Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 113

47

Anonyme Daten sind der Konterpart zu personenbezogenen Daten, also Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die (nachträglich) in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Sie sind dementsprechend gemäß ErwG 26 Satz 5 und 6 nicht vom Anwendungsbereich der DSGVO umfasst; demgemäß unterliegt die Verarbeitung von anonymen Daten keinen datenschutzrechtlichen Limitierungen.116 Die DSGVO hat der Anonymisierung – im Gegensatz zur Pseudonymisierung – keine eigene Definition in Art. 4 DSGVO gewidmet, sondern behandelt anonyme Daten lediglich in ErwG 26 Satz 5.117 Interessanterweise legaldefinieren einige Landesdatenschutzgesetze die Anonymisierung als das Verändern personenbezogener Daten dergestalt, dass Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.118 Diese Begriffsbestimmung greift dabei offenbar den Wortlaut relevanter Erwägungsgründe sowie einschlägiger EuGH-Rechtsprechung auf; hierzu nachfolgend.

48

Es gibt in der DSGVO keine spezifischen Vorgaben, wann die Schwelle zur Anonymität erreicht ist, weshalb für jeden Einzelfall auf die oben dargestellten allgemeinen Erwägungen zur Bestimmung des Personenbezugs von Informationen abzustellen ist.119 Von einer Anonymisierung aufgrund fehlenden Bezugs zu einer identifizierten oder identifizierbaren natürlichen Person kann daher gesprochen werden, wenn alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich eingesetzt werden können, um die betreffende Person zu identifizieren, und sich dennoch kein Personenbezug herstellen lässt.120 Die Zielstellung einer solchen Analyse stellt sich somit als Negativ zur Prüfung, ob ein Datum personenbeziehbar ist, dar (vgl. oben Rn. 30ff.). Ersteres dürfte entsprechend der EuGH-Rechtsprechung der Fall sein, wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, sodass das Risiko einer Identifizierung de facto vernachlässigbar erscheint.121 Berücksichtigungswerte Mittel dürften neben technischen Mitteln insbesondere auch verfügbare Datenbestände (z.B. öffentlich verfügbare Daten, Rohdaten, im Rahmen von M&A-Transaktionen neu erworbene Datensätze) sein.122 Keinesfalls kann z.B. von einer Anonymisierung ausgegangen werden, wenn beim Verantwortlichen eine Kopie des Originaldatenbestandes mit Personenbezug nach der Anonymisierung erhalten bleibt und eine entsprechende Rückverfolgung möglich ist.123 Wegen der sich kontinuierlich ändernden zur Verfügung stehenden Mittel (insbesondere im Hinblick auf die technologische Entwicklung) handelt es sich auch bei der Frage der Anonymität von Daten um eine kontinuierliche Prüfung des Verantwortlichen.124 Insofern kann eine Situation eintreten, in der ein ursprünglich wirksam anonymisierter Datensatz (etwa durch Einfließen neuer Informationen oder Zugang zu neuen Verarbeitungs-Technologien) für eine datenverarbeitende Stelle im Laufe der Zeit (re-)identifizierbar wird und daher ab diesem Zeitpunkt wieder als personenbezogen zu behandeln ist.

49

In der DSGVO sind auch keine Anonymisierungsverfahren geregelt. Die Art.-29-Datenschutzgruppe hat sich allerdings ausführlich mit Anonymisierungstechniken auseinandergesetzt.125 Sie prüfte im Rahmen der DSRl die Robustheit von Anonymisierungstechniken danach, ob es nach Anwendung der Technik weiterhin möglich ist, eine Person herauszugreifen oder eine Person betreffende Datensätze zu verknüpfen, und ob Informationen über eine Person weiterhin durch Interferenz hergeleitet werden können.126 Nach der Art.-29-Datenschutzgruppe können Anonymisierungsverfahren dabei in zwei Kategorien eingeteilt werden: Randomisierung und Generalisierung. Wichtig ist, dass für eine wirksame Anonymisierung häufig nicht nur ein Anonymisierungsverfahren nötig ist, sondern eine Kombination von mehreren. Eine Dokumentation der gewählten Anonymisierungsverfahren und der oben dargestellten Anonymisierungsschwelle ist im Hinblick auf die gestiegenen Nachweis- und Dokumentationspflichten gemäß der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO verpflichtend.127

50

Unter die Kategorie der Randomisierung fallen Anonymisierungstechniken, welche die Daten in einer Weise verfälschen, dass die direkte Verbindung zwischen Daten und betroffener Person entfernt wird.128 Hierzu gehören die stochastische Überlagerung (Veränderung von Merkmalen mithilfe von Zufallsgrößen, z.B. statt der zentimetergenauen Angabe der Körpergröße einer Person die Veränderung auf eine +/– 10 cm genaue Angabe),129 die Vertauschung (Verschiebung von Merkmalswerte innerhalb eines Datensatzes)130 und die Ansätze der Differential Privacy (Erstellung einer anonymisierten Ansicht eines Datensatzes für Dritte bei gleichzeitigem Vorhalten des Originaldatensatzes).131 Dabei sind unter Umständen weitere Techniken, insbesondere die Entfernung von offensichtlichen Identifikationsmerkmalen, erforderlich, um zu gewährleisten, dass die Datensätze nicht die Identifizierung einer einzelnen Person erlauben.

51

Die Möglichkeit, einzelne Identifizierungsmerkmale gänzlich zu entfernen,132 kommt einer extremen Form der Randomisierung gleich (vollständige Überlagerung des Merkmals).133 Hierbei ist darauf zu achten, dass nicht nur die offensichtlich identifizierenden Informationen aus dem Datenbestand gelöscht werden, sondern zumindest die identifizierenden Informationen bis zur Schwelle der nicht mehr vorliegenden Wahrscheinlichkeit der Identifizierung. Beispielsweise reicht es für eine Anonymisierung regelmäßig nicht aus, bei Videoaufnahmen nur das Gesicht einer Person mit einem schwarzen Balken zu versehen bzw. zu verpixeln, weil auch andere Merkmale der gefilmten Person, wie z.B. Figur, Frisur, Kleidung oder Gangart, die Identifizierung ermöglichen können.134 Durch eine Einweg-Verschlüsselung oder Verhashung entstehen gewöhnlich ebenfalls anonymisierte Daten,135 es sei denn, der jeweils anderen Stelle stehen Mittel zur Verfügung, um den Personenbezug mit verhältnismäßigem Aufwand wiederherzustellen.136

52

Die Kategorie der Generalisierung enthält Anonymisierungstechniken, die Merkmale betroffener Personen durch die Veränderung der entsprechenden Größenskala oder -ordnung generalisieren, also durch einen weniger spezifischen Wert ersetzen.137 So wird beispielsweise aus einer Stadt eine Region oder einer Woche ein Monat.138 Zu den Generalisierungstechniken zählen die Aggregation und k-Anonymität (Verhindern des Singling-Out einer Person durch Zusammenfassen mit mindestens k anderen Personen), die die k-Anonymität erweiternde L-Diversität (Sicherstellung, dass in jeder Äquivalenzklasse verschiedene Merkmalswerte auftauchen) und t-Closeness (Bildung von Äquivalenzklassen, die der ursprünglichen Verteilung der Merkmalswerte ähneln).

53

Je nach avisiertem Einsatzzweck der zu anonymisierenden Daten ist dabei zu evaluieren, bis zu welchem Punkt eine „De-Identifizierung“ möglich ist, ohne den Aussagegehalt der Daten so zu verwässern, dass der Verarbeitungszweck nicht mehr erreicht werden kann oder jedenfalls erhebliche Erkenntnisabstriche zu befürchten sind. Sofern der weitestmögliche Grad festgelegt ist, ist zu prüfen, ob die Daten nach obiger Maßgabe bereits als anonym klassifiziert werden können oder noch von einem Personenbezug ausgegangen werden muss. Entscheidend ist demnach auch hier das faktische Identifizierungsrisiko, mithin ob die jeweils datenverarbeitende Stelle mit verhältnismäßigem Aufwand einen Personenbezug herstellen könnte. Dies ist insbesondere im Bereich der Forschung problematisch, weil eine vollständige De-Identifizierung die Daten für die Forschung häufig praktisch wertlos machen würde.139 Aus zuvor genannten Gründen ist solch eine absolute Anonymisierung datenschutzrechtlich im Regelfall auch nicht erforderlich;140 vielmehr muss das Risiko einer Identifizierung (nur) de facto vernachlässigbar erscheinen (vgl. oben Rn. 48).

54

Die Anonymisierung lässt sich dadurch von der Pseudonymisierung abgrenzen, dass bei erfolgter Anonymisierung für den Verantwortlichen die natürliche Person, auf die sich die Daten beziehen, nicht mehr identifizierbar ist, während bei der Pseudonymisierung weiterhin eine gesondert aufbewahrte Zuordnungsmöglichkeit besteht, um dem Pseudonym die passende natürliche Person zuzuordnen.141 Auch hier kommt es wiederum gemäß des eingeschränkten relativen Ansatzes auf die Perspektive des jeweiligen Datenverarbeiters an. Möglich ist es etwa auch, Informationen durch Dritte (etwa sog. Anonymisierungsdienste) „verschleiern“ zu lassen. Da ausschließlich der jeweilige Dritte über das entsprechende Zusatzwissen verfügt, um eine entsprechende Zuordnung durchzuführen, stellt die Information für andere datenverarbeitende Stellen daher zunächst ein anonymes Datum dar. Hierbei gilt es jedoch sicherzustellen, die Weitergabe dieses Zusatzwissens an den Verantwortlichen vertraglich zu untersagen und ggf. mit einer abschreckenden Vertragsstrafe zu versehen. Ferner sollten korrespondierende, etwaige vertragliche Herausgabeansprüche des Verantwortlichen entsprechend ausgeschlossen werden.142 Durch ein solches Vorgehen lässt sich die Wahrscheinlichkeit des Zugriffs auf die Zuordnungsmöglichkeit so verringern, dass es sich aus Sicht des Verantwortlichen (vorausgesetzt, weitere notwendige technische und organisatorische Absicherungen wurden getroffen) um anonyme Daten handelt.143 Für eine Anonymisierung dürfte es hingegen nicht ausreichen, wenn in einem Unternehmen nur eine einzelne Abteilung (oder der Datenschutzbeauftragte)144 bzw. in einem Konzern nur eine Konzerntochter die Zuordnungsmöglichkeit hat; denn dies dürfte die Wahrscheinlichkeit der Zuhilfenahme für das gesamte Unternehmen bzw. ein anderes Konzernunternehmen ohne weitere Absicherungen regelmäßig nicht ausreichend abbedingen.145