Für alle Bereiche der Digitalisierung ist die Nutzung anonymer Daten in Sachen Datenschutz von größter Relevanz. Doch ganz so einfach ist es nicht. [...]
Der geneigte Jurist lernt früh im Studium: „Ein Blick ins Gesetz erleichtert die Rechtsfindung.“ Doch schaut man in die Datenschutz-Grundverordnung (DSGVO), dann findet sich zur Anonymisierung recht wenig. Lediglich in Erwägungsgrund 26 wird man fündig.
Danach gilt: „Die Grundsätze des Datenschutzes sollten (…) nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“
Fest steht damit, dass die zahlreichen datenschutzrechtlichen Pflichten für anonyme Daten nicht zu beachten sind.
Keine Regel ohne Ausnahme
Wichtig ist aber, dass die gesetzliche Ausnahme nur für bereits anonymisierte Daten gilt. Der Prozess der Anonymisierung als solcher ist davon dem Wortlaut nach nicht betroffen. Doch wie Juristen so sind, sind sie oft nicht einer Meinung, so auch bei der Frage, ob die Anonymisierung immer eine Verarbeitung im Sinne der DSGVO ist, oder ob es nicht doch im Einzelfall Anonymisierungsprozesse geben kann, die der DSGVO nicht unterliegen.
Im Ergebnis dürfte sich aber die pauschale Feststellung „Bei Anonymisierung gilt die DSGVO nicht“ nicht ganz halten lassen. Denn mit Anonymisierung kann auch der Prozess gemeint sein – und nicht nur das Ergebnis.
Fallstricke bei der Anonymisierung
Generell ranken sich um das Thema auch diverse Missverständnisse. Oft wird zum Beispiel angenommen, dass Verschlüsselung gleichbedeutend mit Anonymisierung ist. Verschlüsselung stellt keine Anonymisierungstechnik dar, ist aber ein leistungsfähiges Werkzeug zum Schutz personenbezogener Daten.
Ebenso kann nicht davon ausgegangen werden, dass Anonymisierung zeitlich unbegrenzt gilt. Es besteht das Risiko, dass ein aus heutiger Sicht sicherer Anonymisierungsprozess künftig mit Hilfe von Rechenressourcen und neuen Technologien rückgängig gemacht werden könnte.
Zwar ist es das Ziel von Anonymisierung, dass eine Umkehr des Prozesses nicht möglich ist, aber in der Praxis ist die Wahrscheinlichkeit der Re-Identifizierung eines Datensatzes selten auf null reduziert. Ein robuster Anonymisierungsprozess zielt meist nur darauf ab, das Re-Identifizierungsrisiko unter einen bestimmten Schwellenwert zu senken.
Aber wie auch das vorherige Missverständnis zeigt, gibt es keine hundertprozentige Sicherheit, dass mit sich weiterentwickelnden Technologien nicht doch Datensätze wieder mit einer Person verknüpft werden können.
Facettenreich und lohnend
Anonymisierung ist nicht nur aus rechtlicher, sondern auch aus technischer Sicht ein komplexes Thema, das in der kommenden Zeit an Bedeutung gewinnen wird.
In den meisten Fällen ist eine Anonymisierung personenbezogener Daten grundsätzlich möglich und bietet für Unternehmen die Chance, Daten fernab von datenschutzrechtlichen Vorgaben unbegrenzt zu nutzen. Insbesondere datengetriebene Unternehmen sind daher gut beraten, sich beim Thema Anonymisierung gut aufzustellen, um vorhandene Potenziale umfassend auszuschöpfen.
*Melanie Ludolph ist Rechtsanwältin bei Fieldfisher, einer internationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für com! professional stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor. www.fieldfisher.de
Be the first to comment