anonymisierung

Anonymisierung von personenbezogenen Daten – was bedeutet das (nicht)?

/von

Häufig wird im Zusammenhang mit dem Datenschutz über die Anonymisierung gesprochen. In der DSGVO findet sich zu diesem Thema recht wenig. Lediglich in Erwägungsgrund 26 werden zu diesem Begriff Aussagen getroffen. Diese Regelung besagt Folgendes:

Die Grundsätze des Datenschutzes sollten […] nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.

Damit steht fest, dass für anonymisierte Daten bzw. für die Verarbeitung solcher Daten die DSGVO nicht anwendbar ist. Dies hat zur Folge, dass, zur großen Erleichterung der Verantwortlichen, die zahlreichen datenschutzrechtlichen Pflichten für anonyme Daten nicht zu beachten sind.

Zu beachten ist aber, dass die gesetzliche Ausnahme nur für bereits anonymisierte Daten gilt. Der Prozess der Anonymisierung als solcher ist davon dem Wortlaut nach nicht betroffen. Und während die Rechtswissenschaft darüber nachdenkt, ob die Anonymisierung immer eine Verarbeitung im Sinne der DSGVO ist, oder ob es nicht doch im Einzelfall Anonymisierungsprozesse geben würde, die der DSGVO nicht unterfallen (hierzu vgl. z.B. das Diskussionspapier „Anonymisierung im Datenschutz als Chance für Wirtschaft und Innovationen“, S. 7 f. mit weiteren Nachweisen), hat sich der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) bereits festgelegt und geht davon aus, dass die Anonymisierung ein Verarbeitungsprozess wäre, der stets einer datenschutzrechtlichen Rechtsgrundlage bedarf. Über diese Rechtsauffassung des BfDI haben wir in unserem Beitrag vom 12.05.2021 bereits berichtet.

Soweit man dies berücksichtigt, so stellt man fest, dass der oft zu hörende Satz: „Bei Anonymisierung der Daten gilt die DSGVO doch nicht“ in dieser Pauschalität nicht ganz korrekt oder (aus Sicht des BfDI) sogar falsch ist, wenn mit der „Anonymisierung“ der Prozess und nicht das Ergebnis des Prozesses gemeint ist.

Diese Annahme ist dabei auch nicht das einzige Missverständnis, welches es im Zusammenhang mit der Anonymisierung gibt. Es existieren einige weitere Missverständnisse, die es bei diesem Begriff gibt. Inzwischen gibt es sogar so viele, dass der Europäische Datenschutzbeauftragte – European Data Protection Supervisor (EDPS) – und die spanische Datenschutz-Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) ein gemeinsames Papier veröffentlicht haben, in dem sie auf die 10 häufigsten Missverständnisse im Zusammenhang mit der Anonymisierung eingehen. Das Dokument kann in englischer und spanischer Sprache unter dem folgenden Link abgerufen werden: https://edps.europa.eu/data-protection/our-work/publications/papers/aepd-edps-joint-paper-10-misunderstandings-related_en.

Dies sind laut dem Papier die wichtigsten Irrtümer zur Anonymisierung:

Missverständnis: Verschlüsselung = Anonymisierung

Die Verschlüsselung stellt keine Anonymisierungstechnik dar, ist aber ein leistungsfähiges Werkzeug zur Pseudonymisierung. Bei der Verschlüsselung werden geheime Schlüssel verwendet, um die Informationen so verändern, dass das Risiko des Missbrauchs verringert wird, während die Vertraulichkeit für einen bestimmten Zeitraum erhalten bleibt. Da die ursprüngliche Information zugänglich sein muss, sind die von Verschlüsselungsalgorithmen angewandten Transformationen so konzipiert, dass sie umkehrbar sind, was als Entschlüsselung bezeichnet wird. Die geheimen Schlüssel, die zur Entschlüsselung verwendet werden, sind die oben erwähnten „zusätzlichen Informationen“, die die persönlichen Daten lesbar machen können und somit die Identifizierung ermöglichen. Theoretisch könnte man davon ausgehen, dass das Löschen des Schlüssels verschlüsselter Daten diese anonymisiert. Dies ist allerdings nicht der Fall. Man kann nicht davon ausgehen, dass verschlüsselte Daten nicht entschlüsselt werden können, weil der Entschlüsselungsschlüssel „gelöscht“ oder „unbekannt“ ist. Es gibt viele Faktoren, die die Vertraulichkeit verschlüsselter Daten beeinflussen, insbesondere auf lange Sicht. Zu diesen Faktoren gehören die Stärke des Verschlüsselungsalgorithmus und des Schlüssels, Informationslecks, Implementierungsprobleme, die Menge der verschlüsselten Daten oder technologische Fortschritte (z. B. Quantencomputer).

Missverständnis: Anonymisierung von Daten ist immer möglich

Es ist nicht immer möglich, das Re-Identifizierungsrisiko unter einen vorher definierten Schwellenwert zu senken und gleichzeitig einen nützlichen Datensatz für eine bestimmte Verarbeitung beizubehalten. Anonymisierung ist ein Prozess, der versucht, das richtige Gleichgewicht zwischen der Verringerung des Re-Identifizierungsrisikos und der Beibehaltung der Nützlichkeit eines Datensatzes für den/die beabsichtigten Zweck/e zu finden. Je nach Kontext oder Art der Daten könnten die Re-Identifizierungsrisiken jedoch gegebenenfalls nicht ausreichend gemindert werden. Dies könnte der Fall sein, wenn die Gesamtzahl der möglichen Personen („Gesamtheit der Subjekte“) zu klein ist (z. B. ein anonymer Datensatz, der nur die 705 Mitglieder des Europäischen Parlaments enthält), wenn die Datenkategorien unter den Personen so unterschiedlich sind, dass es möglich ist, diese Personen herauszufiltern (z. B. Geräte-Fingerabdruck der Systeme, die auf eine bestimmte Website zugegriffen haben), oder wenn die Datensätze eine große Anzahl demografischer Attribute oder Standortdaten enthalten.

Missverständnis: Anonymisierung gilt zeitlich unbegrenzt

Es besteht das Risiko, dass einige aus heutiger Sicht erfolgreiche und sichere Anonymisierungsprozesse in der Zukunft rückgängig gemacht werden könnten. Die Umstände können sich im Laufe der Zeit ändern und neue technische Entwicklungen und die Verfügbarkeit zusätzlicher Informationen können frühere Anonymisierungsprozesse gefährden. Die Rechenressourcen und neuen Technologien (oder neue Wege, bestehende Technologien anzuwenden), die einem Angreifer zur Verfügung stehen, der versuchen könnte, einen anonymen Datensatz zu re-identifizieren, ändern sich im Laufe der Zeit. Heutzutage bietet Cloud Computing erschwingliche Rechenkapazitäten auf einem Niveau und zu Preisen, die vor einigen Jahren noch undenkbar waren. In Zukunft könnten auch Quantencomputer die Rahmenbedingungen verändern. Damit könnte, was heute als „angemessenes Mittel“ gilt, zukünftig nicht mehr ausreichend sein. Auch die Offenlegung zusätzlicher Daten im Laufe der Jahre (z. B. bei einer Verletzung des Schutzes personenbezogener Daten, also einer Datenpanne) kann es möglich machen, zuvor anonyme Daten mit identifizierten Personen zu verknüpfen. Die Freigabe vieler Jahrzehnte alter Aufzeichnungen mit hochsensiblen Daten (z. B. Strafregister) könnte immer noch eine schwerwiegende nachteilige Auswirkung auf eine Person oder Angehörige haben.

Missverständnis: Anonymisierung reduziert die Wahrscheinlichkeit der Re-Identifizierung eines Datensatzes immer auf Null

Der Anonymisierungsprozess und die Art und Weise, wie er implementiert wird, haben einen direkten Einfluss auf die Wahrscheinlichkeit von Re-Identifizierungsrisiken. Ein robuster Anonymisierungsprozess zielt darauf ab, das Re-Identifizierungsrisiko unter einen bestimmten Schwellenwert zu senken. Dieser Schwellenwert hängt von verschiedenen Faktoren ab, z. B. von den vorhandenen Kontrollmechanismen zur Risikominderung (keine im Zusammenhang mit der Veröffentlichung), den Auswirkungen auf die Privatsphäre von Personen im Falle einer Re-Identifizierung, den Motiven und der Fähigkeit eines Angreifers, die Daten zu re-identifizieren. Obwohl eine 100-prozentige Anonymisierung aus Sicht des Schutzes personenbezogener Daten das wünschenswerteste Ziel ist, ist dies in einigen Fällen nicht möglich, und es muss ein Restrisiko der Re-Identifizierung eingeplant werden.

Missverständnis: Es besteht kein Risiko und kein Interesse daran, herauszufinden, auf wen sich diese Daten beziehen

Personenbezogene Daten haben einen Wert an sich, für die Personen selbst und für Dritte. Angriffe gegen die Anonymisierung können entweder absichtliche oder unbeabsichtigte Versuche der Re-Identifizierung, Datenverletzungen oder die Freigabe von Daten für die Öffentlichkeit sein. Die Möglichkeit, dass jemand mindestens eine Person in einem Datensatz re-identifiziert, sei es aus Neugier, durch Zufall oder durch ein tatsächliches Interesse (z. B. wissenschaftliche Forschung, Journalismus oder kriminelle Aktivitäten), darf nicht außer Acht gelassen werden. Es kann schwierig sein, die Auswirkungen einer Re-Identifizierung auf das Privatleben einer Person genau abzuschätzen, da dies immer vom Kontext und von den Informationen abhängt, die miteinander in Beziehung gesetzt werden. Beispielsweise kann die Re-Identifizierung einer betroffenen Person im Zusammenhang mit dem scheinbar harmlosen Kontext ihrer Filmvorlieben dazu führen, dass Rückschlüsse auf die politische Einstellung oder sexuelle Orientierung dieser Person gezogen werden. Solche besonders sensiblen Daten stehen jedoch unter dem besonderen Schutz der DSGVO.

Fazit

Insgesamt können wir feststellen, dass das Papier des EDPS und der AEPD mit vielen Missverständnissen im Zusammenhang mit dem Begriff Anonymisierung aufräumt. Es macht auch deutlich, dass die vielen Aussagen, die es über diese Technologie gibt, kritisch zu hinterfragen und zu überprüfen wären. Das Papier des Europäischen Datenschutzbeauftragten und der spanischen Aufsicht, die wir Ihnen in unserem heutigen Beitrag vorgestellt haben, hilft, das Bewusstsein für diese Problematik zu schärfen.

Übrigens: In unserer letzten Folge unseres Podcasts „Nichts zu verbergen – Das Datenschutz-Kaffeekränzchen“ vom 08.07.2021 sprachen wir ebenfalls über die Anonymisierung. Noch mehr interessante Informationen zum Thema gibt es also hier…


Benötigen Sie Unterstützung im Rahmen der Umsetzung der DSGVO-Bestimmungen? Rufen Sie uns an, wir helfen Ihnen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungDer Betriebsrat und der Datenschutz – was geht, was nicht?
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichDSGVO-Bußgeld vorbeugend abwehren – geht das und wenn ja, wie?
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungDatenverarbeitung im Beschäftigungsverhältnis nach der DSGVO
verschlüsselung supportende windows 7https-Verschlüsselung immer und auf allen Seiten!
Impfung Impfstatus arbeitgeberAbfrage des Impfstatus durch den Arbeitgeber
Privacy Shield – aktueller Sachstand (19.02.2016)