Zur Sicherheit personenbezogener Daten gehört auch die entsprechende Anonymisierung bestimmter Daten oder Datensätze. Was es hierbei zu beachten gilt und welche neuen Erkenntnisse in diesem Bereich gewonnen wurden, soll in diesem Artikel dargestellt werden, nachdem der Bundesbeauftragte für Datenschutz sich dazu in einem Positionspapier geäußert hat.
Ganz grundlegend ist die Anonymisierung von Daten wichtig, damit diese keinen natürlichen Personen zugeordnet werden können. Denn anonymisierte Daten haben keinen Personenbezug und für sie gelten die datenschutzrechtlichen Anforderungen u.a. der DSGVO nicht.
Obwohl es daher einen wesentlichen Unterschied macht, ob es sich um anonymisierte Daten handelt oder nicht, bietet die DSGVO keine Hilfestellung zu der Frage, was genau unter Anonymisierung zu verstehen ist. Lediglich in Erwägungsgrund 26 wird festgehalten, dass datenschutzrechtliche Grundsätze nicht gelten für «Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann».
Da der Prozess zur Anonymisierung von Personendaten aufwendig ist und dieser sich den Veränderungen in der digitalen Welt und der Konkretisierung der datenschutzrechtlichen Anforderungen, nicht zuletzt durch etwaige fortlaufende Rechtsprechung, stetig anpassen muss und so verändern wird, ist es kein Zufall, dass gerade die Begrifflichkeit im Vergleich zu anderen Begrifflichkeiten (vgl. Art. 4 DSGVO) nicht definiert wurde, da erst dadurch Raum für Anpassung und Flexibilität geschaffen bzw. erhalten wird.
Neben der Frage, was Anonymisierung überhaupt bedeutet, stellt sich die Frage, unter welchen Voraussetzungen eine solche stattfinden darf. Denn auch der Anonymisierungsvorgang selbst stellt eine Verarbeitung von personenbezogenen Daten dar, da diese hierdurch verändert werden, wobei der BfDI zumindest ein Verwenden dieser Daten annimmt.
Hierfür braucht es bekanntlich eine Rechtsgrundlage im Sinne der DSGVO, d.h. eine der Varianten des Art.6 DSGVO muss vorliegen, damit eine Anonymisierung rechtmäßiger Weise erfolgen darf.
Nach Ansicht des BfDI kann insbesondere Art.6 Abs.4 DSGVO als Rechtsgrundlage für die Anonymisierung dienen, was dann der Fall ist, wenn die Weiterverarbeitung mit dem ursprünglichen Verarbeitungszweck vereinbar ist. Wann dies wiederum gegeben ist, stellt der BfDI in den hierzu entwickelten Leitlinien dar.
Danach ist eine Vereinbarung mit dem ursprünglichen Zweck gegeben, wenn zwischen der Anonymisierung und der Weiterverarbeitung eine hinreichende Verbindung zum ursprünglichen Vertragszweck gegeben ist, d.h. wenn z.B. die vertraglichen Dienstleistungen verbessert werden sollen, wobei u.a. besonders beachtet werden muss, ob es sich um Daten der besonderen Kategorie (Art.9 DSGVO) handelt.
Zudem muss der Verantwortliche vor der Anonymisierung prüfen, welche möglichen Folgen mit dieser Art der Weiterarbeitung für die betroffene Person verbunden sind.
Neben der Pflicht des Verantwortlichen, also demjenigen, der die Daten verarbeitet und hierbei über Verarbeitungszweck und Mittel entscheidet, seine Verarbeitungstätigkeiten durch eine Rechtsgrundlage abzusichern, trifft ihn auch die Pflicht aus Art. 17 DSGVO, welcher das «Recht auf Vergessenwerden» normiert. Danach müssen personenbezogene Daten immer dann gelöscht werden, wenn sie für den Zweck, für welchen sie erhoben oder verarbeitet wurden, nicht mehr notwendiger Weise gebraucht werden.
Aus datenschutzrechtlicher Sicht wird daher bereits seit geraumer Zeit diskutiert, ob und inwiefern durch die Anonymisierung dieser Pflicht zur Löschung nachgekommen werden kann. Es geht also um die Frage, ob das Anonymisieren von Daten auch eine Art der Löschung von Daten darstellen kann und, wenn ja, auf welche Weise. Denn feststeht, dass es eine definitive, endgültige Anonymisierung ohne jedwede Möglichkeit der Wiederherstellung eher nicht geben kann oder wird, da es zumindest technisch auch in Zukunft möglich sein wird, die Daten bzw. den konkreten Personenbezug wiederherzustellen.
Nach Ansicht des BfDI ist eine endgültige Anonymisierung auch nicht zwingend notwendig, denn es würde ausreichen, wenn aufgrund von Kosten, Zeit und Arbeitskraft eine Re-Identifizierung schon praktisch nicht durchführbar ist. Der BfDI führt weiter aus, dass sobald eine valide Anonymisierung durchgeführt wird, die Löschpflicht erfüllt bzw. das Recht auf Vergessenwerden gewährleistet wurde und die weiteren datenschutzrechtlichen Regelungen der DSGVO und die in Art.5 DSGVO normierten Grundsätze keine Anwendung (mehr) finden.
Neben den Anforderungen an die Anonymisierung selbst ist es aufgrund des meist erheblichen Datenumfanges, nach Ansicht des BfDI erforderlich vorher eine Datenschutz-Folgeabschätzung gemäß Art.35 Abs.1 DSGVO durchzuführen, um eine Risikobewertung vornehmen zu können, wenn gleich dies unzweifelhaft mit großem personellen und damit auch finanziellen Aufwand für die Verantwortlichen verbunden ist.
Insgesamt liefert der BfDI damit wenig neue Erkenntnisse im Bereich der Anonymisierung von Daten bzw. bestätigt die herrschende Meinung der Literatur. Andererseits ist und bleibt die Anonymisierung ein aktuelles und sich weiterentwickelndes Thema im Datenschutzrecht, mit welchem sich Verantwortliche, unter Berücksichtigung der jeweiligen Äußerungen des BfDI hierzu, heute und in Zukunft auseinander setzen müssen.