2.2.3 Anonymisierung und Pseudonymisierung - aber bitte wirksam!
Maßnahmen des Datenschutzes durch Technik sind ein zentrales Werkzeug, um personenbezogene Daten zu
schützen und klassische Datenschutzziele zu wahren. Dabei müssen aber die Wirksamkeit dieser Maßnahmen
sichergestellt und mögliche Restrisiken beachtet werden. Dies gilt auch für Anonymisierung und Pseudonymisierung personenbezogener Daten.
Im Zeitalter von riesigen Datenmengen (vgl. dazu Nr. 2.2) kommt dem Schutz personenbezogener Daten eine
immer größere Bedeutung zu. Gerade allgemein zugängliche, sogenannte „offene“ Daten, bieten der Allgemeinheit immense Vorteile - sei es zu Zwecken der Forschung oder aufgrund der Möglichkeit der kostenlosen Nutzung. Weisen Daten jedoch einen Personenbezug auf, ist ihre Weitergabe oder Veröffentlichung datenschutzrechtlich bedenklich.
Neben den technisch-organisatorischen Maßnahmen nach § 9 BDSG sind Anonymisierung und Pseudonymisierung personenbezogener Daten wirksame Maßnahmen zu deren Schutz. Beide Konzepte werden jedoch oft - unwissentlich oder bewusst - miteinander vermischt.
Abgrenzung zwischen Anonymisierung und Pseudonymisierung
Das BDSG definiert die Anonymisierung als die unumkehrbare Veränderung personenbezogener Daten derart,
dass die Zuordnung zu einer Person komplett ausgeschlossen oder nur mit einem unverhältnismäßig großen
Aufwand möglich ist (vgl. Kasten a zu Nr. 2.2.3). Diese Definition beschreibt sowohl den Begriff der absoluten
Anonymisierung, als auch die sogenannte faktische Anonymisierung. Eine faktische Anonymisierung liegt vor,
wenn die Zuordnung von Daten zu einer Person nur mit unverhältnismäßigem Aufwand möglich ist. Anonymisierte Daten fallen nicht in den Anwendungsbereich der nationalen und europäischen Datenschutzvorschriften.
Im Gegensatz dazu werden bei der Pseudonymisierung die Identifikationsmerkmale von Datensätzen durch
Kennzeichen (Pseudonyme) ersetzt (vgl. Kasten a zu Nr. 2.2.3). Die Pseudonymisierung stellt eine sinnvolle
Schutzmaßnahme dar, da eine Verknüpfung zwischen den ursprünglichen und den pseudonymisierten Daten
zwar gewollt sein kann (beispielsweise zur Mitteilung von Forschungsergebnissen an Betroffene), aber nur unter restriktiven Bedingungen und einem eingeschränkten Personenkreis möglich sein darf. Pseudonymisierung
ist jedoch keine Anonymisierung. Das Ergebnis einer Pseudonymisierung bleiben personenbezogene Daten, die
in den Anwendungsbereich der nationalen und europäischen Datenschutzvorschriften fallen.
Wirksamkeit der Anonymisierung
Bereits 1997 haben die Datenschutzbeauftragten des Bundes und der Länder in ihrem Arbeitspapier „Datenschutzfreundliche Technologien“ die Qualität von Anonymisierungstechniken thematisiert (17. TB Nr. 8.5).
Dort heißt es: „ein Höchstmaß an Anonymität wird erreicht, wenn personenbezogene Daten gar nicht erst entstehen.“ Da dies nicht immer möglich ist, müssen zwingend Kriterien für die Wirksamkeit der Anonymisierung
und die Vermeidung von Restrisiken definiert werden.
So sollten sich Anonymisierungsverfahren immer an etablierten Verfahren und Algorithmen nach dem Stand
der Technik orientieren. Selbst entwickelte eigene Verfahren weisen oft erhebliche Mängel auf. Daten sind zu
löschen, wenn der Zweck zur Speicherung nicht mehr gegeben ist - übrigens nicht nur in diesem Kontext. Verfahren zur Anonymisierung sollten bereits in der Entwicklungsphase berücksichtigt (Stichworte Privacy by Design und Privacy by Default, vgl. 23. TB Nr. 3.1) und frühzeitig umgesetzt werden.
Die Artikel-29-Gruppe hat in einem richtungsweisenden Arbeitspapier zu Anonymisierungstechniken (WP 216
vom 10.04.2014, vgl. Nr. 3.1.4) deren Robustheit auf Grundlage von drei Risiken untersucht:
BfDI 25. Tätigkeitsbericht 2013-2014
– 43 –