Anonymisierung von Daten – auf diesen Begriff stoßen Sie immer wieder im Datenschutz. Aber was bedeutet das denn eigentlich genau?
Die „Anonymisierung“ meint die Verarbeitung personenbezogener Daten. Und zwar so, dass der Personenbezug dieser Daten vollständig beseitigt wird. Selbst der, der für diese Daten verantwortlich ist, darf selbst nicht mehr in der Lage sein, den Personenbezug wieder herzustellen.
Man könnte also sagen, dass das Anonymisieren bedeutet, das die personenbezogener Daten so verändert werden, dass die Person über persönliche oder sachliche Verhältnisse nicht bzw. nicht mehr identifiziert werden kann.
Und wann sind Daten also anonym?
Nach Erwägungsgrund 26 zur DSGVO sollen bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.
Angesichts der ständig zunehmenden Möglichkeiten, mit technischen Mitteln scheinbar anonyme Daten dennoch Personen zuzuordnen (z.B. durch den Abgleich mit anderen Datenbanken, durch Anreicherung von Identifizierungsmerkmalen u.ä.), stellt sich die Frage, wann ein unverhältnismäßig hoher Aufwand besteht, um die Daten wieder zu „Repersonifizieren“. Heutzutage kann wohl weit seltener von anonymen Daten gesprochen werden, als früher.
Vorsicht: Verwechseln Sie Anonymisierung nicht mit Pseudonymisierung. Bei der Pseudonymisierung trennt der Verarbeiter der Daten nur den Personenbezug von den Daten so, dass stets beide Informationen vorliegen müssen, um die Identifizierbarkeit einer Person zu ermöglichen. Die Anonymisierung ist also sowohl technisch als auch organisatorisch ein Mehr zur bloßen Pseudonymisierung.
Tipp: Anonyme Daten unterfallen nicht der DSGVO
Daher bewirkt die wirksame Anonymisierung auch – im Gegensatz zur Pseudonymisierung – dass die dann anonymen Daten nicht mehr dem Datenschutzrecht unterfallen. Auch die DSGVO ist also für anonyme Daten nicht mehr anwendbar. Denn ein wesentliches Kriterium für die Geltung des Datenschutzrechts ist der Personenbezug.
Sie können also durch effektive Anonymisierung erreichen, die Daten ohne die strengen Vorgaben der DSGVO zu verarbeiten. Dass macht vor allem dann Sinn, wenn für Sie der Bezug zu einer konkreten Person gar nicht relevant ist. So sind viele Big Data Anwendungen ohne Weiteres mit der Verarbeitung von anonymen Daten möglich. Ist Ihnen also bspw. nur wichtig durch eine Vielzahl an Daten eine bestimmte Tendenz oder eine Häufung von Merkmalen, wie bspw. die Entwicklung des Aufkommens bestimmter Suchanfragen o.ä. zu ermitteln und daraus Schlüsse zu ziehen, dann anonymisieren Sie die Daten vorher.
Rechtsgrundlage nicht vergessen
Wichtig: Auch der Vorgang der Anonymisierung wird von der herrschenden Meinung unter den Datenschutzrechtlern als Datenverarbeitung gesehen, die ihrerseits eine eigene Rechtsgrundlage braucht. Also ist stets im ersten Schritt zu prüfen, welche Rechtsgrundlage die Anonymisierung überhaupt ermöglicht.