Wann ist ein Datum anonym, wann pseudonym?

Wie­der ein­mal wid­men wir uns der Betrach­tung eines essen­ti­el­len Grund­satz­the­mas (Wie wir bereits berich­te­ten im Bei­trag „Was sind die Grund­sät­ze im Daten­schutz“). Die Vor­ga­ben der DSGVO sind grund­sätz­lich gerich­tet auf die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten. Was pas­siert jedoch, wenn ein Datum kei­ner­lei Per­so­nen­be­zug hat oder zwar vor­über­ge­hend kein Per­so­nen­be­zug besteht, die­ser aber jeder­zeit wie­der­her­ge­stellt wer­den kann? Durch wel­che Daten­ver­ar­bei­tungs­ver­fah­ren kann der Per­so­nen­be­zug ent­fal­len? Sind die Vor­ga­ben der DSGVO auf anony­me und pseud­ony­me Daten über­trag­bar, und wenn ja, inwieweit?

Eine Pseud­ony­mi­sie­rung oder Anony­mi­sie­rung von per­so­nen­be­zo­ge­nen Daten kann das Daten­schutz­ni­veau zwar erhö­hen, lässt jedoch nicht alle daten­schutz­recht­li­chen Risi­ken ent­fal­len.“ — Chia­ra Bidmon

Was sind anony­me Daten?

Die DSGVO kann zur Begriffs­be­stim­mung des anony­men Datums bzw. dem Ver­fah­ren der Anony­mi­sie­rung nur bedingt her­an­ge­zo­gen wer­den. Anders als für den Begriff der Pseud­ony­mi­sie­rung fin­det sich für den Begriff der Anony­mi­sie­rung in Art. 4 DSGVO kei­ne expli­zi­te Defi­ni­ti­on. Ergän­zend her­an­ge­zo­gen wer­den kön­nen jedoch die Aus­füh­run­gen in Erwä­gungs­grund 26 zur DSGVO. Dem­nach ist ein Datum anonym, sofern es sich bereits bei des­sen Ent­ste­hung nicht auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezieht, bzw. liegt Anony­mi­tät auch dann vor, wenn ein grund­sätz­lich per­so­nen­be­zo­ge­nes Datum nach­träg­lich mit­tels Anony­mi­sie­rungs­ver­fah­ren so modi­fi­ziert wur­de, dass die von der Daten­ver­ar­bei­tung betrof­fe­nen Per­so­nen nicht mehr iden­ti­fi­ziert wer­den können.

Ergän­zend ergibt sich aus der Stel­lung­nah­me 5/2014 der Daten­schutz­grup­pe zu Anony­mi­sie­rungs­tech­ni­ken, dass es sich bei der Anony­mi­sie­rung um einen unwi­der­ruf­li­chen Pro­zess han­delt. Bei der Über­prü­fung, ob tat­säch­lich Daten wirk­sam anony­mi­siert wur­den, ist ins­be­son­de­re zu bewer­ten, ob eine natür­li­che Per­son wei­ter­hin iden­ti­fi­zier­bar ist. Erwä­gungs­grund 26 zur DSGVO gibt vor, dass bei die­sem Über­prü­fungs­pro­zess alle Mit­tel berück­sich­tigt wer­den sol­len, die vom Ver­ant­wort­li­chen oder einem Drit­ten „nach all­ge­mei­nem Ermes­sen mit hoher Wahr­schein­lich­keit“ genutzt wer­den, um eine Per­son zu identifizieren.

Das hört sich alles sehr abs­trakt und kom­pli­ziert an? Wir haben zur Ver­deut­li­chung ein Pra­xis­bei­spiel für Sie!

Eine Gebäu­de­rei­ni­gungs­fir­ma beschäf­tigt meh­re­re Mit­ar­bei­ten­de. Bei jedem Ein­satz vor Ort beim Kun­den sind die Rei­ni­gungs­fach­kräf­te ange­hal­ten ein Pro­to­koll hin­sicht­lich der Rei­ni­gungs­dau­er, der vor­ge­nom­me­nen Rei­ni­gungs­leis­tun­gen und der Namen, der vor Ort anwe­sen­den Fach­kräf­te anzu­fer­ti­gen, damit beim Kun­den zum Zeit­punkt der Rech­nungs­stel­lung die tat­säch­lich durch­ge­führ­ten Leis­tun­gen bei Bedarf nach­ge­wie­sen wer­den kön­nen. Tauscht nun im Nach­hin­ein ein Mit­ar­bei­ten­der der Rei­ni­gungs­fir­ma die jewei­li­gen Vor- und Nach­na­men der Rei­ni­gungs­mit­ar­bei­ten­den bei­spiels­wei­se gegen eine Kenn­zahl aus (Bei­spiel: Frau Maria Mus­ter­mann= Mit­ar­bei­ter 1), so könn­te dar­in grund­sätz­lich eine Anony­mi­sie­rung gese­hen wer­den, sofern die Ver­ga­be der Kenn­zif­fer unwi­der­ruf­lich wäre. Noch­mals zur Ver­deut­li­chung: Dem Kun­den, der die Stun­den­nach­wei­se anfor­dert, wird der Rei­ni­gungs­nach­weis ledig­lich mit der Anga­be von Zah­len in unse­rer ima­gi­nä­ren „Spal­te der­je­ni­gen Mit­ar­bei­ten­den, die vor Ort die Rei­ni­gungs­leis­tung beim Kun­den erbracht haben“ ver­se­hen über­mit­telt. Der Kun­de kann also die bei­spiels­wei­se in sei­nen Augen zu umfang­reich oder nicht aus­rei­chend durch­ge­führ­te Rei­ni­gungs­leis­tung (= ein Datum) nicht mit einer natür­li­chen Per­son in Ver­bin­dung set­zen. Aus Sicht des Kun­den liegt daher kein per­so­nen­be­zo­ge­nes Datum vor. Trotz­dem liegt hier im Ergeb­nis kein anony­mes Datum vor.

Wie­so das hier der Fall ist, klä­ren wir im fol­gen­den Abschnitt.

Was sind pseud­ony­me Daten?

Bei der Kenn­zif­fer­ver­ga­be zum Zweck der Auf­he­bung des Per­so­nen­be­zugs eines Datums han­delt es sich tat­säch­lich um einen Fall der Pseud­ony­mi­sie­rung ! Die­se ist in Art. 4 Nr. 5 DSGVO defi­niert als Ver­ar­bei­tung eines per­so­nen­be­zo­ge­nen Datums in der Wei­se, dass ohne Hin­zu­zie­hung zusätz­li­cher Infor­ma­tio­nen kei­ne Zuord­nung mehr zu einer iden­ti­fi­zier­ba­ren Per­son mög­lich ist. Dabei müs­sen fer­ner die zusätz­li­chen Infor­ma­tio­nen geson­dert auf­be­wahrt wer­den und die Zuord­nung zu einer iden­ti­fi­zier­ba­ren natür­li­chen Per­son durch tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ver­hin­dert wer­den. Dar­über hin­aus spe­zi­fi­ziert die Daten­schutz­grup­pe in ihrer Stel­lung­nah­me 5/2014 zu Anony­mi­sie­rungs­tech­ni­ken, dass es sich bei der Pseud­ony­mi­sie­rung um einen grund­sätz­lich wider­ruf­li­chen Daten­ver­ar­bei­tungs­vor­gang han­delt. Aus Rand­num­mer 45 der Urteils­grün­de zum EuGH-Urteil vom 19.10.2016 Akten­zei­chen C 582–14 ergibt sich, dass bei der Prü­fung, ob der Daten­ver­ar­bei­tungs­vor­gang unwi­der­ruf­lich war ins­be­son­de­re zu berück­sich­ti­gen sei, ob ein tech­ni­sches Mit­tel exis­tiert, wel­ches „ver­nünf­ti­ger­wei­se zur Bestim­mung der betref­fen­den Per­son ein­ge­setzt wer­den kann“. Wei­ter wird in Urteils­grund 46 aus­ge­führt, dass eine Iden­ti­fi­zie­rung einer natür­li­chen Per­son dem­nach dann nicht mög­lich sei, wenn „[…] die­se gesetz­lich ver­bo­ten oder prak­tisch nicht durch­führ­bar sei, d.h. wenn ein unver­hält­nis­mä­ßi­ger Auf­wand an Zeit, Kos­ten und Arbeits­kräf­ten erfor­der­lich wäre […]“.

Was bedeu­tet das jetzt genau für unser Fallbeispiel?

Wur­de der Vor- und Nach­na­me des jewei­li­gen Mit­ar­bei­ten­den der Gebäu­de­rei­ni­gungs­fir­ma ein­mal durch eine Kenn­zahl ersetzt, kann ohne die Kennt­nis des Sys­tems, wel­ches bei der Ver­ga­be der Kenn­zif­fern ange­wandt wur­de, der Kun­de zwar nach­voll­zie­hen, dass bei­spiels­wei­se Mit­ar­bei­ter 3 am besag­ten Datum vor Ort beim Kun­den für die Dau­er von drei Stun­den die Rei­ni­gung der Fens­ter­flä­chen vor­ge­nom­men hat. Der Kun­de kann jedoch kei­ne dar­über­hin­aus­ge­hen­de Zuord­nung der durch­ge­führ­ten Rei­ni­gungs­leis­tun­gen zu einer ihm ggfs. eigent­lich nament­lich bekann­ten Per­son vor­neh­men. Trotz­dem kann die Gebäu­de­rei­ni­gungs­fir­ma unter Hin­zu­zie­hung des ihr vor­lie­gen­den Refe­renz­do­ku­ments (= Tabel­le zur Doku­men­ta­ti­on dar­über, wel­chem Mit­ar­bei­ten­den wel­che Kenn­zif­fer zuge­ord­net wur­de) die Pseud­ony­mi­sie­rung nach­träg­lich auf­lö­sen. Die­se soge­nann­te Rei­den­ti­fi­zie­rung erfolgt ähn­lich der ver­schlüs­sel­ten Über­mitt­lung von Daten, wel­che z.B. mit­tels einer TLS Ver­bin­dung bei einem Inter­net­trans­fer über­mit­telt wer­den. Dabei wer­den zur Erhö­hung der Daten­si­cher­heit die zu über­mit­teln­den Daten zunächst beim zugriffs­be­rech­tig­ten Ver­sen­der ver­schlüs­selt, um dann anschlie­ßend beim berech­tig­ten Emp­fän­ger mit­tels des kor­rek­ten Schlüs­sels wie­der ent­schlüs­selt zu wer­den. Die ursprüng­lich per­so­nen­be­zo­ge­nen Daten kön­nen also in unse­rem Fall­bei­spiel unter Ein­satz ver­hält­nis­mä­ßi­gen Auf­wands wie­der­her­ge­stellt wer­den, der Daten­ver­ar­bei­tungs­vor­gang ist mit­hin rever­si­bel und die betrof­fe­nen Per­so­nen reidentifizierbar.

Schön und gut – die Fra­ge ist nun aber, wie sich eine Anony­mi­sie­rung oder Pseud­ony­mi­sie­rung auf die Anwen­dung der DSGVO aus­wirkt und ob die­se Daten­ver­ar­bei­tungs­ver­fah­ren über­haupt zu einer Erhö­hung des Daten­schutz­ni­veaus führen?

Anwen­dung der DSGVO auf anony­me und pseud­ony­me Daten

Ein anony­mes Datum unter­fällt grund­sätz­lich nicht dem Anwen­dungs­be­reich der DSGVO, ein pseud­ony­mes Datum jedoch schon. Bei den Ver­fah­ren der Anony­mi­sie­rung oder Pseud­ony­mi­sie­rung han­delt es sich fer­ner um eine Wei­ter­ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten, wes­halb hier­bei die Vor­ga­ben der DSGVO zur Wei­ter­ver­ar­bei­tung von Daten gemäß Art. 6 Abs. 4 DSGVO zu beach­ten sind. Hier­bei ist ins­be­son­de­re zu beach­ten, dass sowohl die Anony­mi­sie­rung als auch die Pseud­ony­mi­sie­rung in der Regel mit den Zwe­cken der ursprüng­li­chen Daten­er­he­bung ver­ein­bar sein wer­den, da die Anwen­dung die­ser Ver­fah­ren zu einem gerin­ge­ren Daten­schutz­ri­si­ko für die Betrof­fe­nen führt, indem der Per­so­nen­be­zug der Daten zumin­dest wider­ruf­lich auf­ge­ho­ben wird. Ein Schutz betrof­fe­ner Per­so­nen bei Ver­ar­bei­tung von anony­men Daten ist unter Umstän­den jedoch über ande­re Vor­schrif­ten, wie bei­spiels­wei­se das TTDSG zu erreichen.

Fazit

Im Ergeb­nis ist sowohl das Ver­fah­ren der Anony­mi­sie­rung als auch der Pseud­ony­mi­sie­rung geeig­net den Schutz der Pri­vat­sphä­re der betrof­fe­nen, natür­li­chen Per­so­nen bei ver­schie­dens­ten Daten­ver­ar­bei­tungs­vor­gän­gen zu erhö­hen. Die Daten­schutz­grup­pe stellt in ihrer Stel­lung­nah­me 5/2014 zu Anony­mi­sie­rungs­tech­ni­ken jedoch klar, dass eine voll­stän­di­ge und unwi­der­ruf­li­che Anony­mi­sie­rung von Daten in tech­ni­scher Hin­sicht nur schwer umsetz­bar sei, und auch nach einer erfolg­ten Anony­mi­sie­rung von Daten ein gewis­ses Rest­ri­si­ko des Ein­tritts von Daten­schutz­ver­stö­ßen durch Ver­ar­bei­tung von Daten der betrof­fe­nen Per­so­nen bestehen blei­be. Außer­dem wür­den sich alle Daten­ver­ar­bei­tungs­me­tho­den ste­tig wei­ter­ent­wi­ckeln, wes­halb Vor­tei­le und Risi­ken der jewei­li­gen Tech­ni­ken für jeden Ein­zel­fall abzu­wä­gen sei­en, und ins­be­son­de­re die aktu­el­len tech­ni­schen Ent­wick­lun­gen immer auf den Prüf­stand gestellt wer­den müssten.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Chiara Bidmon

Rechtsanwältin