Die datenschutzrechtlichen Bestimmungen der DSGVO finden Anwendung, wenn personenbezogene Daten i. S. d. Art. 4 Nr. 1 DSGVO verarbeitet werden. Entfällt der Personenbezug durch Anonymisierung, so gelten die Grundsätze des Datenschutzes nicht mehr. Dieser Blogbeitrag beschäftigt sich mit der seit langem existierenden und nicht abschließend gelösten Problematik, wann von anonymisierten Daten zu sprechen ist. Die DSGVO selbst enthält diesbezüglich keine Definition.
In vergangenen Beiträgen wurde bereits der Begriff der Anonymisierung, insbesondere in Abgrenzung zur Pseudonymisierung, bei der eine Zuordnung der Daten zu einer Person möglich bleibt, erläutert und auf die Daten-Synthetisierung als mögliche Alternative zur Anonymisierung eingegangen.
Die Frage, wann Daten anonym sind, spielt insbesondere im Rahmen der (medizinischen) Forschung eine erhebliche Rolle (vgl. hierzu auch den Beitrag über die rechtlichen Rahmenbedingungen für die Datenverknüpfung zu Forschungszwecken).
Spannungsfeld zwischen Forschung und Datenschutz
Die rapide Entwicklung moderner Informations- und Kommunikationstechnik führt zu immer umfangreicheren Datenauswertungsmöglichkeiten, welche unzweifelhaft zu den wünschenswerten Fortschritten in der Forschung beitragen. Für aussagekräftige Ergebnisse benötigen Wissenschaftler möglichst große Mengen an qualitativ guten Daten. Zwar werden diese Daten in der Regel auf unterschiedlichste Weise verschlüsselt. Mit der zur Verfügung stehenden Menge an Daten und Auswertungsmöglichkeiten steigen aber auch die Möglichkeiten einer Re-Identifizierbarkeit und damit die Risiken bzgl. der Verletzung von Persönlichkeitsrechten der jeweils betroffenen Personen.
Ist Personenbezug von Daten relativ oder absolut zu beurteilen?
Die Frage, wann Daten als anonym anzusehen sind, spielt u. a. für die Auflösung des Konflikts zwischen der sich bei Forschungsvorhaben gegenüberstehenden Grundrechten – das Recht auf informationelle Selbstbestimmung und die Freiheit von Wissenschaft und Forschung – eine Rolle. Hierbei kann eine absolute oder relative Betrachtungsweise herangezogen werden. In der Forschung kann sich diese Problematik auch kombiniert mit zwischengeschalteten Datentreuhandstellen ergeben. Fraglich ist dann zudem, ob Zusatzwissen (wie der Pseudonymisierungsschlüssel) Dritter dem Verantwortlichen als eigenes Wissen zuzurechnen ist.
a) Absolute Anonymisierung
Absolut anonyme Daten werden durch Vergröberungen und die Entfernung von Merkmalen soweit verändert, dass eine Wiederherstellung des Personenbezugs unmöglich gemacht wird und auch aus dem Gesamtkontext, unter größtmöglichem Aufwand und mittels aller möglichen Zusatzinformationen eine Re-Identifizierung absolut und für jeden ausgeschlossen ist. Auch nur theoretisch denkbare Techniken zur Re-Identifizierung, unabhängig von der Wahrscheinlichkeit, der Kosten und dem erforderlichen Arbeitseinsatz, führen nach dieser Betrachtungsweise zur Anwendbarkeit der DSGVO. Zusatzwissen zur Herstellung eines Personenbezugs dürfe weder bei der verantwortlichen (forschenden) Stelle noch bei sonstigen Dritten, z. B. einem Datentreuhänder, vorhanden sein. Unerheblich ist beispielsweise auch, ob auf dieses Wissen nur unter Zuhilfenahme illegaler Mittel zugegriffen werden kann.
Als Argumente für diesen strengen Ansatz wird vor allem vorgebracht, dass nur so ein optimaler Schutz der Betroffenenrechte und die effektive Gewährleistung des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG möglich sei. Außerdem könne nur ein absoluter Ansatz Rechtssicherheit geben, da dieser eine trennscharfe Abgrenzung zwischen personenbezogenen und anonymen Daten ermögliche und unpraktikable und unsichere Einzelfallentscheidungen vermiede.
b) Relative Anonymität
Dem gegenüber werden Daten als relativ (faktisch) anonym bezeichnet, wenn eine Identifizierung zwar nicht gänzlich ausgeschlossen, aber nur mit einem unverhältnismäßigen Aufwand hergestellt werden kann. Bei der Frage, wann eine Identifizierung faktisch so aufwändig bzw. unwahrscheinlich ist, dass sie als unmöglich betrachtet wird, wird auf die Kosten und den Zeitaufwand, die für den Vorgang der Re-Identifizierung erforderlich sind und auf den aktuellen Stand der verfügbaren Technologie abgestellt. Teilweise wird zusätzlich die Sensibilität der Daten sowie das Re-Identifizierungsinteresse eines Angreifers und die Art der Datenaufbewahrung und der Datenzugänglichkeit in den Blick genommen. Welche Stelle das Wissen zur Re-Identifizierung hat, spielt dabei keine Rolle. Viel mehr kommt es auf die Wahrscheinlichkeit eines Zugänglichmachens und Anwendens dieses Wissens im Einzelfall an.
Für einen relativen Ansatz spräche zum einen, dass aufgrund der vielfältigen digital verfügbaren Datenquellen der heutigen Informationstechnologie der absolut irreversible Verlust jeglichen Personenbezugs in den meisten Fällen schlichtweg unmöglich sei. Auch spräche Erwägungsgrund 26 S. 5 DSGVO hierfür. Danach sollen die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, die sich nicht auf eine identifizierte oder identifizierbare Person beziehen. Systematisch knüpft das Begriffspaar „identifiziert“ oder „identifizierbar“ an EG 26 S. 3 und 4 DSGVO an. Hiernach sind zur Feststellung der Identifizierbarkeit alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, wobei objektive Faktoren wie die Kosten und der erforderliche Zeitaufwand einzubeziehen sind. Der Verordnungsgeber verdeutliche dadurch, dass für die Anonymität eines Datums die Identifizierungsmöglichkeit nicht zwingend unumkehrbar aufgehoben werden muss. Eine absolute Betrachtungsweise sei auch nicht nötig, um den Schutz der informationellen Selbstbestimmung der Betroffenen sicherzustellen, da schutzwürdige Belange gar nicht betroffen seien, wenn sich eine Re-Identifizierung, beispielsweise wegen fehlendem Interesse oder unverhältnismäßig hohem Aufwand, als derart unwahrscheinlich darstelle.
Im Zweifel gilt die DSGVO
Zu bedauern ist, dass die seit langem strittige Frage, wann von einer wirksamen Anonymisierung ausgegangen werden kann, trotz ihrer enormen Praxisauswirkungen bislang noch nicht abschließend höchstrichterlich geklärt wurde. Grundsätzlich sind die sich v. a. in der Literatur zeigenden Tendenzen zu Gunsten eines relativen Verständnisses auf Grund der o. g. überzeugenden Argumente zu befürworten. Um aber rechtssicher bestimmen zu können, unter welchen Umständen konkret ein „unverhältnismäßiger Aufwand“ an Zeit, Kosten und Arbeitskraft für die Re-Identifizierung anzunehmen ist, fehlt es bislang an einer Festlegung von einheitlichen objektiven Kriterien hierfür. Wünschenswert wäre daher das Aufzeigen einer klaren Linie durch die Aufsichtsbehörden. Da aktuell immer Einzelfallentscheidungen getroffen werden müssen, sollte, selbst wenn man von anonymen Daten ausgeht, die Sicherheit der Daten durch Einhalten der DSGVO dennoch sowohl bei den forschenden Stellen, als auch ggf. bei Dritten gewährleistet werden.
11. November 2022 @ 11:49
Ich wäre euch dankbar, wenn Ihr in den Artikeln auch eine Möglichkeit bietet, dies bei LinkedIn zu poosten.
Vielen Dank VG
10. November 2022 @ 14:10
Wäre ein Dienstleister, der verschlüsselte, also für ihn relativ anonymisierte, Daten hosted, bei denen er keine realistischen Möglichkeiten der Entschlüsselung hat, dann auch kein Auftragsverarbeiter, wenn man dem relativen Ansatz folgt?
10. November 2022 @ 12:58
Der Artikel bietet einen guten Einstieg in das Thema. Ich vermisse aber ein paar Beispiele aus der Praxis zu den beiden Anonymisierungs-Kategorien.
Die ausschließliche Referenz auf die medizinische Forschung greift insbesondere seit Schrems II viel zu kurz. Hier würde ich mir vom Artikel etwas mehr Tiefgang wünschen.