NEWS

Anonymisierung personenbezogener Daten

Der geschützte Umgang mit personenbezogenen Daten steht immer mehr im Fokus von Unternehmen sämtlicher Branchen. Unter anderem im Bereich der Industrie ist das Interesse groß, Daten effizient verwerten zu können, ohne dabei gegen geltendes Datenschutzrecht zu verstoßen. Eine Arbeitsgruppe des Bundesverbands der Deutschen Industrie e.V. (BDI) arbeitet aus diesem Grund derzeit an einem Leitfaden zur Anonymisierung personenbezogener Daten.

 

1. Was bedeutet Anonymisierung und warum besteht ein Interesse an der Anonymisierung von Daten?

Beim Anonymisieren werden personenbezogener Daten derart verändert, dass die hinter den Einzelangaben über persönliche oder sachliche Verhältnisse stehende betroffene Person nicht bzw. nicht mehr identifiziert werden kann. Hintergrund der Anonymisierung ist die Annahme, dass die Grundsätze des Datenschutzrechtes und infolgedessen die DSGVO auf anonyme Daten nicht anwendbar sind.

Bei der Anonymisierung bleibt der Gehalt eines Datensatzes erhalten, er lässt aber keine Zuordnung der Aussage zu einer bestimmten oder bestimmbaren Person mehr zu. Es handelt sich daher bei anonymisierten Daten nicht mehr um personenbezogene Daten, wobei ausreichende Anonymität teilweise nur mühsam zu erreichen ist. Oftmals können vermeintlich anonyme Daten doch wieder re-identifiziert werden, sodass es sich lediglich um sogenannte pseudonyme Daten handelt. Pseudonyme Daten sind im Gegensatz zu anonymen Daten mit einem entsprechenden Schlüssel re-identifizierbar und fallen somit unter den Begriff der personenbezogenen Daten. Ob Daten tatsächlich anonym oder nur pseudonym sind, ist häufig nur schwer zu ermitteln, da es keine klare Grenze gibt und diese sich mit der stetigen technischen Entwicklung immer weiter verschiebt. Hinzu kommt, dass beide Begrifflichkeiten gerne als Synonym genutzt werden. Ein entscheidender Unterschied besteht jedoch darin, dass datenschutzrechtliche Grundsätze weiterhin auf pseudonyme Daten anzuwenden sind, nicht aber auf anonyme Daten.

Daher ist die Anonymisierung in der Praxis vor allem in der Forschung, im Gesundheitswesen, aber auch im Bereich M&A von Interesse. Dabei ist die Anonymisierung ein Mittel, ursprünglich personenbezogene Daten zu nutzen, um z.B. KI-Systeme zu trainieren, Informationen über Verkehrsströme für Verkehrsplanungen zu gewinnen sowie Analysen in Bezug auf Krankheiten zu erstellen. Sie wird auch bei der Due-Diligence-Prüfung im Rahmen von Unternehmenskäufen genutzt.

 

2. Die DSGVO schreibt keine einheitlichen Vorgaben zur Anonymisierung vor

Anonyme und anonymisierte Daten werden zwar in Erwägungsgrund 26 der DSGVO adressiert. Konkrete Bestimmungen hierzu enthält die Verordnung jedoch nicht. Für einen Überblick über die datenschutzrechtlichen Rahmenbedingungen möglicher Anonymisierungsmaßnahmen sorgt nun die Wirtschaft selbst in Form eines Leitfadens.

 

3. Methoden zur sicheren Anonymisierung

Methoden, die sich bislang zur Anonymisierung bewährt haben, sind u.a. das Entfernen von Identifiern, wie z.B. Namen, die Randomisierung, unter die u.a. die Vertauschung, das sogenannte Hashing und die stochastische Überlagerung gehören, sowie die Generalisierung. Durch letztere werden Daten beispielsweise de-personalisiert, indem man ihre Granularität reduziert.

Die Effektivität jeder einzelnen Methode an sich ist in der Regel jedoch nicht ausreichend. Empfohlen wird deshalb die Kombination verschiedener Techniken. Das Ziel dabei ist es, eine Re-Identifizierung zu verhindern, indem z.B. einzelne Personen aus Datensätzen herausgegriffen oder eine Verknüpfbarkeit hergestellt wird. Dann würde es sich lediglich um pseudonymisierte Daten handeln, deren Verarbeitung wieder unter die strengen Anforderungen der DSGVO fallen würden. Darüber hinaus sollte eine regelmäßige Überprüfung der jeweiligen Anonymisierungsmethode stattfinden.

 

4. Fazit

Die Suche nach wirksamen Anonymisierungsmethoden ist momentan noch mühsam und stellt einen enormen Aufwand an Zeit und Kosten dar. Die Zusammenstellung verschiedener Methoden durch den BDI bietet daher eine gute erste Hilfestellung. CLARIUS.LEGAL verfolgt weiterhin die Entwicklungen im europäischen (und deutschen) Datenschutz und steht Unternehmen sowohl als Datenschutzberater als auch als externer Datenschutzbeauftragter nach Artikel 37 DSGVO mit Rat und Tat zur Seite.