Der relative Anonymisierungsbegriff und seine Folgen für die Praxis
Im Zuge der Entwicklung der Datenwirtschaft in Europa spielen Anonymisierungen von personenbezogenen Daten eine wichtige Rolle. Eine geglückte Anonymisierung verspricht Vorteile. Sie dient dem Schutz der Betroffenen und erspart den Wirtschaftenden bei der Weiternutzung der Daten die Anwendung der DSGVO, da anonyme Daten nicht unter den Anwendungsbereich der Verordnung fallen. Im Lichte der vorherrschenden Entbürokratisierungsdebatten und des großen Wunsches der Wirtschaft sich vom Ballast der Datenschutzbürokratie für ihre Datenverarbeitung zu befreien, wäre dies sicherlich zu begrüßen. Was dabei zu beachten ist, beleuchtet dieser Beitrag.
Das Konzept des relativen Personenbezugs in der DSGVO
Die DSGVO kennt unterschiedliche Zustände, die personenbezogene Daten einnehmen können. Darunter zählt die „Pseudonymisierung“, die dazu dient ein personenbezogenes Datum einem erhöhten Schutz zu unterziehen, indem eine direkte Identifizierung per technischer und organisatorischer Maßnahmen ausgeschlossen wird. Kern dieser Maßnahmen ist die getrennte Aufbewahrung der Informationen, die für eine Identifizierung benötigt werden. Zudem zählt die „Anonymisierung“ zu einem solche Zustand, der den Personenbezug letztendlich aufhebt und somit das Datum auch kein personenbezogenes Datum mehr darstellt. Damit greift der Pflichtenkatalog der DSGVO für solche Daten nicht.
Die folgende Übersicht soll die unterschiedlichen Zustände personenbezogener und nicht-personenbezogener Daten laut DSGVO veranschaulichen:
| Personenbezogenes Datum | Kein personenbezogenes Datum | |
|---|---|---|
| Personenbezug vorhanden | Pseudonymisierung durch getrennte Aufbewahrung der Identifizierungsinformationen | Anonymisierung durch Aufhebung des Personenbezugs |
| Direkte Identifizierbarkeit | Indirekte Identifizierbarkeit | Keine Identifizierbarkeit |
| Pflichtkatalog der DSGVO | Pflichtkatalog der DSGVO ist anzuwenden
Erhöhter Schutz des Datums/ ggf. weniger strenge weitere technische und organisatorische Maßnahmen |
Keine Anwendung der DSGVO |
Zu beachten ist, dass die DSGVO von einem relativen Konzept des Personenbezugs ausgeht. D.h. dass es laut DSGVO nicht nötig ist, dass Daten absolut und faktisch anonym sind, sondern dass sie lediglich für den Rezipienten, also den Verantwortlichen oder einem Dritten, denen Sie vorliegen, anonym sein müssen. Oder um es ausführlich in den Worten des Europäischen Gerichtshofs auszudrücken, ist ein Datum auch dann anonym,…
„wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene“ (siehe C-582/14 – Breyer, Rn. 46)
Dies ist in der Tabelle mit einem Durchlass zwischen pseudonymen und anonymen Daten gekennzeichnet, denn eine Pseudonymisierung kann unter Umständen auch eine anonymisierende Wirkung haben.
Anonymisierende Wirkung von Pseudonymisierung in der Rechtsprechung des EuGH
Das Konzept des relativen Personenbezugs sieht auf den ersten Blick nach einer Erleichterung aus. Allerdings ist das Konzept nicht explizit in der DSGVO angelegt und birgt somit rechtliche Unsicherheit. In Auswertung der relevanten Urteile, findet sich auch kein Urteil in dem eine Pseudonymisierung tatsächlich zu einer Anonymisierung geführt hätte. So ist eine IP-Adresse (C-582/14 – Breyer), eine Fahrzeug-Identifikationsnummer (FIN; C‑319/22 – Gesamtverband Autoteile-Handel (Zugang zu Fahrzeuginformationen)) oder auch ein TC-String (C‑604/22 – IAB Europe) personenbezogen.
In seiner jüngsten Entscheidung (C-413/23 P – EDSB/ SRB) zu dem Themenkomplex „Pseudonymisierung im Rahmen der DSGVO“ hat der EuGH ebenfalls die Kriterien des relativen Personenbezugs angewandt, um zu ermitteln, ob ein pseudonymisiertes Datum als anonymes Datum gelten darf. Dabei hat das Gericht leider offengelassen, ob die Daten im vorliegenden Fall durch die Pseudonymisierung und Übersendung an einen Dritten als hinreichend anonymisiert gelten können oder nicht. Dies ist bedauerlich, da sich an der Klarheit der Kriterien für die Anonymisierung im Hinblick auf Pseudonymisierung in Verarbeitungskonstellationen mit mehreren Organisationen leider nicht viel aufgeklärt hat. Gleichwohl gibt das Urteil auch keinen Anlass dazu, die Hoffnung aufzugeben.
Anonymisierung durch Pseudonymisierung ist somit aber auch nach diesem Urteil ein rechtlich höchst unklarer Bereich, der von den Praktikern der Datenwirtschaft erfordert, dass sie hohe Anforderungen an die Sicherstellung der Anonymität der Daten erfüllen müssen.
Von der faktischen zur relativen Anonymisierung und ihren Fallstricken in der Praxis
Um ein gewisses Maß an Rechtsicherheit zu bewahren, wäre eine faktische Anonymisierung eines Datums, mit dem Ergebnis ein in sich anonymes Datum vorliegen zu haben, zu begrüßen, denn damit würde man sich in der Praxis den Vorgaben der DSGVO entledigen und wäre frei in der Nutzung des Datums.
Allerdings geht durch eine solche Anonymisierung auch der Wert des Datums an sich verloren, denn solche Daten leben in der Praxis von einer individuellen Zuordenbarkeit. Je allgemeiner ein solches Datum ist, desto weniger Wert hat es für eine Auswertung und der Erzielung konkreter Erkenntnisse. Auch ist der Wiederverwendungswert niedrig. Ein Datenanalyst kann eine verallgemeinerte Aussage zu einer undefinierten Gruppe nicht ohne weiteres für andere Auswertungen nutzen. Somit sind faktisch anonymisierte Daten von niedrigem Wert und sind unserer beabsichtigten datengetriebenen Wirtschaft von geringer Bedeutung.
Ist aber eine gewisse Zuordenbarkeit zu einer definierten Gruppe gegeben, erhöht sich das Risiko, dass ein solches Datum auch einer spezifischen Person zugeordnet werden kann. Auch einst anonyme Daten können mit Ablauf der Zeit, d.h. mit der erhöhten Verfügbarkeit weiterer Informationen und mit der Entwicklung neuer Re-Identifizierungsmethoden einen Personenbezug erlangen. Dieses Schicksal kann sogar heute als faktisch anonym angesehene Daten ereilen. Ist dies der Fall, dann greift die DSGVO. Um rechtzeitig die Pflichten aus der DSGVO erfüllen zu können, muss jeder Marktakteur, der heute mit solchen Daten arbeitet, ein Risikomanagement etablieren.
Derzeit werden in der Literatur diverse Kriterien besprochen, welche beim Risikomanagement für anonyme Daten eine Rolle spielen können.
Dieses Risikomanagement zielt auf die Re-Identifizierungsrisiken ab und umfasst u.a.:
- eine Analyse der Natur der Daten
- die derzeit existierenden Methoden der Anonymisierung und Re-Identifizierung
- die Wahrscheinlichkeit der Re-Identifizierung ausgehend von der Nutzbarkeit der Daten für unterschiedliche nutzbringende Zwecke diverser Akteure
- die Weitergabe der Daten, sowie die vertraglichen Absprachen
- die Risikoanalyse weiterer vorhandener öffentlicher oder nicht-öffentlicher Daten, die eine Re-Identifizierung erleichtern könnten
Das Risikomanagement zielt darauf einerseits die Re-Identifizierungsgefahren für Daten zu minimieren. Andererseits ist dies kein punktueller Vorgang. Mit Ablauf der Zeit verändern sich die Einflussfaktoren, da neue Daten verfügbar werden oder neue Techniken und Technologien entstehen, die eine Re-Identifizierung erleichtern können. Somit ist dieses Risikomanagement eine kontinuierliche Aufgabe für alle Marktakteure, die heute mit anonymen Daten arbeiten.
Ob dieses Risikomanagement hinreichend ist, werden jedoch die Gerichte entscheiden müssen, da der Gesetzgeber bislang keine klaren Rahmenbedingungen für den Umgang mit anonymen Daten gesetzt hat.
Eine kurze Kosten-Nutzen-Rechnung
Aus der Perspektive eines datenwirtschaftenden Unternehmens stellt sich demnach vor allem die Frage, ob es sich überhaupt lohnt mit anonymen Daten zu arbeiten, wenn damit hohe Rechtsunsicherheiten einher gehen, wenn dafür ein Risikomanagement etabliert werden muss und diese Daten an sich weniger wertvoll für das eigene Geschäft sind.
Es erscheint auf den ersten Blick einfacher sich dem Diktat der DSGVO zu beugen und direkt mit personenbezogenen Daten zu arbeiten, die von größerem Wert sind und bei denen klare Regeln der Nutzung und Weitergabe bestehen.
Auch könnte es sehr viel einfacher sein, zwar mit anonymen und pseudonymen Daten zu arbeiten, aber von vornherein die Informations- und vertraglichen Pflichten der DSGVO auch für diese Daten anzuwenden.
Fazit
Die DSGVO nimmt anonyme Daten zwar aus ihrem Anwendungsbereich heraus, jedoch gibt die Verordnung den Marktakteuren, die heute mit anonymen Daten arbeiten auf, ein umfassendes Risikomanagement zu etablieren, um sicherzustellen, dass diese Daten auch anonym bleiben. Die datenwirtschaftenden Unternehmen müssen dieses Risikomanagement schon heute umsetzen, jedoch in einem rechtlich unklaren Bereich etablieren. Um die Risiken zu minimieren, kann dies sehr aufwendig sein. Ob es dann noch von Vorteil ist mit anonymen Daten zu arbeiten, unterliegt einer Kosten-Nutzen-Rechnung der Unternehmen der Datenwirtschaft. Möchte ein Unternehmen sicher gehen, so wendet es die DSGVO auch für anonyme Daten an, bei denen nicht eindeutig gewährleistet ist, dass diese Daten auch in der Zukunft anonym bleiben.
Justyna Rulewicz
RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)
