Daten um besonders sensible Daten handelt.
- Etwaige Folgen der mit der Anonymisierung verbundenen Weiterverarbeitung für die betroffenen Personen (Art. 6 Abs. 4 Buchst. d) DSGVO), die die Annahme einer Inkompatibilität der Weiterverarbeitung nahelegen würden, dürfen nicht ersichtlich sein.
- Angesichts der Tatsache, dass Verschlüsselung und Pseudonymisierung ausreichende Garantien gemäß Art. 6 Abs. 4 Buchst. e) DSGVO sein können, muss dies ebenso für die Anonymisierung gelten.
Hier kommt es wie oft auf die Abwägung im Einzelfall an. Entscheidend dürfte in vielen Fällen sein, ob es sich möglicherweise um sensible Daten im Sinne des Art. 9 DSGVO handelt oder welche Folgen die Anonymisierung für die betroffenen Personen haben könnte.
Daten löschen als rechtliche Verpflichtung
Art. 17 DSGVO beinhaltet das sogenannte „Recht auf Vergessenwerden“, um welches in der Vergangenheit schon vielfach gestritten worden war. Das soll hier aber nicht das Thema sein. Aus datenschutzrechtlicher Sicht ist nämlich ebenfalls sehr wichtig, ob und inwiefern das Anonymisieren von Daten mit dem Löschen von Daten gleichgesetzt werden kann. Auch hierzu werden durchaus unterschiedliche Meinungen vertreten. Nach Ansicht des BfDI kann eine Anonymisierung durchaus ein Löschen im Sinne des Art. 17 Abs. 1 lit. a) DSGVO darstellen. Nach dieser Vorschrift sind Daten immer dann zu löschen, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder in anderer Weise verarbeitet wurden, nicht mehr notwendig sind. So kann man dann eine rechtliche Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c) DSGVO erfüllen.
Sobald eine valide Anonymisierung vorgenommen worden ist, haben die Daten ihren Personenbezug verloren. Die Grundsätze des Datenschutzrechts aus Art. 5 DSGVO sind dann nicht mehr anwendbar. In dem Fall kann dann keine weitere Verpflichtung mehr für den Verantwortlichen bestehen, die Daten anderweitig zu verändern. Zwar gibt es immer zumindest die theoretische Möglichkeit zur De-Anonymisierung, allerdings dürfte im Regelfall auch das eigentliche Löschen von Daten nicht zu einer völligen Nichtwiederherstellbarkeit führen. Insofern sind die Sachverhalte durchaus vergleichbar. Das BfDI kommt hier zu einer pragmatischen Lösung, welche die Interessen aller Beteiligten noch am meisten berücksichtigt.
Datenschutz-Folgenabschätzung notwendig
Der BfDI kommt darüber hinaus zu dem Ergebnis, dass vor einer Anonymisierung in der Regel eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen ist, da es sich meist um eine Verarbeitung in großem Umfang handeln dürfte. Zumindest soll aber das Kriterium „neue Technologien“ zutreffend sein.
Hier stellt sich aber die Frage, ob dies wirklich praxisnah ist. Nicht nur der Anonymisierungsvorgang an sich, sondern auch die Durchführung einer Datenschutz-Folgenabschätzung ist mit einem nicht unerheblichen Aufwand für den Verantwortlichen verbunden. Hier besteht die Gefahr, dass Verantwortliche den Gesamtaufwand einschließlich der Kosten scheuen und im Einzelfall ihren Pflichten aus Art. 17 Abs. 1 DSGVO nicht nachkommen. Die Aufsichtsbehörden sollten daher bei der Überwachung der Umsetzung besonderes Augenmaß walten lassen.
Im Westen nichts Neues?
Im Ergebnis lässt sich festhalten, dass die Ausführungen des BfDI inhaltlich zwar nur wenig neue Erkenntnisse beinhalten. Allerdings bietet das Positionspapier dennoch einen Mehrwert dahingehend, dass es den aktuellen Stand zu einer der wichtigsten Thematiken im Datenschutzrecht aufbereitet und zu sinnvollen und gut vertretbaren Lösungen kommt. Für den Bereich der Anonymisierung dürfte das Positionspapier zumindest zu einer erhöhten Rechtssicherheit führen.
Anonymisierung => Datenschutz-Folgenabschätzung => DSB-Benennung gemäß § 38 BDSG.
Also darf niemand eine Anonymisierung seiner Daten durchführen, ohne zuvor den eigenen Datenschutzbeauftragten zu Rate zu ziehen. Eine interessante Konsequenz. Wer gegen diese Benennungs-Pflicht verstößt, der muss gemäß Artikel 83 (4a) ein Bußgeld bis 10 Mio. Euro zahlen. Vielleicht hätte der BfDI darauf besser hinweisen sollen.
Übrigens beinhaltet das Positionspapier noch einen wichtigen Aspekt im Kapitel 5 („Transparenz“): Die betroffenen Personen müssen informiert werden. Wer dies unterlässt ist ebenfalls einer Bußgeldgefahr ausgesetzt.
Auch das Verarbeitungsverzeichnis gemäß Artikel 30 muss angepasst werden.
… ehrlich gesagt verstehe ich die gesamte Diskussion nicht. Sorry.
Vielen Dank für Ihren Kommentar. Die Konsequenz wäre in der Tat, dass eine separate Bestellpflicht ausgelöst werden würde, wenn man vor jeder Anonymisierung eine Datenschutz-Folgenabschätzung vornehmen müsste. Wie im Artikel angedeutet, dürfte es sinnvoll sein, dass die Aufsichtsbehörden hier mit Augenmaß vorgehen. Schlussendlich entscheiden müssten im Streitfall die Gerichte.
Mit dem Hinweis auf die Zweckänderung nach Art. 6 IV DSGVO kann der Verantwortliche die Anonymisierung nur für den Zweck vornehmen dem Prinzip der Datenminimierung/Löschung nachzukommen, oder er hat Glück und der Zweck seiner Datenerhebung entspricht dem Zweck seiner weiteren Verarbeitung der anonymisierten Daten.
Würde dies so gesehen, wären ja die Grundsätze nach Art. 5 DSGVO auch auf anonymisierte Daten anwendbar.
Anonymisiert der Verantwortliche die Daten nicht gerade deswegen, damit er sie „frei“ verwenden kann??
Die Anonymisierung von Daten kann theoretisch zu verschiedenen Zwecken rechtmäßig erfolgen, nicht nur, um einer Löschpflicht nachzukommen. Sobald personenbezogene Daten anonymisiert worden sind, ist kein Personenbezug mehr vorhanden, so dass datenschutzrechtliche Vorschriften keine Anwendung mehr finden. Anschließend können die Daten beispielsweise für statistische Zwecke verwendet werden.
Die statistischen Zwecke werden immer als Beispiel genutzt, ich denke das kommt aus dem Art. 5 I e) DSGVO. Was aber, wenn der Verantwortliche die Daten zu Marketingzwecken erhebt, sie aber dann benutzen will (anonymisiert) um die Daten an Dritte zu verkaufen, oder neue Datenprodukte daraus bauen möchte? Eine Zweckvereinbarung nach Art. 6 IV DSGVO wäre hier auszuschließen, aber ein berechtigtes Interesse zur Anonymisierung der Daten wäre zu rechtfertigen.
Das kommt, wie so oft, auf den konkreten Einzelfall an. Denkbar ist es aber in jedem Fall.
Order, noch eine Frage, wenn die Anonymisierung eine Verarbeitung gleich kommt. Wie kann der Verantwortliche dann den Betroffenenrechte nachkommen, insbesondere Auskunftspflicht.
Im Umkehrschluss heißt es dann ja auch, wenn ich keine passenden Rechtmäßigkeit finde, dass die Anonymisierung verboten. Obwohl es letztendlich das Risiko für einen Betroffenen senken mag.
Ich muss auch sagen, die gesamte Diskussion ist schon sehr komplex, dass es mir ebenfalls schwer fällt zu folgen.
Zutreffend ist, dass jede Anonymisierung von personenbezogenen Daten einer Rechtsgrundlage bedarf, da es sich um eine Verarbeitung im Sinne der DSGVO handelt. Allerdings sind anonymisierte Daten selbst nicht mehr Gegenstand der Auskunftspflicht nach Art. 15 DSGVO, da der Personenbezug weggefallen ist. Siehe dazu auch das Kurzpapier Nr. 6 der DSK:
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf
Könnten Sie noch den relativen und absoluten Anonymisierungsbegriff näher beleuchten?
Vielen Dank für Ihren Vorschlag. Gegebenenfalls werden wir dies in einem eigenen Beitrag aufgreifen.