Zur Anonymisierung personenbezogener Daten: Rechtliche und technische Voraussetzungen

Die stetig wachsende Bedeutung von Informationen über natürliche Personen in Wirtschaft und Wissenschaft steht in einem ebenso beständigen Spannungsverhältnis zum Datenschutz. Die datenschutzrechtlichen Vorgaben stellen oft eine Hürde für weitgehende Datenanalysen und Auswertungen dar.

Die erste Frage, die bei der Prüfung der Zulässigkeit der Datenverarbeitung zu stellen ist, ist die, ob es sich überhaupt um personenbezogene Daten handelt. Soweit diese Frage zu verneinen ist, ist der Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO) nicht eröffnet. Für „anonyme“ Daten gelten die Grundsätze des Datenschutzes nicht (vgl. Erwägungsgrund 26 Satz 5 DS-GVO).

Ist diese Frage jedoch zu bejahen, ist als zweites zu fragen, ob eine gesetzliche Grundlage für die Datenverarbeitung einschlägig oder die Einholung einer Einwilligung vom Betroffenen möglich ist. Ist beides nicht der Fall, ist die Datenverwendung nur dann erlaubt, wenn diese lediglich anonymisierte Daten betrifft.

Da die datenschutzrechtlichen Vorgaben bei der Verwendung von anonymen beziehungsweise anonymisierten Daten nicht berücksichtigt werden müssen, ist deren Nutzung bei der Entwicklung und Verbesserung von Produkten und Dienstleistungen für die Unternehmen von großer Bedeutung.

Darüber hinaus sind anonymisierte Daten für Testzwecke von Bedeutung. Die jeweils eingesetzten Systeme, Anwendungen und Produkte sollen vor dem Live-Betrieb zunächst getestet werden, um mögliche Schwachstellen oder Fehler identifizieren zu können. Testen an sich ist kein legitimer Zweck für die Verarbeitung der personenbezogenen Daten. Das Bilden von künstlichen Datensätzen ist dagegen sehr aufwendig, da die Testdaten möglichst so strukturiert werden und ähnliche Merkmale aufweisen sollen wie die realen Daten. Die Datensätze, die durch die Anonymisierung derart modifiziert wurden, dass sie keinerlei Informationen über die einzelnen Personen mehr aufweisen, können dennoch für eine Analyse beziehungsweise das Testen sehr nutzbar sein.

Was ist Anonymisierung?

Weder die DS-GVO noch das Bundesdatenschutzgesetz (BDSG) enthalten Definitionen des Begriffs „Anonymisierung“.

Das BDSG a.F. stellte noch in § 3 Abs. 6 fest, dass Anonymisieren das Verändern personenbezogener Daten in der Art ist, „dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr“ (sog. absolute Anonymität) oder „nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft“ (sog. faktische Anonymität) einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden kann.

Der Wortlaut des Gesetzestextes hatte damals schon eine Diskussion darüber ausgelöst, ob die Bestimmbarkeit auf den Verantwortlichen allein oder auch auf sämtlichen denkbaren Dritten ausgedehnt werden muss. Dies hätte dann auch für die Erreichung einer Anonymisierung entsprechende Auswirkungen.

Vor dem Inkrafttreten der DS-GVO war es umstritten, welcher Maßstab bei der Prüfung der Bestimmbarkeit einer Person anzulegen ist. So wurde ein relativer und ein objektiver Ansatz diskutiert.

Nach dem objektiven Ansatz kommt es darauf an, ob ein außenstehender Dritter in der Lage ist, die betroffene Person zu identifizieren. Nach dem relativen Ansatz liegt kein Personenbezug vor, wenn es dem Verantwortlichen nur mit einem unverhältnismäßig großen Aufwand möglich ist, die betroffene Person zu identifizieren.

Mit dieser Fragestellung war auch der Bundesgerichtshof (BGH) BGH (Urt. v. 16.05.2017, Az. VI ZR 135/13) befasst, der die Frage, ob eine dynamisch vergebene IP-Adresse ein personenbezogenes Datum darstellt, dem EuGH vorlegte. Der EuGH entschied, dass es sich dennoch um ein personenbezogenes Datum handelt, auch wenn zum Bespiel Webseitenbetreiber nicht ohne Weiteres eine Zuordnung einer IP-Adresse vornehmen können. Ausreichend sei unter anderem, dass der Webseitenbetreiber die rechtliche Möglichkeit habe, Auskunft über den hinter einer dynamisch vergebenen IP-Adresse stehenden Nutzer zu bekommen. Diese Auffassung, der sich der BGH anschloss (Urteil) , hat auch unter dem Regime der DS-GVO weiter Bestand.

Die DS-GVO stellt zwar nun auf identifizierte oder identifizierbare natürliche Personen ab – im Gegensatz zur Datenschutz-Richtlinie (Richtlinie 46/95/EG, DS-RL), die von bestimmten und bestimmbaren Personen sprach (vgl. Art. 4 Ziff. 1 DS-GVO). In Erwägungsgrund 26 legt die DS-GVO – in Übereinstimmung mit den Grundsätzen der DS-RL – fest, dass „die Grundsätze des Datenschutzes für alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“, und daher nicht für anonyme Informationen gelten sollten.

Dabei unterscheidet die DS-GVO zwischen Daten, die von Natur aus keine personenbezogenen Daten sind und sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen (sog. Sachdaten) und zwischen den Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann (vgl. Erwägungsgrund 26 Satz 5 DS-GVO).

Dabei löst die DS-GVO in Erwägungsgrund 26 Satz 3 die Diskussion zu dem bei der Prüfung eingesetzten Ansatz und stellt fest, dass bei der Prüfung des Vorliegens des Personenbezuges alle Mittel berücksichtigt werden sollen, die „von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden“, um eine Person identifizieren zu können. Dabei sollten bei der Auswahl der oben genannten Mittel solche Faktoren, wie erforderliche Kosten und Zeitaufwand sowie die zum Zeitpunkt der Anonymisierung verfügbaren Technologien berücksichtigt werden.

Dies hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) im Rahmen eines öffentlichen Konsultationsverfahrens zum Thema Anonymisierung erläutert und dabei eine pragmatische Auslegung der DS-GVO-Vorgabe vorgestellt. So ist eine Anonymisierung in der Art, dass eine Re-Identifizierung – die Wiederherstellung des Personenbezugs – für niemanden möglich ist, in der Praxis sehr schwer zu erreichen und ist aus Sicht des BfDI auch nicht von der Verordnung gefordert. Eine faktische Anonymisierung, die sicherstellt, dass der Personenbezug nur mit unverhältnismäßigem Aufwand an Kosten, Zeit und Arbeitskräften wiederhergestellt werden kann, ist somit ausreichend.

Anonymisierungstechniken

In der Praxis stellt sich die Frage, wie dieser Zustand, dass die Daten unumkehrbar anonymisiert sind, erreicht werden kann. Es bleibt auf der gesetzlichen Ebene offen, welche Anonymisierungstechniken angemessen und hinreichend sind, um die Identifizierung der Betroffen (nahezu) unmöglich zu machen. Hilfestellung gibt eine Handreichung der Artikel-29-Datenschutzgruppe (heute Europäischer Datenschutzausschuss, EDSA), vgl. Stellungnahme 5/2014 zu Anonymisierungstechniken vom 10.04.2014, WP216. Anonymisierung ist danach „ein auf die personenbezogenen Daten angewandtes technisches Verfahren nach dem aktuellen Stand der Technik“, der es ermöglicht den Personenbezug und alle Merkmale zur Identifizierung der betroffenen Person unwiderruflich zu entfernen.

In der Stellungnahme zu Anonymisierungstechniken verfolgt die Datenschutzgruppe einen Risikoansatz und definiert drei Hauptrisiken, die bei der Feststellung des Schutzniveaus einer bestimmten Technik betrachtet werden müssen:

  1. So sollte darauf geachtet werden, ob eine Möglichkeit besteht, aus einem Datenbestand Datensätze zu isolieren, die eine Identifizierung einer Person ermöglichen – sog. „Herausgreifen“ (singling out).
  2. Ein weiteres Risiko besteht laut der Artikel-29-Datenschutzgruppe, wenn die Verknüpfung mehrerer Datensätze, die dieselbe Person oder Personengruppen betreffen, möglich ist („Verknüpfbarkeit“).
  3. Ferner wird die Möglichkeit der Ableitung bestimmter Merkmale aus einer Reihe von ähnlichen Werten, die eine Person identifizierbar machen – sog. „Inferenz“ – bei der Auswahl von effektiven Methoden der Anonymisierung ebenfalls als ein Risiko betrachtet.

Ein technischer Ansatz, der diese Risiken berücksichtigt und dabei geeignet ist, um die anonymisierten Daten von der Re-Identifizierung mit den Mitteln, „die nach angemessenem Ermessen wahrscheinlich genutzt werden“ (vgl. Erwägungsgrund 26 Satz 4 DS-GVO), kann als effektiv erachtet werden. Dabei weist die Datenschutzgruppe darauf hin, dass keine Technik einen absoluten Schutz bietet und immer im Kontext des aktuellen Standes der Technik bewertet werden sollte.

Die Datenschutzgruppe unterscheidet zwischen zwei generellen Gruppen der Anonymisierungstechniken: Randomisierung und Generalisierung.

Randomisierung ist eine Reihe der Techniken, die durch die Verfälschung der Verbindungen zwischen den Daten und den betroffenen Personen ermöglicht, dass die anonymisierten Daten – ähnlich wie reale Datensätze – einzigartig sind und die gleichen Merkmale wie die personenbezogene Daten aufweisen. Zu den Randomisierungstechniken gehört beispielsweise die stochastische Überlagerung, die die Merkmale im Datenbestand so verändert, dass diese weniger genau sind, Vertauschung, die bestimmte Merkmale mit einer anderen betroffenen Person verknüpft sowie die Differential Privacy, die die Überlagerungen in den einzelnen Merkmalen definiert und diese auswertet. Dabei sind die Randomisierungstechniken am besten beispielsweise für die Testzwecke geeignet, da ein dadurch generierter Datensatz den Realdaten ähnelt und keinen Personenbezug aufweist.

Die Methode der Generalisierung dagegen verändert die Datensätze dahingehend, dass durch eine Veränderung der Größenordnung und einer Ersetzung der spezifischen Werte durch generalisierte Werte eine Anonymisierung erreicht wird. Durch eine Aggregation und die Herstellung von k-Anonymität – als Generalisierungstechniken – wird eine Bestimmbarkeit von einzelnen Personen verhindert.

L-Diversität stellt sicher, dass in einer mittels k-Anonymität gebildeten Gruppe einzelne Merkmale mindestens l unterschiedlichen Werten zugeordnet werden können. Bei der t-Closeness sollten die unterschiedlichen l-Werte, die den Merkmalen in der k-Anonymität-Gruppe zugeordnet werden können, mindestens t mal vertreten werden. So kann der optimale Schutz gegen Inferenz sichergestellt werden.

Dabei analysiert die Datenschutzgruppe für jede Technik das Schutzniveau, das gegenüber den oben aufgelisteten Risiken sichergestellt werden kann sowie häufige Fehler bei der Umsetzung und die Schwachstellen einzelner Anonymisierungstechniken. Außerdem wird darauf hingewiesen, dass die optimale Lösung die Kombination der Randomisierungs- und der Generalisierungstechnik ist. Diese bietet einen starken Schutz und verringert die Wahrscheinlichkeit der Re-Identifizierung.

Die Ausführungen der Artikel-29-Datenschutzgruppe geben einen guten Überblick über die Möglichkeiten für eine hinreichend robuste Anonymisierung. Dennoch bleiben Herausforderungen in der Praxis. Zum einen dürfen insbesondere bei Testdaten zur Vorbereitung eines Go Live bestimmte Zusammenhänge zwischen den einzelnen Datenattributen nicht verloren gehen, da ansonsten kein aussagekräftiger Test möglich ist. So dürfte oftmals eine Verkettung (s. o.) dennoch möglich bleiben.

Zum anderen werden in der Praxis oft unterschiedlich strukturierte beziehungsweise aussagekräftige Daten für Analysen gebraucht. Hieraus folgt, dass eine Anonymisierungsmethode nicht für jeden Anwendungsfall brauchbar ist. Dies stellt die jeweiligen Tools, die zur Erreichung einer Anonymisierung genutzt werden regelmäßig vor zusätzliche Herausforderungen.

Anonymisierung: Art der Datenverarbeitung, zweckgebundene Weiterverarbeitung oder technische Maßnahme, die die Erfüllung der Datenschutzprinzipien sicherstellt?

Ist einmal eine hinreichend robuste und praxistaugliche Anonymisierungsmethode gefunden, stellt sich die Frage, inwieweit der Anonymisierungsvorgang eine datenschutzrechtlich zulässige Verarbeitung ist.

Die Artikel-29-Datenschutzgruppe analysiert die Anonymisierung noch nach der Datenschutzrichtlinie (RL 95/46/EG) als eine Art der Datenverarbeitung und stellt fest, dass diese eine Weiterverarbeitung personenbezogener Daten darstellt. Diese muss mit dem ursprünglichen Verarbeitungszweck vereinbar sein.

Dabei wird die Anonymisierung in den allgemeinen Grundsätzen der Datenverarbeitung in der Datenschutzrichtlinie 95/46/EG (Art. 6) sowie in den Regelungen zur Verarbeitung von Verkehrs- und Standortdaten in der ePrivacy-Richtlinie (RL 2002/58/EG), Art. 6, 9, als Alternative zur Datenlöschung nach Zweckerreichung erwähnt. Deswegen vertritt die Artikel-29-Datenschutzgruppe die Auffassung, dass die Anonymisierung als Weiterverarbeitung stets mit dem ursprünglichen Zweck vereinbar ist und solange diese effektiv und unumkehrbar ist, sind die Voraussetzungen für eine Weiterverarbeitung erfüllt.

Das öffentliche Konsultationsverfahren des BfDI zum Thema Anonymisierung unter Geltung der DS-GVO vom 10. Februar 2020 hat aber das in der Praxis fest etablierte Verständnis für die Anonymisierung, als die stets mit dem ursprünglichen Verarbeitungszweck vereinbare Weiterarbeitung, infrage gestellt. So ist – laut dem BfDI – die Anonymisierung das Ergebnis der Verarbeitung der personenbezogenen Daten und stellt eine Art der Datenverarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO dar. Deswegen bedarf die Anonymisierung als solche einer Rechtsgrundlage.

Dabei stehen vor allem die Weiterverarbeitung im Sinne von Art. 6 Abs. 4 DS-GVO, Erfüllung einer rechtlichen Verpflichtung zur Löschung der Daten nach Art. 6 Abs. 1 lit. c) i.V.m. Art. 17 DS-GVO sowie eine Einwilligung nach Art. 6 Abs. 1 lit. a) zur Auswahl.

Mit diesem Konsultationsverfahren wandte sich der BfDI an Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung mit der Bitte um die Kommentare und die Stellungnahmen zu diesem Thema. Am 23. März 2020 hat der Branchenverband Bitkom eine Stellungnahme zur Anonymisierung Bitkom eine Stellungnahme zur Anonymisierung unter der DS-GVO veröffentlicht.

Der Bitkom hat sich kritisch gegenüber der Auffassung des BfDI, dass Anonymisierung eine Art der Datenverarbeitung sei und deswegen einer gesonderten gesetzlichen Grundlage bedürfe, gezeigt. Anonymisierung ist aus der Sicht des Verbandes „die Ausprägung der datenschutzrechtlichen Prinzipien der Datenminimierung“ (vgl. Stellungnahme Bitkom, S. 5) und diene dabei dem Schutz der Grundrechte der betroffenen Personen.

Anonymisierung sei demnach keine Verarbeitung im Sinne des Art. 4 Abs. 2 DS-GVO und kann nicht unter den Begriffen der „Löschung“ oder „Veränderung“ subsumiert werden. Deswegen sei sie „privilegiert und damit stets ohne Rechtsgrrundlage zulässig“ (vgl. Stellungnahme Bitkom, S. 2). Die Anonymisierung ermögliche es, die Daten bei Fehlen einer gesetzlichen Grundlage oder einer Einwilligung zu verarbeiten und sei „eine technische Bedingung für eine (intendierte) Datenverarbeitung“ (vgl. Stellungnahme Bitkom, S. 3).

Ausblick

Wie gezeigt, bleiben trotz der erhellenden Handreichung der ehemaligen Artikel-29-Datenschutzgruppe Herausforderungen für die Praxis. Eine one-fits-all-Lösung erscheint nicht ersichtlich. Dennoch ist das Thema Anonymisierung sehr wichtig für die Wirtschaft, wie die ausführliche Stellungnahme des Bitkom zeigt.

Die strenge Auslegung der DS-GVO-Vorgaben des BfDI stellt eine Hürde für die wirtschaftliche und wissenschaftliche Entwicklung dar. Oft sind die Zwecke, für die die anonymisierte Datensätze verwendet werden, nicht mit dem ursprünglichen Zweck – meistens Vertragserfüllung – vereinbar. Dies steht nicht im Einklang mit der Bestimmung, dass für die anonymisierten Daten die Datenschutzgrundlagen nicht gelten.

Nun ist es abzuwarten, zu welchem Ergebnis der BfDI im Rahmen des öffentlichen Konsultationsverfahrens kommt und welche Auswirkung die Stellungnahmen und Bewertungen von Öffentlichkeit, Politik und Wirtschaft darauf haben werden.

Das Ergebnis dieses Verfahrens soll der BfDI in Form einer Orientierungshilfe zum rechtsicheren und datenschutzfreundlichen Umgang mit der Anonymisierung darstellen.

Wünschenswert ist jedenfalls, dass der BfDI die Hürden für eine Vereinbarkeitsprüfung hinsichtlich einer anonymisierenden Weiterverarbeitung nicht zu hoch ansetzt. Dass der BfDI sich der Auffassung der IT-Branche anschließt, dass die Anonymisierung kein rechtfertigungsbedürftiger Verarbeitungstatbestand ist, ist dagegen nicht zu erwarten. Durch die bisherige Behördenpraxis hat der BfDI zum einen diesen Standpunkt regelmäßig vertreten, zudem teilt diese Einschätzung auch der EDSA – ehemals die Artikel-29-Datenschutzgruppe – auf Unionsebene.

 

 

Zum Autor:

Iryna Shvets ist Consultant für Datenschutz. Bei der migosens GmbH beschäftigt sie sich mit den datenschutzrechtlichen Fragestellungen in der Telekommunikationsbranche. Dabei berät sie bei der datenschutzfreundlichen Gestaltung der Produkte und Dienstleistungen, Web- und App-Angeboten.
Iryna Shvets studierte Rechtswissenschaften und hat einen LL.M. an der Kölner Forschungsstelle für Medienrecht erworben.