private kontaktdaten beschäftigte mangelnde einbindung dsb datenschutzbeauftragter anonymisierung

Anonymisierung – absolut oder relativ, der EuGH hat entschieden

/von

Was ist eigentlich Anonymisierung und weshalb ist diese Fragestellung so wichtig für datenschutzrechtliche Beurteilungen? Ganz einfach: Für anonymisierte Daten ist die DSGVO nicht einschlägig. Diese Tatsache ergibt sich direkt aus der Definition der personenbezogenen Daten, deren Vorliegen Voraussetzung ist, damit die Verarbeitung unter den Anwendungsbereich der DSGVO fällt. In Art. 4 Nr. 1 DSGVO werden personenbezogene Daten definiert als:

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen

Präzisiert wird dies dann noch in Erwägungsgrund 26 zur DSGVO durch die beiden Sätze:

Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.

So einfach ist es also im Grunde. Wer anonymisierte Daten verarbeitet, kann im Hinblick auf die Verarbeitung dieser Daten so ziemlich alles vergessen, was jemals über die DSGVO gelernt wurde. Wer anonymisierte Daten verarbeitet, ist noch nicht einmal mehr der „Verantwortliche“ für diese Datenverarbeitung gemäß Art. 4 Nr. 7 DSGVO.

Dies hat interessante Folgen:

  • Verzeichnis von Verarbeitungstätigkeiten: muss nicht geführt werden,
  • Aufsichtsbehörde meldet sich: es müsste noch nicht einmal geantwortet werden, außer vielleicht: „Hey, Ihr seid nicht zuständig“,
  • Datenpanne: Vielleicht peinlich für das Unternehmen- aber von Meldepflicht weit und breit keine Spur,
  • Bußgelder: Nein – zumindest keine DSGVO-Bußgelder.

Klingt zu schön, um wahr zu sein? Naja, im Prinzip ist es tatsächlich so. Die Problematik liegt darin, dass es teilweise gar nicht so einfach ist, eine wirkliche Anonymisierung hinzubekommen. Schauen wir zunächst auf die Definition der Anonymisierung. Auch hier hilft uns wieder der Erwägungsgrund 26 zur DSGVO in dem zur Feststellung, ob ein Personenbezug vorhanden ist, folgendes gesagt wird:

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

Ein paar Punkte dieser Definition sind hier bemerkenswert und verdienen eine nähere Betrachtung:

  1. Es wird nicht verlangt, dass eine Identifikation technisch absolut unmöglich ist, und zwar jetzt und in der Zukunft. Sondern es geht um Wahrscheinlichkeiten. Auch Kosten und Zeitaufwand sind zu berücksichtigen. Liegen also relativ wenige und keine sensiblen Daten zu einer Person vor und könnte man die Person mit den schnellsten und damit teuersten Rechnern, die verfügbar sind innerhalb von 10 Jahren identifizieren, nur um dann vielleicht festzustellen, wo diese Person gewohnt hat, dann wird man wohl gemäß obenstehender Definition von einer Anonymisierung ausgehen dürfen. Auch wenn also bereits jetzt bekannt ist, dass die Person theoretisch identifizierbar wäre, dürfen wir davon ausgehen, dass niemand derartig hohe Kosten in Kauf nehmen wird, nur um nach 10 Jahren Arbeit eine Adresse zu erfahren, an der die Person dann mit einer gewissen Wahrscheinlichkeit nicht einmal mehr wohnen wird. Andererseits hat heise.de in einem Artikel auf eine Forschung aus den USA verwiesen, nach der 81% der Personen, deren Daten in einer sogenannten anonymisierten Datenbank gespeichert waren, nur anhand der drei Informationen Postleitzahl, Geschlecht und Geburtsdatum identifiziert werden konnten. Anhand von 15 demografischen Merkmalen einer in Massachusetts lebenden Person habe sogar eine 99,98-prozentige Wahrscheinlichkeit bestanden, dass eine Identifizierung möglich gewesen wäre. Also Vorsicht bei der Anonymisierung!
  2. Zeitpunkt und technologische Entwicklung sind zu berücksichtigen. Es genügt also nicht, nur den aktuellen Zeitpunkt zu bewerten, sondern die künftige technologische Entwicklung ist ebenfalls in Erwägung zu ziehen. Würde jemand also Daten verschlüsseln und den Schlüssel anschließend vernichten bzw. löschen – hätte man dann anonymisierte Daten? Vermutlich schon, zumindest dann, wenn Verschlüsselung und verwendeter Schlüssel dem Stand der Technik entsprechen. Bei sehr sensiblen Daten, die einen sehr hohen Wert darstellen, müsste man sich aber schon die Frage stellen, ob hier nicht doch jemand einen sehr großen Aufwand zur Entschlüsselung betreiben würde und ob nicht in absehbarer Zeit ein Quantencomputer die Entschlüsselung sogar hinbekäme.
  3. Und dann fällt noch auf, dass nichts darüber gesagt wird, ob es für die Entscheidung, ob eine Anonymisierung vorliegt, genügt, dass der Empfänger der Daten die Person nicht identifizieren kann (relativer Ansatz) oder ob niemand diese Daten wiederherstellen können darf (absoluter Ansatz). So. Und damit nähern wir uns dem eigentlichen Thema dieses Artikels.

Relativer oder absoluter Ansatz

Genau diese Frage wurde in der Vergangenheit kontrovers diskutiert und war bereits Gegenstand diverser Gerichtsentscheidungen. Nehmen wir als Beispiel ein Unternehmen, das bestimmte Daten zu Forschungszwecken auswerten lassen möchte. Diese Daten werden zunächst pseudonymisiert. Es werden also alle Informationen, die eine Identifikation ermöglichen würden, entfernt und dafür eine Zuordnungsnummer hinzugefügt. Die Daten werden anschließend an einen Dienstleister übermittelt, der die entsprechenden Auswertungen vornimmt und die Ergebnisse zusammen mit der Zuordnungsnummer an den Auftraggeber zurückübermittelt. Der Verantwortliche kann die Ergebnisse anhand der Zuordnungsnummer wieder den Personen zuordnen und hat somit personalisierte Auswertungen. Bei diesem Beispiel ist es unstreitig, dass aus Sicht des Auftraggebers zu jeder Zeit personenbezogene Daten vorliegen und verarbeitet werden. Aber wie sieht das aus Sicht des Empfängers aus?

  1. Man könnte aus Sicht des Empfängers argumentieren, dass dieser keinerlei Möglichkeit hat, die Personen in den Datensätzen zu identifizieren. Folglich würde der Empfänger aus seiner Sicht anonymisierte Daten verarbeiten und würde nicht dem Anwendungsbereich der DSGVO unterfallen. Dies würde dem relativen Ansatz entsprechen.
  2. Man könnte aber auch argumentieren, dass es sich um lediglich pseudonymisierte Daten handelt, da eine Zuordnung der Daten zu den jeweiligen Personen weiterhin möglich ist. Bei dieser Überlegung wird nicht auf einzelne Verarbeiter geschaut und die Anonymisierung jeweils getrennt nach Verarbeiter bewertet, sondern es wird lediglich insgesamt geschaut, ob irgendjemand eine Identifikation der Personen vornehmen kann. Ist dies gegeben, liegt keine Anonymisierung vor (absoluter Ansatz).

Ein gutes Argument der Befürworter des absoluten Ansatzes war bislang folgende Überlegung:

Es kann ja Daten geben, bei denen es für den Empfänger nicht möglich ist, die Personen zu identifizieren, aber für andere Dritte. Weil die Daten aber für den Empfänger als anonymisiert gelten, unterfallen sie nicht mehr der DSGVO, fallen auch nicht mehr unter deren Schutz. Werden diese nun offengelegt, dann könnten alle Stellen, denen eine Identifizierung möglich ist, diese vornehmen. Es würden also tatsächlich sensible personenbeziehbare Daten dem Schutz der DSGVO entzogen.

Auch hierzu ein Beispiel:

Jemand übermittelt Daten zu Beschäftigten in anonymisierter Form an ein anderes Unternehmen. Die Sozialversicherungsnummer ist jedoch in diesen Daten enthalten. Der Empfänger hat keine Möglichkeit, anhand der Sozialversicherungsnummer auf die Personen zu schließen, da ihm jeglicher Zugriff auf die entsprechenden Systeme fehlt. Die Daten wären für den Empfänger somit anonymisiert und unterlägen nicht der DSGVO. Es gibt aber eine Vielzahl an Stellen (Krankenkassen, behandelnde Ärzte, Rentenversicherung), die eine Zuordnung vornehmen könnten. Auf den ersten Blick ein gutes Argument für den absoluten Ansatz.

Der EuGH hat entschieden

Ein aktuelles Urteil des EuGH vom 04.09.2025 – C-413/23 schafft hier Klarheit mit einem, wie wir finden, sehr guten und ausgewogenen Urteil. Zunächst zur Vollständigkeit: Das Urteil des EuGH basiert auf der Verordnung (EU) 2018/1725. Diese überträgt das geltende Datenschutzrecht der DSGVO auf die supranationalen Einrichtungen der EU. Wir haben also formal eine andere Verordnung als die DSGVO. Die Regelungen, Begriffsdefinitionen einschließlich der Formulierungen sind aber weitgehend identisch, sodass die Entscheidung auf die DSGVO übertragbar ist. Einen Hinweis zu einer einheitlichen Auslegung der beiden Verordnungen findet sich sogar in Erwägungsgrund 5 zur Verordnung (EU) 2018/1725:

Soweit die Bestimmungen der vorliegenden Verordnung auf denselben Grundsätzen beruhen wie die der Verordnung (EU) 2016/679 [DSGVO], sollten diese Bestimmungen der beiden Verordnungen unter Beachtung der Rechtsprechung des [Gerichtshofs] einheitlich ausgelegt werden, insbesondere da der Rahmen der vorliegenden Verordnung als dem Rahmen der Verordnung (EU) 2016/679 gleichwertig verstanden werden sollte.

Wir dürfen also das nun ergangene Urteil auf die DSGVO übertragen. Der EuGH hat in einem konkreten Fall den relativen Ansatz für richtig befunden. Und zwar ging es, ähnlich wir in unserem obigen Beispiel um eine Übermittlung von Daten, die der Verantwortliche aufgrund eines eindeutigen Kennzeichens jederzeit den Personen wieder zuordnen konnte. Der Empfänger konnte dies jedoch nicht. Da in diesem Fall ausschließlich der Verantwortliche das eindeutige Kennzeichen kannte, war somit auch nur ihm die Identifizierung möglich. Eine Identifikation durch andere Dritte, wir in unserem obigen Beispiel bezüglich der Sozialversicherungsnummer, war hier damit nicht gegeben. Aus diesem Grund hat der EuGH für diesen konkreten Fall entschieden, dass die Daten tatsächlich für den Verantwortlichen pseudonymisiert, für den Empfänger (und im Prinzip auch den Rest der Welt) die Daten jedoch anonymisiert waren. Der EuGH hat in seiner Begründung, was wir gut und richtig finden, aber explizit auch gesagt, dass dies nur für diesen Sonderfall gilt und die Möglichkeit, dass andere Dritte eventuell eine Identifikation vornehmen könnten, durchaus bei der Bewertung hinsichtlich einer Anonymisierung zu berücksichtigen ist. Der EuGH sagt hierzu:

Sofern nämlich nicht ausgeschlossen werden kann, dass diese Dritten nach allgemeinem Ermessen in der Lage sind, die pseudonymisierten Daten anhand von Mitteln wie etwa einem Abgleich mit anderen ihnen zur Verfügung stehenden Daten der betroffenen Person zuzuordnen, ist diese Person sowohl in Bezug auf die Übermittlung der Daten als auch in Bezug auf die spätere Verarbeitung dieser Daten durch Dritte als identifizierbar anzusehen. Unter solchen Umständen müssten pseudonymisierte Daten als personenbezogene Daten betrachtet werden.

Fazit

Mit den Folgen des Urteils des EuGH kann man unseres Erachtens sehr gut leben. Einerseits schafft es die Möglichkeit, in Ausnahmefällen pseudonymisierte Daten so zu behandeln wie anonymisierte Daten, wenn dadurch tatsächlich kein Risiko für die betroffenen Personen ausgeht. Andererseits ist aber auch sichergestellt, dass es nicht genügt, dass nur der Empfänger nicht über die Möglichkeit verfügt, die betroffenen Personen zu identifizieren, sondern es müssen sämtliche Dritte in Betracht gezogen werden. Der Sorge, dass schützenswerte personenbezogene Daten dem Schutz der DSGVO entzogen werden, ist damit Rechnung getragen. Wir begrüßen daher für diese Fälle die pragmatische Herangehensweise des EuGH.