Häufig werden in der Praxis die Begriffe „Pseudonym“ und „Anonym“ simultan verwendet. Dabei ist die Unterscheidung im Datenschutzrecht eine Grundvoraussetzung dafür, was aus datenschutzrechtlicher Sicht mit den Daten geschehen darf.
Definition in der DSGVO
In der DSGVO findet sich der Begriff der Anonymisierung nicht im Gesetzestext selbst. Nur im Erwägungsgrund 26 Satz. 5, eine amtliche Erläuterung des Gesetzestextes, wird dieser Begriff erwähnt. Dort heißt es, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten sollten. Weiter heißt es, dass Daten dann anonym sind, wenn sie sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen oder personenbezogene Daten in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die Identifizierung soll danach ausgeschlossen sein. Dies stellt vom Wortlaut her eine Verschärfung zum bisherigen BDSG dar, das in § 3 Abs. 6 definierte, dass eine Anonymisierung vorläge, wenn „Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand (…) einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.“ Danach waren Daten auch dann anonym, wenn eine theoretische Möglichkeit der Zuordnung noch existierte.
Anonymität auch bei möglicher Reidentifizierung?
Diesen Weg der theoretischen Möglichkeit geht auch das aktuelle Positionspapier des Bundesdatenschutzbeauftragten. Dieser positioniert sich bei der Frage, welche Anforderungen an eine Anonymisierung gestellt werden sollen, wie folgt:
Eine absolute Anonymisierung derart, dass die Wiederherstellung des Personenbezugs für niemanden möglich ist, dürfte häufig nicht möglich sein und ist im Regelfall datenschutzrechtlich auch nicht gefordert. Ausreichend ist in der Regel, dass der Personenbezug derart aufgehoben wird, dass eine Re-Identifizierung praktisch nicht durchführbar ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann.
Dabei nimmt der Bundesdatenschutzbeauftragte ausdrücklich Bezug auf das Urteil des EuGHs zur Frage des Personenbezugs von IP-Adressen. Darüber haben wir bereits in unserem Blog ausführlich berichtet.
Pseudonym oder anonymisiertes Pseudonym
Im Gegensatz dazu sind nach der Definition in Art. 4 Nr. 5 DSGVO Daten pseudonym, wenn sie ohne zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Bedingung ist, dass die zusätzlichen Informationen gesondert aufbewahrt werden und Maßnahmen bestehen, dass die personenbezogenen Daten einer identifizierten oder identifizierbaren Person nicht zugewiesen werden können.
Der Erwägungsgrund 26 macht in Satz 2 deutlich, dass pseudonymisierte Daten bestehen, wenn diese durch Heranziehung zusätzlicher Informationen einer bestimmten oder bestimmbaren Person zugeordnet werden können.
Aus Sicht eines Verantwortlichen ergeben sich zwei Szenarien (vgl. hierzu Roßnagel, ZD 2018, 243,245):
Der Verantwortliche hat einen Datensatz, der bspw. aus Namen, Adresse und Bestellung eines Buches besteht. Er löscht aus dem Datensatz Name und Adresse unwiederbringlich heraus. Der Datensatz beinhaltet nur noch die Information über die Bestellung eines Buches. Es gibt für den Verantwortlichen keine Möglichkeit mehr, herauszufinden, wer dieses Buch bestellt hat. Der Datensatz ist anonym.
Löscht der Verantwortliche aus dem Datensatz nunmehr nicht Name und Adresse, sondern extrahiert aus dem Datensatz Name und Adresse, setzt dafür im Datensatz eine eindeutige ID, ordnet die ID dem Namen und der Adresse in einer gesonderten Datei zu und übergibt diese gesonderte Datei einer anderen Stelle, wie einem Notar, der angewiesen wird, diese Datei nicht mehr herauszugeben, so ist zwar theoretisch durch Zusammenfügen der Datensätze ein Personenbezug möglich, übergibt aber der Verantwortliche den gekürzten Datensatz einem Dritten, der nicht weiß, dass ein Notar die gesonderte Datei erhalten hat, so sind für diesen Dritten die Daten anonym (Roßnagel, ZD 2018, 243,245 für Forschungseinrichtungen).
Sollte der Datenverarbeiter aber eine realistische Möglichkeit haben, an die gesonderte Datei heranzukommen, also bspw. die gesonderte Datei nicht bei einem Notar hinterlegt, sondern ggf. sogar mitgeliefert oder nur organisatorisch beim Datenverarbeiter getrennt aufbewahrt wird, dann besteht eine Pseudonymisierung und keine Anonymisierung (Roßnagel, ZD 2018, 243,246).
Für den Verantwortlichen, der weiß, dass entweder der gesonderte Datensatz beim Notar liegt, oder an den Datenverarbeiter herausgegeben worden ist, bleibt der Datensatz aber in jedem Fall pseudonymisiert. Für ihn gilt daher die DSGVO und er muss sich bei dem Datentransfer darüber Gedanken machen, auf welche datenschutzrechtliche Grundlage er den Datentransfer stützen kann.
Fazit
Wann ein Datum pseudonym und wann anonym ist, bleibt Gegenstand vielfältiger Diskussionen. Verantwortliche sollten sich bewusst sein, dass die Einstufung bedeutend für den datenschutzrechtliche Einordnung ist und Möglichkeiten der Datenverarbeitung einschränken oder erweitern kann.