Sie befinden sich hier:

Welche Anforderungen bestehen an die Anonymisierung?

Aus Sicht der DSGVO ist die Anonymisierung ein technisches Verfahren, das auf personenbezogene Daten angewendet wird, damit natürliche Personen nicht oder nicht mehr identifiziert werden können.

Der Stelle, die eine Anonymisierung ausführt, wird durch den Erwägungsgrund 26 Satz 3 zur DSGVO zunächst eine Prüfpflicht auferlegt, ob es sich nach dem Vorgang um personenbezogene Daten handelt oder nicht. Im Rahmen dieser Prüfung sind alle Mittel zu berücksichtigen, die vernünftigerweise entweder von dem Verantwortlichen oder einem Dritten eingesetzt werden könnten, um die betroffene Person zu identifizieren. Solche Mittel können bspw. für den Verantwortlichen verfügbare Informationen sein, oder solche, die er sich beschaffen kann. Insofern wird er auch die Verknüpfung sog. indirekter Identifikationsmerkmale berücksichtigen müssen, die zu einer Identifizierung eines Betroffenen führen kann. Auch Kontextinformationen oder Rohdaten können eine Rolle spielen.

Eine Vielzahl von Datenquellen kann die Wahrscheinlichkeit einer Re-Identifizierung erhöhen. Irrelevant ist, ob der Verantwortliche oder ein Empfänger der Daten die Person identifizieren möchte oder nicht. Es reicht eine objektive Identifizierbarkeit aus.

Es gibt Fälle, in denen die Wahrscheinlichkeit des Mitteleinsatzes nicht ohne Weiteres beantwortet werden kann. Hier benennt die DSGVO einige Faktoren, die als Prüfkriterien mit Blick auf das jeweils vorhandene Mittel beim Verantwortlichen oder beim Dritten verwendet werden können

  • ­Kosten der Identifizierung
  • Erforderlicher Zeitaufwand
  • Verfügbare Technologien zum Zeitpunkt der Verarbeitung und deren Entwicklung
  • Sonstige objektive Faktoren

Aus technischer Sicht wird sich ein Verantwortlicher die Frage stellen müssen, ob es zum Zeitpunkt der Verarbeitung, sprich der Anonymisierung, Technologien gibt, die eine Re-Identifizierung begünstigen können. Entsprechend hat die anonymisierende Stelle auch ein Verfahren nach dem Stand der Technik einzusetzen. Da Technologien nicht statisch bleiben, sind auch deren Entwicklungen mit in die Analyse einzubeziehen. Löscht ein Verantwortlicher beispielsweise den Schlüssel zum Verschlüsseln eines Datensatzes, sollte der Datensatz nicht für alle Zeit als anonym eingeschätzt werden. Immerhin kann der technologische Fortschritt zu einer Umkehr der Verschlüsselung in Zukunft sorgen.

Das Interesse an einer Re-Identifizierung spiegelt sich regelmäßig im Wert der Daten für einen Angreifer wider. Auch dies kann in eine Wahrscheinlichkeitsprüfung mit einbezogen werden. So ist die Umkehrung anonymisierter Kreditkartensätze für einen Angreifer von großem Interesse, was Auswirkungen auf die Stärke der Anonymisierung haben muss. Auch können Gesundheitsdaten für einen Angreifer von besonderem Interesse sein, bspw. um die Erkrankung einer bestimmten Person zu bestimmen.

Es können zu einem späteren Zeitpunkt auch neue Mittel in Betracht zu ziehen sein, deren Vorliegen einen Einfluss auf dieAnonymisierungsverfahren sind daher fortlaufend zu überprüfen und zu evaluieren.

Mangels gesetzlicher Präzisierung können verschiedene Anonymisierungstechniken eingesetzt werden. Entscheidend ist, dass eine Re-Identifizierung von Betroffenen praktisch nicht durchführbar ist. D.h. erfordert sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft, kann grundsätzlich von einer wirksamen Anonymisierung ausgegangen werden.

Solange der zur Anonymisierung verwendete personenbezogene Datensatz beim Verantwortlichen vorhanden ist, bleiben auch die hieraus anonymisierten Daten für ihn regelmäßig personenbezogen. Damit finden die DSGVO und alle übrigen Datenschutzgesetze auch auf den anonymisierten Datenbestand Anwendung, sollte die Anonymisierung durch den Zugang zum ursprünglichen Datensatz ohne Weiteres aufhebbar sein.

nach oben