Rechtlich ist geklärt: Anonymisierte Daten unterfallen nicht dem Datenschutz. Man kann mit anonymisierten Daten – rein datenschutzrechtlich betrachtet – also machen was man will. Manchmal erzeugen aber auch Dinge, die datenschutzrechtlich vermeintlich zulässig sind, ein ungutes Gefühl. Warum eigentlich?
Ist es unproblematisch, wenn Navigationsgeräte die Messdaten des Fahrverhaltens für Verkehrsflussanalysen oder zur Planung von Infrastrukturvorhaben aggregieren? Spricht wirklich nichts dagegen, dass „smarte“ Kohlenmonoxid-Melder Vorfälle und Messdaten an den Gerätehersteller senden und Ergebnisse über Kohlenmonoxid-Vorfälle in privaten Haushalten aggregiert sowie in Feldstudien veröffentlicht werden? Dürfen Mobilfunk-Provider anonymisierte Mobilfunkdaten zur Optimierung des öffentlichen Nahverkehrs an Verkehrsbetreiber weitergeben? Warum fragen Unternehmen selbst im Bereich von anonymisierten Daten doch noch nach der Einwilligung ihrer Kunden bzw. bieten Widerspruchmöglichkeiten an, wie etwa die Telekom, die im letztgenannten Fall „über die rechtlichen Verpflichtungen zum Datenschutz und zur Datensicherheit hinaus […] ihren Kunden als zusätzliche, freiwillige Leistung anbieten [wird], der Verwendung der vollständig anonymisierten Daten über [eine] Webseite zu widersprechen.“
Möglicherweise bestehen bei bzw. vor der Verwendung von anonymisierten Daten mehrere Schwierigkeiten:
Wirksames Anonymisieren ist nicht leicht
Wie wirksam Anonymisierungstechniken wirklich sind, wird derzeit noch erforscht. Dabei zeigt sich immer mehr, dass eine wirksame Anonymisierung oftmals nicht bzw. nur sehr schwer zu erreichen ist. Selbst ein vermeintlich anonymisierter Datenbestand birgt Restrisiken. Wie kompliziert der Einsatz von Anonymisierungstechniken tatsächlich ist und welche Restrisiken bestehen, zeigt sowohl in rechtlicher als auch in technischer Hinsicht eine Stellungnahme der Artikel 29 Datenschutzgruppe zu Anonymisierungstechniken auf. So muss nicht nur jeder zu anonymisierende Datenbestand auf Einzelfallbasis bewertet, sondern auch ausgeschlossen werden, dass der Datensatz sog. Quasi-Identifikatoren enthält bzw. eine Verknüpfbarkeit mit anderen Datensätzen die Wirksamkeit der Anonymisierung gefährdet. Das Löschen von „Name und Adresse“ reicht dabei regelmäßig nicht aus.
Nur zulässig erhobene Daten sind der Anonymisierung zugänglich
Darüber hinaus wird häufig eine weitere Schwierigkeit bestehen. Zwar unterliegt der Verarbeitungsschritt der Anonymisierung an sich keinem datenschutzrechtlichen Erlaubnisvorbehalt. Allerdings sind anonymisierte Daten vor der Anonymisierung personenbezogen. Es darf den noch zu anonymisierenden Datenbestand daher nur geben, wenn hierfür eine Rechtsgrundlage existiert. Das bedeutet, dass insbesondere vorherige personenbezogene Datenerhebungen bzw. -speicherungen jeweils auf ihre datenschutzrechtliche Zulässigkeit hin überprüft werden müssen. Es wäre dabei unzulässig, Daten länger zu speichern als unbedingt für rechtmäßige Zwecke erforderlich. Insbesondere eine Vorratsdatenspeicherung für spätere Anonymisierungszwecke wäre regelmäßig unzulässig. Das bedeutet in der Regel aber auch, dass personenbezogene Profile für eine spätere Anonymisierung nicht gebildet werden dürfen, sondern nicht miteinander verknüpfte Einzeldaten anonymisiert werden müssen. Denn die der Anonymisierung vorgeschaltete Profilbildung unterliegt dem Schutzbereich des Datenschutzrechts und bedarf somit einer eigenen Rechtsgrundlage. Insbesondere bei Mobilfunkbetreibern kann dies zu einer nur sehr eingeschränkten Nutzung der Daten führen, wenngleich hier immer wieder Begehrlichkeiten entstehen.
Nutzerakzeptanz
Schließlich kann die Verwendung von anonymsierten Daten auch zu einer Verringerung der Nutzer- bzw. Kundenakzeptanz führen. Es hinterlässt möglicherweise ein ungutes Gefühl, zu wissen, dass die vom Navigationsgerät erfassten Daten des eigenen Fahrverhaltens dazu genutzt werden, um die besten Standorte für Geschwindigkeitskameras statistisch zu ermitteln.