Wann ist ein Datum anonym, wann pseudonym?
Wieder einmal widmen wir uns der Betrachtung eines essentiellen Grundsatzthemas (Wie wir bereits berichteten im Beitrag „Was sind die Grundsätze im Datenschutz“). Die Vorgaben der DSGVO sind grundsätzlich gerichtet auf die Verarbeitung von personenbezogenen Daten. Was passiert jedoch, wenn ein Datum keinerlei Personenbezug hat oder zwar vorübergehend kein Personenbezug besteht, dieser aber jederzeit wiederhergestellt werden kann? Durch welche Datenverarbeitungsverfahren kann der Personenbezug entfallen? Sind die Vorgaben der DSGVO auf anonyme und pseudonyme Daten übertragbar, und wenn ja, inwieweit?
„Eine Pseudonymisierung oder Anonymisierung von personenbezogenen Daten kann das Datenschutzniveau zwar erhöhen, lässt jedoch nicht alle datenschutzrechtlichen Risiken entfallen.“ — Chiara Bidmon
Was sind anonyme Daten?
Die DSGVO kann zur Begriffsbestimmung des anonymen Datums bzw. dem Verfahren der Anonymisierung nur bedingt herangezogen werden. Anders als für den Begriff der Pseudonymisierung findet sich für den Begriff der Anonymisierung in Art. 4 DSGVO keine explizite Definition. Ergänzend herangezogen werden können jedoch die Ausführungen in Erwägungsgrund 26 zur DSGVO. Demnach ist ein Datum anonym, sofern es sich bereits bei dessen Entstehung nicht auf eine identifizierte oder identifizierbare natürliche Person bezieht, bzw. liegt Anonymität auch dann vor, wenn ein grundsätzlich personenbezogenes Datum nachträglich mittels Anonymisierungsverfahren so modifiziert wurde, dass die von der Datenverarbeitung betroffenen Personen nicht mehr identifiziert werden können.
Ergänzend ergibt sich aus der Stellungnahme 5/2014 der Datenschutzgruppe zu Anonymisierungstechniken, dass es sich bei der Anonymisierung um einen unwiderruflichen Prozess handelt. Bei der Überprüfung, ob tatsächlich Daten wirksam anonymisiert wurden, ist insbesondere zu bewerten, ob eine natürliche Person weiterhin identifizierbar ist. Erwägungsgrund 26 zur DSGVO gibt vor, dass bei diesem Überprüfungsprozess alle Mittel berücksichtigt werden sollen, die vom Verantwortlichen oder einem Dritten „nach allgemeinem Ermessen mit hoher Wahrscheinlichkeit“ genutzt werden, um eine Person zu identifizieren.
Das hört sich alles sehr abstrakt und kompliziert an? Wir haben zur Verdeutlichung ein Praxisbeispiel für Sie!
Eine Gebäudereinigungsfirma beschäftigt mehrere Mitarbeitende. Bei jedem Einsatz vor Ort beim Kunden sind die Reinigungsfachkräfte angehalten ein Protokoll hinsichtlich der Reinigungsdauer, der vorgenommenen Reinigungsleistungen und der Namen, der vor Ort anwesenden Fachkräfte anzufertigen, damit beim Kunden zum Zeitpunkt der Rechnungsstellung die tatsächlich durchgeführten Leistungen bei Bedarf nachgewiesen werden können. Tauscht nun im Nachhinein ein Mitarbeitender der Reinigungsfirma die jeweiligen Vor- und Nachnamen der Reinigungsmitarbeitenden beispielsweise gegen eine Kennzahl aus (Beispiel: Frau Maria Mustermann= Mitarbeiter 1), so könnte darin grundsätzlich eine Anonymisierung gesehen werden, sofern die Vergabe der Kennziffer unwiderruflich wäre. Nochmals zur Verdeutlichung: Dem Kunden, der die Stundennachweise anfordert, wird der Reinigungsnachweis lediglich mit der Angabe von Zahlen in unserer imaginären „Spalte derjenigen Mitarbeitenden, die vor Ort die Reinigungsleistung beim Kunden erbracht haben“ versehen übermittelt. Der Kunde kann also die beispielsweise in seinen Augen zu umfangreich oder nicht ausreichend durchgeführte Reinigungsleistung (= ein Datum) nicht mit einer natürlichen Person in Verbindung setzen. Aus Sicht des Kunden liegt daher kein personenbezogenes Datum vor. Trotzdem liegt hier im Ergebnis kein anonymes Datum vor.
Wieso das hier der Fall ist, klären wir im folgenden Abschnitt.
Was sind pseudonyme Daten?
Bei der Kennziffervergabe zum Zweck der Aufhebung des Personenbezugs eines Datums handelt es sich tatsächlich um einen Fall der Pseudonymisierung ! Diese ist in Art. 4 Nr. 5 DSGVO definiert als Verarbeitung eines personenbezogenen Datums in der Weise, dass ohne Hinzuziehung zusätzlicher Informationen keine Zuordnung mehr zu einer identifizierbaren Person möglich ist. Dabei müssen ferner die zusätzlichen Informationen gesondert aufbewahrt werden und die Zuordnung zu einer identifizierbaren natürlichen Person durch technische und organisatorische Maßnahmen verhindert werden. Darüber hinaus spezifiziert die Datenschutzgruppe in ihrer Stellungnahme 5/2014 zu Anonymisierungstechniken, dass es sich bei der Pseudonymisierung um einen grundsätzlich widerruflichen Datenverarbeitungsvorgang handelt. Aus Randnummer 45 der Urteilsgründe zum EuGH-Urteil vom 19.10.2016 Aktenzeichen C 582–14 ergibt sich, dass bei der Prüfung, ob der Datenverarbeitungsvorgang unwiderruflich war insbesondere zu berücksichtigen sei, ob ein technisches Mittel existiert, welches „vernünftigerweise zur Bestimmung der betreffenden Person eingesetzt werden kann“. Weiter wird in Urteilsgrund 46 ausgeführt, dass eine Identifizierung einer natürlichen Person demnach dann nicht möglich sei, wenn „[…] diese gesetzlich verboten oder praktisch nicht durchführbar sei, d.h. wenn ein unverhältnismäßiger Aufwand an Zeit, Kosten und Arbeitskräften erforderlich wäre […]“.
Was bedeutet das jetzt genau für unser Fallbeispiel?
Wurde der Vor- und Nachname des jeweiligen Mitarbeitenden der Gebäudereinigungsfirma einmal durch eine Kennzahl ersetzt, kann ohne die Kenntnis des Systems, welches bei der Vergabe der Kennziffern angewandt wurde, der Kunde zwar nachvollziehen, dass beispielsweise Mitarbeiter 3 am besagten Datum vor Ort beim Kunden für die Dauer von drei Stunden die Reinigung der Fensterflächen vorgenommen hat. Der Kunde kann jedoch keine darüberhinausgehende Zuordnung der durchgeführten Reinigungsleistungen zu einer ihm ggfs. eigentlich namentlich bekannten Person vornehmen. Trotzdem kann die Gebäudereinigungsfirma unter Hinzuziehung des ihr vorliegenden Referenzdokuments (= Tabelle zur Dokumentation darüber, welchem Mitarbeitenden welche Kennziffer zugeordnet wurde) die Pseudonymisierung nachträglich auflösen. Diese sogenannte Reidentifizierung erfolgt ähnlich der verschlüsselten Übermittlung von Daten, welche z.B. mittels einer TLS Verbindung bei einem Internettransfer übermittelt werden. Dabei werden zur Erhöhung der Datensicherheit die zu übermittelnden Daten zunächst beim zugriffsberechtigten Versender verschlüsselt, um dann anschließend beim berechtigten Empfänger mittels des korrekten Schlüssels wieder entschlüsselt zu werden. Die ursprünglich personenbezogenen Daten können also in unserem Fallbeispiel unter Einsatz verhältnismäßigen Aufwands wiederhergestellt werden, der Datenverarbeitungsvorgang ist mithin reversibel und die betroffenen Personen reidentifizierbar.
Schön und gut – die Frage ist nun aber, wie sich eine Anonymisierung oder Pseudonymisierung auf die Anwendung der DSGVO auswirkt und ob diese Datenverarbeitungsverfahren überhaupt zu einer Erhöhung des Datenschutzniveaus führen?
Anwendung der DSGVO auf anonyme und pseudonyme Daten
Ein anonymes Datum unterfällt grundsätzlich nicht dem Anwendungsbereich der DSGVO, ein pseudonymes Datum jedoch schon. Bei den Verfahren der Anonymisierung oder Pseudonymisierung handelt es sich ferner um eine Weiterverarbeitung von personenbezogenen Daten, weshalb hierbei die Vorgaben der DSGVO zur Weiterverarbeitung von Daten gemäß Art. 6 Abs. 4 DSGVO zu beachten sind. Hierbei ist insbesondere zu beachten, dass sowohl die Anonymisierung als auch die Pseudonymisierung in der Regel mit den Zwecken der ursprünglichen Datenerhebung vereinbar sein werden, da die Anwendung dieser Verfahren zu einem geringeren Datenschutzrisiko für die Betroffenen führt, indem der Personenbezug der Daten zumindest widerruflich aufgehoben wird. Ein Schutz betroffener Personen bei Verarbeitung von anonymen Daten ist unter Umständen jedoch über andere Vorschriften, wie beispielsweise das TTDSG zu erreichen.
Fazit
Im Ergebnis ist sowohl das Verfahren der Anonymisierung als auch der Pseudonymisierung geeignet den Schutz der Privatsphäre der betroffenen, natürlichen Personen bei verschiedensten Datenverarbeitungsvorgängen zu erhöhen. Die Datenschutzgruppe stellt in ihrer Stellungnahme 5/2014 zu Anonymisierungstechniken jedoch klar, dass eine vollständige und unwiderrufliche Anonymisierung von Daten in technischer Hinsicht nur schwer umsetzbar sei, und auch nach einer erfolgten Anonymisierung von Daten ein gewisses Restrisiko des Eintritts von Datenschutzverstößen durch Verarbeitung von Daten der betroffenen Personen bestehen bleibe. Außerdem würden sich alle Datenverarbeitungsmethoden stetig weiterentwickeln, weshalb Vorteile und Risiken der jeweiligen Techniken für jeden Einzelfall abzuwägen seien, und insbesondere die aktuellen technischen Entwicklungen immer auf den Prüfstand gestellt werden müssten.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]