Anonymisierung und Pseudonymisierung aus datenschutzrechtlicher Sicht
Seitens der Datenwirtschaft besteht eine immer größere Nachfrage nach personenbezogenen Daten. Durch das verstärkte Aufkommen des Themas „Künstliche Intelligenz“ (KI) ist die Nachfrage nach personenbezogenen Daten weiter gestiegen. Häufig wird versucht die Bürger durch Anonymisierung oder Pseudonymisierung davon zu überzeugen, dass ihre Daten durch diese Maßnahmen nicht missbraucht werden können und Daten daher zur Verfügung gestellt werden sollten. Richtig ist, dass sowohl die Pseudonymisierung als auch die Anonymisierung dazu dienen können die Risiken für die Betroffenen bei der Verarbeitung ihrer Daten zu verringern, aber auch durch diese Maßnahmen können Risiken nicht ausgeschlossen werden.
Insbesondere in Deutschland wird von verschiedenen Akteuren eine Definition des Begriffs „Anonymisierung“ gefordert; dass es eine europarechtliche Definition gibt scheint denjenigen, die sich von der Forderung einen effektiven Schutz vor Missbrauch bei der Verarbeitung personenbezogener Daten versprechen, unbekannt zu sein.
Offensichtlich gibt es verschiedene Fragen im Zusammenhang mit Anonymisierung und Pseudonymisierung. Eine Gruppe von Mitgliedern verschiedener Verbände hat sich zu sammengefunden, um eine Praxishilfe für den Umgang mit diesen Fragen insbesondere im Gesundheitswesen zu erstellen. In diesem Beitrag werden einige wichtige Punkte angesprochen, für eine ausführlichere Darstellung wird auf die Praxishilfe selbst verwiesen, in der neben der rechtlichen Betrachtung auch Hinweise zur Durchführung einer Anonymisierung bzw. Pseudonymisierung zu finden sind.
Anonymisierung und Pseudonymisierung: Begriffsbestimmung
Der Begriff der Pseudonymisierung ist in Art. 4 Ziff. 5 DS-GVO definiert, diese Definition ist allgemein bekannt. Daher wird an dieser Stelle auf eine weitere Erläuterung verzichtet.
Anonymisierung wird in Art. 3 Ziff. 7 der Richtlinie (EU) 2019/1024 wie folgt definiert:
„Anonymisierung“ den Prozess, in dessen Verlauf Dokumente in anonyme Dokumente umgewandelt werden, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten so anonym gemacht werden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Bei der Auslegung dieser Begriffsbestimmung ist zu beachten, dass sich Art. 3 Ziff. 7 der Richtlinie (EU) 2019/1024 mit dem Begriff „Dokumente“ befasst, der seinerseits in Art. 3 Ziff. 6 der Richtlinie (EU) 2019/1024 definiert ist:
„Dokument“
a) jeden Inhalt unabhängig von der Form des Datenträgers (auf Papier oder in elektronischer Form oder als Ton-, Bild- oder audiovisuelles Aufnahme); oder
b) einen beliebigen Teil eines solchen Inhalts.
Der Begriff „Dokument“ ist also wesentlich weiter gefasst, als dies im deutschen Sprachgebrauch üblich ist. Diese Definition entspricht der Definition der internationalen Norm ISO/IEC 29100.
Europäische Richtlinien müssen durch nationale Rechtsakte umgesetzt werden. Im Falle der Begriffsdefinition der Anonymisierung ist dies durch § 3 Ziff. 12 Datennutzungsgesetz geschehen:
„Anonymisierung“ ist der Prozess, in dessen Verlauf personenbezogene Daten in Daten umgewandelt werden, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder derart in Daten umgewandelt werden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Unter Berücksichtigung der Bedeutung des Wortes „Dokument“ in der europäischen Regelung kommt die deutsche Umsetzung mit der Verwendung des Wortes „Daten“ dem Sinngehalt der Regelung sehr nahe. Gleichwohl empfiehlt es sich in Zweifelsfällen zumindest parallel die Begriffsbestimmung in Art. 3 Ziff. 7 der Richtlinie (EU) 2019/1024 heranzuziehen, da – wie der BGH entschieden hat – der Gesetzgeber die europäischen Vorgaben zu beachten hat, sodass gegebenenfalls auch eine europarechtskonforme Auslegung der nationalen Normen zu erfolgen hat.
Somit gibt es sowohl für die Pseudonymisierung als auch für die Anonymisierung Legaldefinitionen.
Braucht es einen Erlaubnistatbestand für die Anonymisierung oder Pseudonymisierung?
In Art. 4 Ziff. 2 DS-GVO findet sich die Begriffsbestimmung von „Verarbeitung“, die leichter zu betrachten ist, wenn man von der beispielhaften Aufzählung der Verarbeitungsvorgänge absieht:
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten […]
Jeder Vorgang im Zusammenhang mit personenbezogenen Daten stellt somit eine Verarbeitung dar, insbesondere also auch die Anonymisierung oder Pseudonymisierung. Gemäß Art. 5 Abs. 1 lit. a DS-GVO müssen personenbezogene Daten insbesondere auch auf „rechtmäßige Weise“ verarbeitet werden. Nach Art. 6 Abs. 1 DS-GVO ist eine Verarbeitung nur dann rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 lit. a-f DS-GVO genannten Bedingungen erfüllt ist; bei der Verarbeitung der in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten muss zusätzlich mindestens eine der in Art. 9 Abs. 2 DS-GVO genannten Ausnahmen vorliegen.
Sowohl die Pseudonymisierung als auch die Anonymisierung erfordern daher immer einen Erlaubnistatbestand, der diese Verarbeitung legalisiert.
Müssen betroffene Personen über eine Anonymisierung oder Pseudonymisierung informiert werden?
Eine Anonymisierung oder Pseudonymisierung stellt in der Regel eine Zweckänderung gegenüber dem Zweck dar, zu dem die Daten erhoben wurden. Häufig werden Daten auch anonymisiert oder pseudonymisiert, um die so verarbeiteten Daten anschließend zu einem anderen Zweck als dem ursprünglichen Zweck zu verarbeiten, wobei allerdings schon die Anonymisierung oder Pseudonymisierung selbst eine Verarbeitung zu einem anderen Zweck als den ursprünglichen darstellen, was beachtet werden muss.
Teilweise wird argumentiert, dass keine Zweckänderung vorliegt, wenn der neue Zweck „kompatibel“ im Sinne des Art. 5 Abs. 1 lit. b DS-GVO ist. Dies ist falsch. Auch in diesen Fällen handelt es sich um einen anderen Zweck als den ursprünglichen Zweck, wie er auch in Art. 5 Abs. 1 lit. b DS-GVO ist: Der alte und der neue Zweck mögen zwar nicht miteinander unvereinbar sein, es handelt sich aber dennoch um verschiedene Zwecke.
Gemäß Art. 13 Abs. 4 bzw. Art. 14 Abs. 4 DS-GVO hat der Verantwortliche vor einer Verarbeitung zu einem anderen Zweck (also insbesondere auch noch vor der Pseudonymisierung/ Anonymisierung) der/den betroffenen Person/en Informationen über diesen andren Zweck und alle weiteren relevanten Informationen gemäß Art. 13 und/oder Art. 14 Abs. 2 DS-GVO zur Verfügung zu stellen.
Eine Information der betroffenen Personen ist daher faktisch immer zwingend erforderlich und muss ggf. nachträglich, aber auf jeden Fall vor Beginn der Anonymisierung oder Pseudonymisierung, zu den bereits erteilten Informationen vorgenommen werden.
Ist die Pseudonymisierung oder Anonymisierung dagegen von Anfang an als Teil der Verarbeitung geplant, muss sie somit bei der Erfüllung der Informationspflichten im Rahmen der Erstinformation bei der Erhebung der Daten bereits berücksichtigt werden.
Umgang mit Nachweispflichten
Immer dann, wenn personenbezogene Daten verarbeitet werden, treffen den Verantwortlichen diverse Nachweispflichten, die sich aus verschiedenen Vorschriften der DS-GVO ergeben. Der EuGH legt diese in Art. 5 Abs. 2 DS-GVO verankerte Pflicht zum Nachweis der DS-GVO-konformen Verarbeitung sehr weit aus, auch im Sinne einer Beweislastumkehr.
Da dies für jegliche Verarbeitung gilt, gelten die Nachweispflichten somit auch für eine Anonymisierung oder Pseudonymisierung. Nach ErwGr. 26 DS-GVO sollen die Vorgaben der DS-GVO zwar nicht für anonyme Daten gelten, jedoch muss der Verantwortliche, u. a. aufgrund der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO, zu jedem Zeitpunkt der Verarbeitung (und damit insbesondere auch während der gesamten Speicherdauer) nachweisen können, dass es sich bei den anonymisierten Daten zu jedem Zeitpunkt der Verarbeitung um anonyme Daten handelt. Der Nachweis der Anonymisierung stellt somit keinen einmaligen Vorgang dar, sondern ist als Prozess zu verstehen, der den gesamten Lebenszyklus der Daten begleitet.
Gerade im Hinblick auf die sich sehr schnell entwickelnden technischen Möglichkeiten muss dieser Nachweis mit entsprechender Sorgfalt geführt werden und die dabei angewandte Methodik muss mindestens dem Stand der Technik entsprechen.
So ist beispielsweise bei der Beurteilung, ob Daten als anonymisiert oder pseudonymisiert anzusehen sind, auch zu berücksichtigen, dass neue Daten zu einem bestehenden Datensatz hinzugefügt wer- den können, wodurch sich wiederum auch neue Möglichkeiten der Re-Identifizierung ergeben können.
Die Nachweispflicht aus Art. 5 Abs. 2 DS-GVO erfordert, dass der Nachweis erbracht wird, dass eine erfolgte Anonymisierung auch bei sich ändernden technischen Möglichkeiten oder neu gewonnenem Zusatzwissen irreversibel ist. Eine regelmäßige Überprüfung des Fortbestehens des Status „anonym“ bzw. „pseudonym“ und des damit verbundenen Schutzniveaus für die personenbezogenen Daten ist daher aus verschiedenen Gründen zwingend erforderlich und der entsprechende Prozess ist – ggf. einschließlich evtl. erforderlicher Kriterien, wann eine Überprüfung spätestens zu erfolgen hat – ebenso zu dokumentieren wie die Überprüfungen und deren Ergebnisse nachvollziehbar zu dokumentieren sind.
Muss ich anonyme Daten, die ich erhalte, auf Anonymität prüfen?
Wenn man Daten erhält, die grundsätzlich einer Person zugeordnet werden können, wird der Empfänger datenschutzrechtlich Verantwortlicher, wenn die Daten nicht als anonym, sondern als personenbezogen oder personenbeziehbar anzusehen sind.
Die (juristische oder natürliche) Person, von der man die Daten erhalten hat, kann bestenfalls grob abschätzen, welche technischen Möglichkeiten, Zusatzwissen usw. beim Empfänger vorhanden sind, sodass die Einstufung als „anonym“ durch den Datenlieferanten falsch sein kann und man als Empfänger der Daten eine Prüfung vornehmen muss.
Ist man rechtlich Verantwortlicher, weil die erhaltenen Daten als personenbezogen oder personenbeziehbar anzusehen sind, unterliegt man allen Verpflichtungen des Datenschutzrechts. Es ist nicht möglich, sich diesen Pflichten mit der Begründung zu entziehen „man habe dem Übermittler der Daten hinsichtlich der Anonymität der Daten vertraut“. Die ständige Rechtsprechung des EuGH ist in dieser Hinsicht eindeutig: Der für die Verarbeitung Verantwortliche ist „verantwortlich“.
Ursprünglich als anonym eingestufte Daten erweisen sich als personenbeziehbar
Im Laufe der Zeit kann es aufgrund technischer Entwicklungen, neu entdeckter mathematischer Verfahren usw. vorkommen, dass als anonym klassifizierte Daten nicht mehr als „anonym“ eingestuft werden können, sondern als pseudonymisiert betrachtet werden müssen.
In diesem Fall sind alle Anforderungen der Datenschutzgesetze anzuwenden, wie beispielsweise:
- Darlegung der Rechtsgrundlage für die Verarbeitung;
- Gewährleistung der Betroffenenrechte wie z. B. Information der betroffenen Personen oder Löschung unrechtmäßig verarbeiteter Daten sowie Information der Empfänger der Daten hinsichtlich Erforderlichkeit der Löschung;
- Durchführung einer Datenschutz-Folgenabschätzung;
- Gewährleistung der Sicherheit der Verarbeitung
Daten wurden „anonym“ übermittelt, nun erfolgt eine Re-Identifizierung
Der EuGH hat in Leitsatz 3 entschieden, dass der Verantwortliche die Beweislast dafür trägt, dass die getroffenen Schutzmaßnahmen angemessen waren. Dies bedeutet, dass der Verantwortliche, der anonymisierte Daten weitergegeben hat, die im Nachhinein re-identifiziert werden konnten, die Beweislast dafür trägt, dass die vorgenommene Anonymisierung zu Daten geführt hat, die den Anforderungen des Art. 3 Ziff. 7 der Richtlinie (EU) 2019/1024 entsprechen.
Im Falle einer gerichtlichen Überprüfung der getroffenen Maßnahmen hat ein Gericht nach dem genannten Urteil des EuGH (Rn. 45) eine materielle Prüfung der Maßnahmen anhand aller in Art. 32 genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht insoweit zur Verfügung stehenden Beweismittel vorzunehmen, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind (Rn. 47).
Darüber hinaus kann der Verantwortliche im Fall einer unbefugten Offenlegung personenbezogener Daten durch Dritte, wie sie eine unbefugte Re-Identifizierung i. d. R. darstellen wird, gegenüber den Personen, die einen Schaden erlitten haben, schadensersatzpflichtig sein (vgl. das zitierte Urteil, Rn. 86), es sei denn, der Verantwortliche weist nach, dass er in keiner Weise für den Schaden verantwortlich ist.
Anonymisierung und „Big Data“
Die Methoden zum Schutz der Privatsphäre im Zusammenhang mit Big-Data-Anwendungen befinden sich noch in einem frühen Entwicklungsstadium, und diese Methoden können die Privatsphäre der betroffenen Personen aufgrund von Funktions- und Effizienzproblemen nicht gewährleisten. Dies gilt insbesondere dann zu, wenn nicht vorhersehbar ist, welche Daten von wem zusammengeführt werden: In diesen Fällen wird durch die Zusammenführung immer kaum abschätzbares bzw. bewertbares Zusatzwissen zum eigentlich betrachteten Datensatz gewonnen, sodass eigentlich nur die Möglichkeit bleibt rechtlich, d. h. vertraglich, sicherzustellen, dass eine Zusammenführung des als „anonym“ betrachteten Datensatzes mit anderen, unbekannten Datensätzen verboten wird.
Pramanik et al. haben 202113 verschiedene Methoden zum Schutz der Privatsphäre im Zusammenhang mit Big Data-Anwendungen bewertet und versucht deren Vor- und Nachteile darzustellen. In diesem Review identifizierten die Autoren u. a. die Hauptschwächen der bestehenden Ansätze zum Schutz der Privatsphäre bei Big-Data-Analysen, gaben aber auch Empfehlungen für die Wirtschaftsakteure ab. Auch wenn sich keine der untersuchten Methoden direkt auf Anonymisierung oder Pseudonymisierung bezieht, bietet die Arbeit einen guten Überblick über die derzeit im Big-Data-Umfeld verwendeten Methoden.
Dr. Bernd Schütze
Da das Thema sicherlich auch in den nächsten Jahren nicht an Wichtigkeit verlieren wird, freut sich Dr. Schütze über Rückmeldungen zur Praxishilfe, insbesondere über Feedback aus dem Umfeld der medizinischen Forschung.
Fazit
Sowohl die Pseudonymisierung als auch die Anonymisierung sind wichtige Verfahren, um die Risiken für die betroffenen Personen bei der Verarbeitung ihrer Daten zu verringern, und sollten daher, wo immer es sinnvoll möglich ist, eingesetzt werden. Allerdings bedarf es einer intensiven Auseinandersetzung mit der Materie.
Eine Herausforderung für die zur Anonymisierung und Pseudonymisierung beratenden Datenschutzbeauftragten besteht darin sich selbst in die Methoden der Anonymisierung bzw. Pseudonymisierung einzuarbeiten und so einerseits Beschäftigte des Verantwortlichen bei diesen Themen beraten zu können, andererseits aber auch eine Bewertung der ergriffenen Maßnahmen durchführen zu können. So ermöglichen Datenschutzbeauftragte eine konsequente, wirksame und zuverlässige Anonymisierung und Pseudonymisierung und werden von Beschäftigten des Verantwortlichen als wertvolle Partner und Unterstützer wahrgenommen. Gerade im Zusammenhang mit der Anonymisierung werden immer wieder Thesen vertreten, die bei Betrachtung der rechtlichen Grundlagen kaum haltbar sind. Es wäre wünschenswert, wenn sich die Politik vor Gesetzesanpassungen fachlichen und sachkundigen Rat einholen würde. Insbesondere, wenn es um die Verarbeitung besonders sensibler Daten wie beispielsweise genetische oder Gesundheitsdaten geht: Personenbezogene oder personenbeziehbare Daten, die als vermeintlich „anonyme Daten“ „der Welt“ zur Verarbeitung zur Verfügung gestellt werden, sind letztlich nicht mehr einzufangen. Wirtschaft und Politik sind daher gut beraten sich vor Entscheidungen mit der Materie zu befassen. Die hier vorgestellte Praxishilfe will dazu einen Beitrag leisten.
