Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Anonymisierung von Daten und Datenschutz: Was bedeutet das und welche Rechtsgrundlagen sind relevant?

0

Auf welcher Grundlage ist die Anonymisierung personenbezogener Daten möglich und was bedeutet eigentlich Anonymisierung? Diese Fragen sind insbesondere im Kontext von Big Data und Künstlicher Intelligenz wichtig.

Einleitung

Die DSGVO gilt nur für personenbezogene oder personenbeziehbare Daten. Sie definiert in Art. 4 Nr. 5 die Pseudonymisierung als eine Möglichkeit, aus vorliegenden Daten auf eine Person zu schließen. Pseudonyme Daten sind somit ebenfalls von der DSGVO abgedeckt, weil sie personenbeziehbar sind.

Der Begriff der Personenbeziehbarkeit muss sehr weit gefasst verstanden werden. Dies geht u. a. aus dem EuGH-Urteil vom 19.10.2016 – C-582/14 hervor, wonach sogar dynamische IP-Adressen als personenbezogene (weil personenbeziehbare) Daten anzusehen sind. Der BGH bestätigte dies.

Meine These: Die Anonymisierung personenbezogener Daten zu legitimen Zwecken ist immer erlaubt.

Meine These, für die ich im Beitrag begründungen gebe.

Der EuGH stellte klar, dass Daten auch dann als personenbezogen anzusehen sind, wenn es rein theoretisch, ggf. unter Hinzuziehen mehrerer Dritter, wie etwa Geheimdiensten oder Telekommunikationsdienstleistern, möglich wäre, aus einem Datenwert auf eine Person zu schließen.

Die DSGVO gilt somit für alle Daten, die einen Personenbezug haben oder, unter allergrößten, maximal denkbaren Anstrengungen, auf eine Person bezogen werden könnten.

Anonyme und anonymisierte Daten

Anonyme Daten sind per Definitionem nicht personenbezogen und nicht personenbeziehbar.

Die DSGVO gilt nicht für anonyme Daten.

Anonyme Daten sind per se nicht auf eine Person beziehbar.

Aufgrund von Big Data Anwendungen wäre es im Einzelfall möglich, durch Auswertung eines riesigen Datenpools mit einer gewissen Wahrscheinlichkeit auf eine einzelne Person zu schließen. Dies kann aber nur dann gelingen, wenn ein Register von Personen vorliegt. Liegt ein Personenregister nicht vor, kann logischerweise auch kein Personenbezug aus (eigentlich oder sicher) anonymen Daten hergeleitet werden.

Anonymisierte Daten kann man Daten nennen, die anonym sind, die aber aus personenbezogenen Daten hervorgegangen sind. Die folgende Tabelle soll den Unterschied verdeutlichen.

Anonym vs. anonymisiertDatenquelle
Anonyme DatenZufall o.ä.
Anonymisierte DatenPersonenbeziehbare Daten
Unterscheidung zwischen anonymen und anonymisierten Daten.

Letztendlich spielt die Begrifflichkeit keine Rolle, sofern die Anonymisierung perfekt vollzogen wurde. Theoretisch wäre es immerhin denkbar, dass ein Anonymisierungsverfahren mathematisch nicht einwandfrei ist, weil es zahlentheoretische oder stochastische Möglichkeiten offenlässt, die dann doch nicht stattgefundene Anonymisierung rückgängig zu machen bzw. zu knacken.

Die Frage, wann eine Anonymisierung perfekt ist, soll hier nicht weiter betrachtet werden. Vielmehr soll betrachtet werden, ob der Vorgang der Anonymisierung mit der DSGVO vereinbar ist. Zuvor sollen Beispiele den Unterschied zwischen pseudonymen und anonymen Daten klarstellen,

Beispiele für pseudonyme, anonymisierte und anonyme Daten

Pseudonyme Daten sind Daten, die nicht personenbezogen sind, aber unter Hinzuziehen von weiteren Informationen auf Personen bezogen werden können. Dies ist meine informelle Darlegung einer Definition, die in Art. 4 Nr. 5 DSGVO etwas anders, meiner Einschätzung nach aber kerngleich, gegeben ist.

Pseudonyme und pseudonymisierte Daten sollen hier der Einfachheit halber gleichgesetzt werden. Möglicherweise gibt es zwischen diesen beiden Begriffen gar keinen Unterschied, was ich allerdings nicht näher untersucht habe und für mich bis auf Weiteres ohne Belang ist.

Als Ausgangspunkt für pseudonyme Daten dient in diesem Beispiel ein personenbezogenes Datum, nämlich die beispielhafte IP-Adresse 192.168.66.77. Die folgende Tabelle zeigt mehrere Möglichkeiten, zur IP-Adresse eine Information abzuspeichern, die später ausgewertet werden kann.

Art des DatenwertsBeispielausprägungBildungsregel
Pseudonym4711Bilde einen Hash-Wert aus dem Eingabewert und ersetze den Eingabewert damit
Pseudonym192.168.66.xEgalisiere das letzte Byte aus dem Eingabewert
Pseudonym0815Ordne dem Eingabewert einen Zufallswert zu und speichere Eingabewert und Zufallswert in getrennten Datenbanken
Anonymisiert0815Ordne dem Eingabewert einen Zufallswert zu. Die Zuordnung findet direkt im Hauptspeicher durch eine einfache Zufallslogik statt. Eine Rückführung des Zufallswerts zum Eingabewert ist nicht möglich
Anonym0815Bilde einen Zufallswert (der vollständig unabhängig vom Eingabewert ist). Der Eingabewert kann zu legitimen Zwecken fortbestehen
Beispiele für pseudonyme, anonymisierte und anonyme Daten.

Wie die Tabelle zeigt, kann man einem Wert direkt nicht ansehen, ob er pseudonym, anonym oder anonymisiert wurde. Vielmehr kommt es auf die Bildungsregel des Wertes an. Ebenso ist es wichtig, ob eine mögliche Zuordnung zwischen Eingabewert und Zielwert existiert und ob diese Zuordnung rekonstruierbar ist, etwa durch Auslesen von Zusatzdaten oder durch Erkennen der Logik hinter der (geheim gehaltenen) Bildungsregel.

Bei anonymisierten und anonymen Daten spielt es keine Rolle, ob die erhobenen personenbezogenen Daten noch existieren oder nicht. Anonymisierte und anonyme Daten sind immer ohne Personenbezug und können nie auf Personen beziehbar sein. Daten, die personenbeziehbar sind, sind per Definitionem nicht anonym und nicht anonymisiert.

Perfekt anonymisierte Daten haben dasselbe Datenschutzniveau wie anonyme Daten

Logische Erkenntnis aus der Definition des Begriffs der Anonymisierung.

Anonymisierte Daten sind anonyme Daten, die auf Anlass der Erhebung von personenbezogenen oder personenbeziehbaren Daten erzeugt wurden. Siehe auch die Definition zu Anonymisierung auf Wikipedia. Dort wird sogar erlaubt, dass anonymisierte Daten auch vorliegen, wenn deren Rückführung auf Personen theoretisch oder praktisch möglich wäre, wenngleich mit sehr großem, unwirtschaftlichem Aufwand.

Rechtsgrundlagen einer Anonymisierung personenbezogener Daten

Um personenbezogene Daten anonymisieren zu können, müssen die personenbezogenen Daten zunächst erhalten werden. Der Erhalt solcher Daten ist laut Art. 4 Nr. 2 DSGVO eine Datenverarbeitung. Dass bereits die mögliche Kenntnis von Daten eine Datenverarbeitung ist (sofern ein Angebot zugrunde liegt), habe ich zuvor bereits umfangreich über den Begriff der Datenerhebung untersucht und dazu den Begriff des Datenbehälters eingeführt.

Eine Anonymisierung, die das Löschen oder Vernichten personenbezogener Daten bedeutet, soll nur hinsichtlich des Anonymisierungsvorgangs untersucht werden. Das Löschen oder Vernichten der vorliegenden Daten wird als erlaubt angenommen. Siehe zum Löschvorgang durch Anonymisierung auch Stürmer Beck, ZD 2020, 626)

Der Art. 6 DSGVO gibt die Rechtsgrundlagen, nach denen personenbezogene Daten verarbeitet werden dürfen. Eine Verarbeitung ist gegeben, wenn Daten

  • erhoben (zur möglichen Kenntnis gelangt sind),
  • erfasst,
  • organisiert,
  • geordnet,
  • gespeichert,
  • angepasst,
  • verändert,
  • ausgelesen,
  • abgefragt,
  • verwendet,
  • durch Übermittlung offengelegt,
  • verbreitet,
  • bereitgestellt,
  • abgeglichen,
  • verknüpft,
  • eingeschränkt,
  • gelöscht oder
  • vernichtet

wurden.

Als Vorgänge für die Anonymisierung kommen ad hoc das Verwenden, das Verändern, das Löschen oder das Vernichten in Frage. Die letzten beiden scheiden aus, weil eine Datenverwendung bei anonymen Daten immer noch gegeben ist. Das Verändern passt auch nicht so ganz, weil der Informationsgehalt der Daten über eine Person bei der Anonymisierung nicht mehr gegeben ist. Das Verwenden personenbezogener Daten wäre allerdings bei der Anonymisierung schon eher gegeben und käme meines Erachtens als einzige mögliche Verarbeitungstätigkeit in Frage.

Besondere Kategorien von Daten

Wenn die Anonymisierung eine Verarbeitungstätigkeit nach DSGVO ist, müsste Art. 9 Abs. 1 DSGVO berücksichtigt werden, sofern besondere Kategorien personenbezogener Daten vorliegen. Abs. 2 e ebenda eröffnet allerdings die Möglichkeit, dass die besonderen Kategorien von Daten verarbeitet werden, sofern es sich um offensichtlich öffentlich gemachte personenbezogene Daten handelt. Immerhin könnten so öffentliche Daten anonymisiert werden, auch, wenn es sich um kritische Datenkategorien handelt. Buchstabe g ebenda wiederum ermöglicht die Anonymisierung für derartige Daten ggf.. auch dann, wenn ein erhebliches öffentliches Interesse vorliegt. Hierzu wäre als aktuelles Beispiel die Auswertung von Gesundheitsdaten zur Eindämmung einer Pandemie zu nennen. Auch Buchstabe i ebenda könnte hierfür herangezogen werden.

Anonymisierung zur statistischen Erhebung von Daten

In Art. 9 Abs. 2 j DSGVO ist explizit für besonderen Kategorien von Daten die Erlaubnis der statistischen Erhebung genannt, die auf Art. 89 Abs. 1 DSGVO verweist. Die statistische Datenerhebung sowie die Verarbeitung anonymer Daten sind zudem in Erwägungsgrund 26 erwähnt, wo klargestellt wird, dass die DSGVO für derartige Verarbeitungen nicht anzuwenden ist.

In Erwägungsgrund 50 wird es noch einmal expliziet beschrieben:

Die Weiterverarbeitung für […] wissenschaftliche […] Forschungszwecke oder für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten.

Auszug aus Erwägungsgrund 50 zur DSGVO

Der Erwägungsgrund 50 besagt explizit, dass statistische Zwecke eine rechtmäßige Verarbeitung erlauben. Die Anonymisierung personenbezogener Daten zu wissenschaftlichen oder statistischen Zwecken ist somit meines Erachtens immer erlaubt, sofern die Zwecke der Verarbeitung der dann anonymen Daten legitim ist.

Verantwortlichkeit für Datenverarbeitung

Am Beispiel der IP-Adresse, die beim Aufruf einer Webseite zwangsweise immer erhoben wird, möchte ich darstellen, wann eine Verantwortlichkeit wegen einer Datenverarbeitung entsteht.

Ruft ein Nutzer eine Webseite auf, erhält der Betreiber der Webseite vom Nutzer dessen Netzwerkadresse, also dessen IP-Adresse. Die Netzwerkadresse ist ein personenbezogenes Datum. Der Betreiber der Webseite hat somit personenbezogene Daten des Nutzers verarbeitet, weil

a) die Webseite ein Angebot darstellt,

b) der Nutzer das Angebot angenommen hat,

c) der Nutzer dadurch seine Netzwerkadresse als personenbezogenes Datum an den Betreiber der Webseite übermittelt hat,

d) der Betreiber der Webseite die Netzwerkadresse über seinen Web-Server entgegengenommen (erhoben) und somit verarbeitet hat.

Deshalb übrigens muss jede Webseite eine Datenschutzerklärung gemäß Art. 12 DSGVO vorhalten. Ausnahmen sind leere oder quasi leere Webseiten, die keinerlei Zwecke verfolgen. Diese Rechtsvorschrift ist allerdings leider selbst manchem Datenschützer nicht bekannt. Ein Beispiel zeigt dies. Ich hatte den Verantwortlichen, den ich einmal persönlich traf, angeschrieben und ihm die Sachlage erklärt. Er antwortete nicht und ließ auch meine Nachfrage unbeantwortet. Meine Mailadresse kennt er, weil er diese in seinem Verteiler aufgenommen hatte, den er mit manuell erstellten Mails mit Informationen versorgt, die bei mir auch ankommen. Letztendlich habe ich ihn informiert, dass seine Webseite in einem Artikel (in diesem) als Negativbeispiel genannt werden wird.

Der Besuch einer Webseite bedeutet also das rechtmäßige Erhalten einer personenbezogenen Netzwerkadresse, weil dies technisch notwendig ist.

Darf diese Netzwerkadresse nun anonymisiert werden? Der Art. 6 DSGVO gibt die Rechtsgrundlagen für die Datenverarbeitung an. Hier relevant ist insbesondere Art. 6 Abs. 1 f DSGVO, das berechtigte Interesse. Die Einwilligung möchte ich hier zunächst nicht weiter betrachten, gehe aber darauf aus anderem Grund gleich ein.

Der relevante Textauszug zum berechtigten Interesse besagt, dass die Datenverarbeitung rechtmäßig ist

…, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen…

Auszug aus Art. 6 Abs. 1 f DSGVO

Bei einer Anonymisierung werden offensichtlich keine schützenswerten Daten erzeugt. Vielmehr bleiben die bereits erhobenen personenbezogenen Daten exakt in gleicher Form weiterhin bestehen und werden weder an Dritte weitergegeben noch in schützenswerter Weise verarbeitet.

Somit erlaubt nach meiner Einschätzung Art. 6 Abs. 1 f DSGVO die Anonymisierung personenbezogener Daten, sofern ein berechtigtes Interesse des Verantwortlichen hierfür vorliegt. Ein solches Interesse könnte die Entwicklung von Verfahren der Künstlichen Intelligenz sein oder jeder andere legitime Zweck, der nachvollziehbar erscheint.

Andererseits könnte die Anonymisierung als Vorgang verstanden werden, der nicht von der Datenverarbeitung gemäß DSGVO erfasst wird und somit auch keiner Rechtsgrundlage bedürfte, also immer möglich wäre (zumindest dann, wenn die Zwecke der Verarbeitung der anonymen Daten legitim sind). Vgl. hierzu etwa den Aufsatz Anonymisierung als datenschutzrelevante Verarbeitung? in der Zeitschrift ZD 2020.

Zweck der Verarbeitung

Die Anonymisierung der vorliegenden Daten dient wohl oft einem anderen Zweck als dem ursprünglichen. Art. 6 Abs. 4 DSGVO besagt hierzu, dass zu prüfen ist,

…ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist…

Auszug aus Art. 6 Abs. 4 DSGVO

Auch Art. 5 Abs. 1 f DSGVO führt eine Zweckbindung und Zweckprüfung ein. Ich sehe allerdings den Zweck der Anonymisierung als zurückzuführen auf den Zweck der Verwendung anonymisierter Daten. Und hier bin ich der Meinung, dass jeglicher legitimer Zweck der Verwendung anonymisierter Daten geeignet ist, die Anonymisierung, und somit das berechtigte Interesse, zu rechtfertigen.

Bei einer Anonymisierung ist der Zweck meines Erachtens egal, solange ein berechtigtes Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 f DSGVO vorliegt. Die weiteren Buchstaben des Art. 6 Abs. 4 DSGVO besagen:

  • Buchstabe a: die Verbindung zwischen den Zwecken, nämlich dem ursprünglichen und dem Zweck der Anonymisierung
  • Buchstabe b: Verhältnis zwischen betroffener Person und Verantwortlichem
  • Buchstabe c: Art der personenbezogenen Daten
  • Buchstabe d: Mögliche Folgen der beabsichtigten Weiterverarbeitung
  • Buchstabe e: Vorhandensein geeigneter Garantien

Zur Anonymisierung ist meine Ansicht zu den Buchstaben wie folgt:

  • Buchstabe d: Bei perfekter Anonymisierung gibt es per se keine beachtenswerten Folgen
  • Buchstabe e ist insofern irrelevant bei einer perfekten Anonymisierung
  • Buchstabe c ist insofern ebenso irrelevant bei einer perfekten Anonymisierung
  • Buchstabe b ist eventuell relevant für die Frage, ob ein berechtigtes Interesse vorliegen kann. Eventuell ist dieser Buchstabe im Kontext einer perfekten Anonymisierung aber auch gänzlich irrelevant, was durch die Rechtsprechung zu klären wäre
  • Für Buchstabe a gilt meiner Ansicht nach das gleiche wie für Buchstabe b

Ist eine Anonymisierung mit Einwilligung möglich?

Die logische Antwort lautet Nein. Gemäß Art. 7 Abs. 3 DSGVO hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Eine Anonymisierung kann per se nicht rückgängig gemacht und somit auch nicht widerrufen werden.

Wäre eine Anonymisierung rückgängig zu machen, wäre es keine Anonymisierung.

Somit ist diese Frage eindeutig zu beantworten, sofern ein Widerrufsrecht eingeräumt wird. Auch ein Löschvorgang kann offensichtlich nicht rückgängig gemacht werden, weshalb auch für das Löschen von Daten die Einwilligung als Rechtsgrundlage ausscheidet, sofern ein Widerrufsrecht eingeräumt werden soll. Dies gilt zumindest für die perfekte Löschung. Existieren noch Backups darf zumindest bezweifelt werden, ob es sich um eine Löschung handelt. Jedenfalls läge dann keine perfekte Löschung vor und die Löschung wäre faktisch nicht vollständig vollzogen worden. Ggf. wird es als zulässig angesehen, dass im Echtsystem gelöschte Daten weiterhin in Backups existieren. Ich vermute aber, dass ein Datenleck (an Dritte gelangte Backup-Daten) dann zu einem großen Problem werden könnten.

Eine Einwilligung ohne Widerrufsmöglichkeit ist an sich denkbar. Zumindest müsste die betroffene Person vor Einwilligung entsprechend informiert werden. Dies konterkariert aber entweder Art. 7 Abs. 3 DSGVO oder die Tatsache, dass in etwas eingewilligt werden soll, was die Betroffenheit einer Person reduziert bzw. gänzlich eliminiert.

Ist die Anonymisierung eine Datenveränderung oder eine Datenverknüpfung?

Der Begriff der Datenverarbeitung schließt die Verknüpfung oder die Veränderung personenbezogener Daten mit ein. Eine Verknüpfung jedenfalls kann bei einer Anonymisierung nicht vorliegen, denn dann lägen keine anonymen Daten vor.

Eine Veränderung personenbezogener Daten liegt jedenfalls im Wesenskern ebenfalls nicht vor. Denn von den personenbezogenen oder personenbeziehbaren Daten bleibt nichts mehr übrig.

Für die Anonymisierung gibt es meiner Einschätzung nach mindestens zwei Möglichkeiten.

Anonymisierung bei Löschung personenbezogener Daten

Sollen personenbezogenen Daten gelöscht werden, besteht grundsätzlich die Möglichkeit, dabei eine Anonymisierung durchzuführen. Dies gilt ungeachtet möglicher Rechtsgrundlagen, die dem entgegenstehen könnten. Ich meine dies nur auf den möglichen Vorgang bezogen. Sollte die Löschung also angebracht oder gewünscht sein, wäre im Zuge dessen eine Anonymisierung von Daten denkbar, direkt bevor diese gelöscht werden.

Anonymisierung durch Zählen (statitisches Auswerten)

Mit dem Anonymisieren durch Zählen meine ich das Bestimmen von bestimmten Merkmalen, für die zunächst keine Treffer festgestellt wurden. Ein Beispiel für ein Merkmal ist ein Altersbereich von Personen, etwa von 40 bis 49 Jahren. Beim Anonymisieren durch Zählen kann der Bestand personenbezogener Daten unverändert bestehen bleiben. Hierbei allerdings sollte sichergestellt sein, dass der betrachtete Datenpool groß genug ist, um nicht in eine Einzelzählung zu verfallen. Vergleiche hierzu auch das Konzept der k-Anonymitität, die fordert, dass mindestens k Individuen als gemeinsame Masse betrachtet werden, um Rückschlüsse auf einzelne Personen stochastisch zu vermeiden. Siehe hierzu auch Google FloC, ein gescheiterter Ansatz, Cookies zu vermeiden.

Existiert nun ein Datenpool mit 100.000 Personen und einer Altersangabe pro Person, kann man zählen, wie viele Personen in der genannten Altersgruppe liegen. In der Datenbank vermerkt man dann, dass beispielsweise 27.583 Personen zwischen 40 und 49 Jahren alt sind. Dabei können auch weitere Merkmale über alle Personen ausgezählt werden. Dies allerdings wäre ein Beispiel für eine Anonymisierung, für die (zumindest theoretisch) ein Widerruf möglich wäre. Allerdings könnte ein Widerruf auch Gefahren mit sich bringen, denn durch Widerrufe von gleich mehreren Personen könnte der Datenpool so schrumpfen, dass eine perfekte Anonymisierung nicht mehr gegeben sein könnte. Um dem entgegenzuwirken, könnte man nur von jeder x. Person die Altersgruppenzuordnung in der anonymen Datenmasse vornehmen. Oder man würde nur Blöcke von Datensätzen auf einmal auswerten. Damit wäre ein Widerruf allerdings auch nicht mehr möglich, den ich bei einer Anonymisierung generell für hochproblematisch und oft auch für schon rein theoretisch nicht realisierbar ansehe.

Denkbar wäre eine Diskriminierung durch Auswerten anonymer Daten. Beispielsweise könnte festgestellt werden, dass eine bestimmte Altersgruppe anfälliger für eine bestimmte Krankheit ist. Das allerdings wäre dann eine Tatsachenfeststellung (sofern die Studie repräsentativ ist), die übrigens auch zu Covid in vielfältiger Weise getroffen wurde und faktisch viele Menschen im Alltagsleben benachteiligt. Dass eine Person der bestimmten Altersgruppe etwas gegen die Gewinnung einer solchen, für die Person möglicherweise nachteiligen, Erkenntnis haben könnte, kann wohl rechtlich nicht geltend gemacht werden (dies ist unabhängig von der Frage, ob der Vorgang der Datenanonymisierung zulässig ist). Ich würde es schlicht als Pech bezeichnen. Immerhin ist es auch persönliches Pech für alle Kinder, dass diese aktuell keinen Impfschutz gegen Covid-19 erhalten können.

Kann eine Anonymisierung immer erlaubt sein?

Die Frage zielt darauf ab, ob eine Anonymisierung ungeachtet der Fallkonstellation des Verantwortlichen zur betroffenen Person und unabhängig vom Zweck der ursprünglichen, legitimierten Verarbeitung der personenbezogenen Daten erlaubt ist.

Hierzu lade ich zu einem Gedankenexperiment ein und erinnere daran, dass große Physiker ausschließlich mit dieser Methode die Grundlagen unserer heutigen Telekommunikation, unserer Computer und Smartphones sowie der Möglichkeit der Satellitennavigation geschaffen haben.

Angenommen, Sie haben rechtmäßig personenbezogene Daten von tausenden Personen erhalten. Nun anonymisieren Sie diese Daten und erhalten einen Datenpool mit rein anonymisierten Daten.

Wie kann jemand überhaupt Kenntnis davon erlangen, dass Sie anonymisierte Daten besitzen? Die Daten sind doch anonym und können nicht auf einen Fall, also eine Person, rückgeschlossen werden! Niemand kann sich bei Ihnen beschweren, weil die Person wissentlich doch gar nicht betroffen ist. Auch wenn es rechtlich a priori wahrscheinlich keinen Unterschied macht, ob jemand überhaupt Kenntnis von einem Vorgang erlangen kann oder nicht, ist es doch so, dass der Vorgang der Anonymisierung nur durch einen sogenannten White Box Insider erkannt werden könnte. Der Begriff der White Box stammt aus der Informatik und besagt, dass man intime Kenntnis über ein System hat und die Funktionsweise des Systems untersuchen kann. Dem steht eine Black Box oder Grey Box entgegen, die nur ein Beobachten von außen erlauben. Der Insider-Begriff wurde in diesem Kontext von mir selbst eingeführt. Normalerweise spricht man von einem White Box Test. Ein Test ist aber etwas anderes als das Erlangen einer Kenntnis. Daher wurde der Begriff des Insiders als Bezeichnung für eine Person gewählt, die eine intime Kenntnis über ein System besitzt.

Man könnte aus Art. 5 Abs. 1 a DSGVO ableiten, dass eine Datenanonymisierung den betroffenen Personen anzuzeigen ist. Art. 5 Abs. 1 e DSGVO allerdings spricht sogar für eine Anonymisierung, denn mit dieser wird es im Einzelfall ermöglicht, auf die ursprünglichen personenbezogenen Daten direkt oder früher als ansonsten möglich verzichten zu können. Auch der Buchstabe f ebenda spricht sogar für eine Anonymisierung, weil dadurch die Datensicherheit um den Faktor unendlich erhöht wird.

Angenommen eine „betroffene“ Person weiß nun, dass eine Anonymisierung ihrer Daten stattfand. Die Frage, ob und welche Betroffenheit vorliegt, möchte ich hier nicht weiterverfolgen. Vielmehr interessiert mich, ob und wie aus dem Datenpool anonymisierter Daten gerade die Daten entfernt werden könnten, die aus den Daten der „betroffenen“Person hervorgegangen sind. Diese Frage lässt sich logisch beantworten.

Aus einem Datenpool anonymisierter Daten können einzelne Daten, die aus personenbezogenen Daten gewonnen wurden, oft nicht entfernt werden. Man müsste nun den gesamten Datenpool löschen, sofern das eine zulässige Forderung der „betroffenen“ Person wäre.

Angenommen, der Datenpool anonymisierter Daten wäre bereits weitergegeben bzw. mit anderen anonymen Daten kombiniert worden. Sollen dann alle diese weiteren anonymen Datenpools, die aus einer Million Datensätzen von Personen entstanden sind, gelöscht werden, weil eine Person Einspruch in die Verarbeitung ihrer personenbezogenen Daten eingelegt hat? Ich behaupte, dies ist nicht gegeben.

Die Anonymisierung von IP-Adressen findet in Deutschland übrigens täglich viele Milliarden Male statt, und zwar ohne jegliche Information an den Nutzer. Dies halte ich für rechtskonform, nämlich beispielsweise beim anonymisierten Zählen von Besuchern auf einer Webseite. Dies gilt zumindest dann, wenn keine Cookies verwendet werden, die ein doppeltes Zählen von derselben Person vermeiden helfen. Ob Informationspflichten verletzt werden, wenn eine Anonymisierung ohne Hinweis stattfindet, ist mir nicht ganz klar, allerdings zweitrangig. Die Konsequenzen aus einer Anonymisierung jedenfalls sind überschaubar.

Anzumerken ist noch, dass ein Besucherzähler nicht unbedingt personenbezogene Daten auswertet und wenn, dann möglicherweise zu Zwecken, die denen verwandt sind, für die die Daten ursprünglich erhoben wurden.

Gegenargumente

Aufgrund einer Diskussion auf XING möchte ich hier ein paar Gegenargumente nennen, die hervorgebracht wurden, um darzulegen, warum die Anonymisierung durch die schon stattfindende Datenverarbeitung gedeckt sein soll.

Gleiche Rechtsgrundlage?

Als Einwand wurde genannt:

Die Rechtsgrundlage für die Anonymisierung ist dieselbe auf Grund derer die personenbezogenen Daten erhoben wurden. Denn Verarbeiten ist ein Vorgang oder in aller Regel (es mag Ausnahmen geben) eine Vorgangsreihe.”

Ob eine Vorgangsreihe vorliegt oder nicht, spielt nur eine Rolle, wenn der Zweck innerhalb des Vorgangs der gleiche ist. Dies ist bei der Anonymisierung oft nicht der Fall. Man denke nur an Big Data Anwendungen und statistische Auswertungen zur Erlangung von Erkenntnissen.

Daten werden immer irgendwie gespeichert?

Die Aussage war, dass Daten immer gespeichert würden und der Vorgang der Anonymisierung deswegen legitimiert sei.

Dies ist falsch. Die Datenverarbeitung nach DSGVO beginnt bereits mit der Datenerhebung. Die Datenerhebung wiederum ist bereits die objektive Möglichkeit der Kenntnisnahme von Daten. Voraussetzung hierfür ist, dass eine Nachricht aufgrund eines Angebots des Datenempfängers an den Datenempfänger gesandt wurde. Siehe hierzu meinen Beitrag zur Datenerhebung.

Daten werden immer irgendwie behandelt, genutzt oder verwendet?

Ein Teil der Gegenargumentation war, dass Daten immer irgendwie behandelt, genutzt oder verwendet würden. Auch wenn ich dies nicht als Argument sehe, möchte ich entgegnen.

Daten werden nicht immer behandelt, genutzt oder verwendet. Diese Begriffe sind auch teilweise irrelevant, weil nicht Teil der Definition der DSGVO aus Art. 4 Abs 2. DSGVO. Wie im Abschnitt zuvor geschrieben, werden Daten unter Umständen nicht einmal zur Kenntnis gelangen. Es reicht, dass sie tatsächlich zur Kenntnis gelangen könnten. Eine „Behandlung“ oder „Nutzung“ der Daten findet also manchmal in keinster Weise statt.

Löschen ist gleichbedeutend mit Anonymisieren?

Offensichtlich ist Löschen etwas anderes als Anonymisieren.

Das Anonymisieren von Ausgangsdaten ist schließlich unter Beibehaltung der Ausgangsdaten möglich, was beim Löschen offenbar nicht der Fall sein kann.

Beim Löschen wird Speicherplatz freigegeben, beim Anonymisieren hingegen wird zusätzlicher oder anderer Speicherplatz verbraucht, je nachdem, ob die Ursprungsdaten erhalten bleiben oder nicht.

Die Datenanonymisierung bedeutet einen wesentlich höheren Aufwand als die Datenlöschung. Zur Anonymisierung müssen Algorithmen eingesetzt und zur Kontrolle des Verlusts des Personenbezugs mathematische Verfahren angewandt werden.

Aus dem Sprachgebrauch schließlich lässt sich alleine schon ableiten, dass Löschen etwas anderes als Anonymisieren ist. Richtig ist, dass bei beiden Vorgänge idealerweise der Personenbezug verloren geht.

Löschen hat einen anderen Zweck als Erhebung, also gilt das auch für Anonymisierung?

Das Löschen von Daten hat (immer?) einen anderen Zweck als der mit der Erhebung der zu löschenden Daten ursprünglich verfolgte. Deswegen, so könnte man schließen, ist auch das Anonymisieren zu anderen Zwecken als das ursprüngliche Erheben der Daten, erlaubt.

Ich sage, das trifft nicht zu, weil das Löschen in der DSGVO explizit geregelt ist. Das Löschen ist dann einforderbar, wenn der Zweck der erhobenen personenbezogenen Daten nicht mehr gegeben ist. Siehe etwa Artikel 17 DSGVO hierzu. Eine betroffene Person kann demnach ein Löschen erwirken, wenn Sie dies äußert. Eine Anonymisierung statt einer Löschung hingegen kann eine Person nicht verlangen. Art. 17 Abs. 3 e beispielsweise schränkt das Recht auf Löschen ein, um rechtliche Auseinandersetzungen abwehren zu können, wohingegen ich keine Möglichkeit sehe, eine Anonymisierung von Daten einzuschränken, sofern die Anonymisierung als grundsätzlich zulässig angesehen wird. Hierüber kann man streiten, weil eine Anonymisierung nicht immer perfekt gelingen wird. Ich meine aber die unstrittig perfekte Anonymisierung.

Der Zweck der Anonymisierung ist das Vernichten des Personenbezugs

Das stimmt nur dann, wenn die Originaldaten im Zuge der Anonymisierung gelöscht bzw. vernichtet werden. Eine Anonymisierung unter Beibehaltung der Originaldaten verändert den Grad des Personenbezugs insgesamt nicht, wenn man die Gesamtdatenmenge ansieht und wenn die Anonymisierung perfekt gelingt.

Der Zweck der Anonymisierung ist in meinen Augen eher das statistische Auswerten von Daten zu bestimmten Zwecken unter Wahrung von Persönlichkeitsrechten. Welche Zwecke dies sind, hängt von der Art der Auswertung bzw. den verfolgten Zielen ab. Wiederum verweise ich hier auf Big Data Anwendungen und Anwendungen der Künstlichen Intelligenz. Beispielsweise könnte man Daten von mit Grippe infizierten Personen anonymisieren, um herauszufinden, ob Männer häufiger relevant erkranken als Frauen. Dazu könnte man ganz andere Datenpools anzapfen. Das Beispiel ist aus der Luft gegriffen und berücksichtigt nicht den Umstand, dass besondere Kategorien personenbezogener Daten von Art. 9 DSGVO unter speziellen Schutz gestellt werden.

Welche Verantwortlichkeit entsteht aus einer Anonymisierung?

Ähnlich wie bei externen Links auf Webseiten scheint mir die Frage nach der Verantwortlichkeit für den Vorgang der Anonymisierung gelagert zu sein. Jemand, der einen externen Link auf einer Webseite nicht als solchen kennzeichnet, könnte voll verantwortlich gemacht werden für die sich daraus ergebende Datenverarbeitung bei einem Dritten. Dies kann eingeschränkt werden, sofern dem Linkgeber nicht bekannt ist, dass der Dritte Daten rechtswidrig verarbeitet, nämlich auf die Weitergabe der personenbezogenen Netzwerkadresse und Verkehrsdaten des Besuchers seiner Webseite an einen Dritten. Hierbei kann nicht sehr viel passieren, denkt man. Meistens stimmt das wohl auch. Anders mag es aussehen, wenn das Linkziel von einem Geheimdienst überwacht wird.

Bei der perfekten Anonymisierung von Daten passiert nichts, außer dass eine unkritische (statistische) Auswertung stattfindet, die keinerlei Personenbezug hat. Hierfür verantwortlich zu sein, läuft mathematisch auf keine Verantwortung hinaus. Eine betroffene Person könnte zwar gegen den Vorgang der Anonymisierung gegen einen Verantwortlichen klagen. Ich stelle mir aber die Frage, was das Klagebegehren beinhaltet. Einen Schadenersatz jedenfalls wird man wohl nicht verlangen können. Der Kläger könnte auf Unterlassung klagen. Hier ist vieles denkbar, was aber meiner Meinung nach unfruchtbare Ergebnisse bringen würde und eher so scheint, als wolle man des Klagens willen Klagen.

Anders mag es aussehen, wenn eine Anonymisierung nicht perfekt ist. Hier fände im engen Sinne des Wortes keine Anonymisierung statt, womit eine möglicherweise rechtswidrige, weil ohne Rechtsgrundlage stattfindende Datenverarbeitung anzumahnen wäre.

Insgesamt denke ich, dass eine Verantwortlichkeit aus einer Anonymisierung heraus extrem gering bis real gar nicht vorhanden sein wird. Solange millionenfach offensichtliche Datenschutzverstöße auf Webseiten existieren, erscheint es mir abstrus, wenngleich wohl grundsätzlich erlaubt, kleinlich auf die Anonymisierung zu schauen.

Fazit

Für anonyme Daten ist die DSGVO nicht anwendbar. Sobald Daten anonymisiert wurden, gilt die DSGVO nicht mehr.

Der Vorgang der Anonymisierung personenbezogener oder personenbeziehbarer Daten ist möglicherweise durch eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO zu legitimieren. Hierbei kommt ad hoc (für die allermeisten Fälle) nur das berechtigte Interesse in Frage. Der Art. 6 Abs. 4 DSGVO hilft bei der Beurteilung der Frage, ob ein berechtigtes Interesse vorliegt. Andererseits erlaubt Erwägungsgrund 50 das (legitime) statistische Verarbeiten von Daten ohne weitere Zweckbindung.

Ich halte es für möglich, dass der Gesetzgeber ein Gesetz schafft, dass die Anonymisierung von Daten erlaubt. Somit wäre eine gesetzliche Vorschrift gemäß Art. 6 Abs. 2 DSGVO gegeben. Ob diese standhaft ist, müsste im Zweifelsfall durch den EuGH geprüft werden. Ich meine aber, dass ein solches Gesetz möglich wäre, um Klarheit zu schaffen.

Meiner Einschätzung nach ist jegliche perfekte Anonymisierung von rechtmäßig erhaltenen personenbezogenen Daten zulässig, sofern die Zwecke, die mit den anonymen Daten verfolgt werden, legitim sind. Denn dann liegt, so sehe ich es, immer ein berechtigtes Interesse für die Datenanonymisierung vor, oder der Erwägungsgrund 50 trifft zu, indem nämlich eine statistische Verarbeitung stattfindet. Ich glaube, dass auch die Autoren des o.g. Artikels aus der Zeitschrift ZD 2020 dies so sehen, denn die Autoren schreiben nach intensiver Betrachtung abschließend: „Sofern – wie im Regelfall – keine Anhaltspunkte für
entgegenstehende Interessen der betroffenen Person bestehen, ist das Anonymisieren personenbezogener Daten folglich nach der DS-GVO ein zulässiger Datenverarbeitungsvorgang.

Ich könnte mir sogar vorstellen, dass eine Anonymisierung von rechtswidrig erhaltenen, nicht unter einen besonderen Schutz gestellten personenbezogenen Daten datenschutzrechtlich statthaft ist, denn durch die Anonymisierung von Daten passiert nichts anderes, als dass im besten Fall neue Erkenntnisse (ohne Personenbezug) entstehen können. Dies ist wie geschrieben, nur auf den Datenschutz bezogen, nicht auf das Strafrecht o. ä.

Der Erhalt einer Erkenntnis ist, soweit ich das beurteilen kann, generell nicht verboten und kann meiner naiven Ansicht nach aus datenschutzrechtlicher Sicht niemandem verboten werden, sofern die Datengrundlage nicht unter Schutz gestellt ist. Hier geht es mir nur um den Datenschutz, nicht um eine strafrechtliche Einordnung, etwa beim Diebstahl von Dokumenten.

Sollte eine neue Erkenntnis aus dem Auswerten von Geheimdokumenten entstehen, halte ich das übrigens für moralisch unbedenklich, sofern kein Personenbezug vorliegt und die Geheimdokumente aus rein strategischen oder politischen Gründen zurückgehalten werden. Juristisch mag dies von Geheimdiensten o. ä. anders beurteilt werden, wobei sich die Frage stellt, wie rechtmäßig die Tätigkeit einzelner Geheimdienste und von Gesetzen, die diesen Gestaltung geben, wirklich ist. Auch das Strafrecht mag anders gelagert sein, ich rede nur vom Datenschutz nach DSGVO.

Mich würde Ihre Meinung hierzu interessieren, gerne auch unter Nennung von Rechtsgrundlagen, die meinen Argumenten entgegenstehen könnten. Ich kennzeichne diesen Beitrag hiermit als vorläufig und sehe ihn in Teilen noch nicht als endgültig an. Update: Nach Veröffentlichung des Beitrags hat sich niemand mit ernsten Zweifeln geäußert. Das deutet zumindest darauf hin, dass akut keine erheblichen Zweifel zu bestehen scheinen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Untagmanager: Datenschutzfreundliche Google Tag Manager Alternative für Webseiten