Wenn Sie in Artikel 4 der DSGVO unter den Begriffserklärungen nähere Informationen zur Anonymisierung suchen, werden sie leider nicht fündig.
Zwar werden unter den Begriffserklärungen viele Begriffe aus dem Datenschutz gut erklärt, aber anonyme Daten spielen in der Verordnung keine Rolle…
Was Anonymisierung ist
Im Duden ist zur Anonymisierung die Rede von „ungenannt“, „ohne Namensnennung“, „unpersönlich“ und „durch Fremdheit geprägt“.
All diese Begriffe liefern gute Hinweise für das nicht Vorkommen der Anonymisierung in der DSGVO.
Der Grund ist: Personenbezogene Daten werden durch Anonymisierung so sehr verändert, dass diese Daten nicht mehr, oder nur mit unverhältnismäßig hohem Aufwand (z.B. (Rechen)zeit) einem bestimmten oder bestimmbaren Menschen zugeordnet werden können.
Durch die Anonymisierung verlieren die personenbezogenen Daten ihren Personenbezug – danach sagen sie nichts mehr über eine bestimmte Person aus.
Eine gelungene Anonymisierung macht eine Zuordnung unmöglich.
Es handelt sich um eine sehr wirksame Maßnahme im Datenschutz.
Mehr Details dazu in dem dazugehörigen Wikipedia Artikel: https://de.wikipedia.org/wiki/Anonymisierung_und_Pseudonymisierung
Anonymisieren ist Verarbeitung
Das Anonymisieren ist eine Verarbeitung im Sinne der DSGVO. Deswegen braucht es eine Rechtsgrundlage um personenbezogene Daten anonymisieren zu dürfen.
Zusätzlich gilt: richtiges Anonymisieren kommt einer Löschung gleich.
Mehr dazu im öffentlichen Konsultationsverfahren des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI): https://www.bfdi.bund.de/DE/Infothek/Transparenz/_functions/Konsultation_table.html
Anonyme Daten in der DSGVO
In den Erwägungsgründen der DSGVO finden Sie zu anonymen und personenbezogenen Daten folgendes:
„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“
Für anonyme, ehemals personenbezogene Daten gilt die DSGVO also nicht mehr.
Denn wenn man Daten einer bestimmten Person nicht mehr zuordnen kann, oder eine Person durch Daten (Informationen) nicht mehr bestimmbar ist / wird, handelt es sich nicht mehr um personenbezogene Daten.
Wenn Sie also alle personenbezogenen Daten anonymisieren, müssen Sie die DSGVO samt Vorgaben nicht mehr beachten.
ABER so einfach ist es dann doch nicht. Denn sind die Daten nicht ausreichend anonymisiert, gilt wieder die Datenschutzgrundverordnung mit allen Vorgaben.
Der Schlüssel ist also eine richtige Anonymisierung.
Richtig anonymisieren
Personenbezogene Daten richtig anonymisieren können Sie nur, indem eine „Entanonymisierung“, also eine Umkehr des Vorgangs, nicht mehr machbar ist.(Danach hätten Sie wieder personenbezogene Daten.)
Denken Sie an demokratische geheime Wahlen. Durch das Aushändigen der Wahlzettel und das Setzen der Kreuze ohne Personenbezug ist jeder Stimmzettel anonym. Nachvollziehbar ist nur, wer zur Wahl erschienen ist, wobei sogar das auf einem anderen Zettel steht – die Daten werden voneinander getrennt. Wichtig ist, dass durch das anonyme Wahlverfahren nicht nachvollziehbar ist, wer wen gewählt hat.
Damit gilt nach Erwägungsgrund 26 der DSGVO die Datenschutz-Grundverordnung nicht für den Stimmzettel, wohl aber schon für die Liste der erschienenen Wähler.
Löschen = anonymisieren?
Im seinem Positionspapier nimmt der Bundesdatenschutzbeauftragten zur Anonymisierung von personenbezogenen Daten durch Löschung Stellung. Darin heisst es:
„Es [Löschen] ist dann nicht notwendig, wenn der Personenbezug durch Anonymisierung wirksam beseitigt werden kann.“
Zum Positionspapier: Anonymisierung – Eine Standortbestimmung zwischen der DSGVO und dem TKG von „Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“
Beispiel aus dem Unternehmensalltag
Durch das Anonymisieren von personenbezogenen Daten in ihrem Unternehmen nehmen Sie den Daten jeglichen Bezug um Rückschlüsse auf eine einzelne Person ziehen zu können.
| IdentNr. | Name | Vorname | Straße | Ort | Befund |
|---|---|---|---|---|---|
| 0001 | Müller | Hans | Musterstraße 70 | Musterort | Hodenkrebs |
| IdentNr. | Name | Vorname | Straße | Ort | Befund |
|---|---|---|---|---|---|
| xxxx | xxxxxx | xxxx | xxxxxx | xxxxxx | Hodenkrebs |
Nicht ausreichend anonym wäre die Diagnose Hodenkrebs wenn es um einen Mann in einer Gruppe von 20 Frauen geht. Mit dem Befund können sofort Rückschlüsse auf eine bestimmte Person, nämlich die männliche, gezogen werden.
Die Zukunft der Anonymisierung
Generell ist die Anonymisierung von personenbezogenen Daten ist ein sehr schwieriges Unterfangen.
In der Theorie ist es einfach, in der Praxis leider nicht. Anonymisierung setzt voraus, dass Sie sich in gewisser Weise von personenbezogenen Daten trennen. Manchmal verlieren die Daten damit ihren Wert, ihre Aussagekraft und ihren Nutzen.
Durch immer mehr Rechenleistung und die Verknüpfung von Daten wird es immer einfacher möglich einen Personenbezug herzustellen.
Es heisst, dass 99,98 % aller Amerikaner anhand von 15 unterschiedlichen demografischen Faktoren aus einem beliebigen anonymen Datensatz wieder identifiziert werden können.
Die Frage, wann Daten wirklich anonym sind, ist noch offen. Hierzu gibt es sicher auch weiterhin viel Diskussionsbedarf.
Wenn Anonymisierung versagt: https://www.heise.de/newsticker/meldung/36C3-Wie-gaengige-Methoden-zur-Anonymisierung-von-Daten-versagen-4624450.html
Bei der Anonymisierung geht es um das Machbare und vertretbaren Aufwand. Der sollte stets verhältnismäßig, also dem Risiko angemessen sein. Bei der Risikobewertung hilft Ihnen Ihr Datenschutzbeauftragter.
Eine gute Anonymisierung bedeutet Aufwand – das beinhaltet auch den Nachweis Ihres Vorgehens, also eine Dokumentation.
Anonymisierung zusammengefasst
Die Anonymisierung von personenbezogenen Daten verhindert, dass Rückschlüsse auf eine bestimmte Person bezogen werden. Die Daten haben keinen Personenbezug mehr.
