Der Datenschutz befasst sich – anders als die Informationssicherheit – ausschließlich mit dem Schutz von personenbezogenen Daten. Nur für diese eröffnet sich der Anwendungsbereich der DSGVO mit der Folge, dass die Grundsätze des Datenschutzrechts anzuwenden sind. Die Schlussfolgerung liegt also nahe, wenn der Personenbezug „vernichtet“ wird, entfallen die teils strengen Auflagen der DSGVO. Viele Verantwortliche sehen unter dieser Prämisse eine Anonymisierung der Daten als einfachen Ausweg aus der DSGVO. Dass es jedoch auch hier einige datenschutzrechtliche Besonderheiten zu beachten gibt, soll in diesem Blogbeitrag überblicksartig dargestellt werden.
Grundlagen
Der Europäische Gesetzgeber hat in Erwägungsgrund 26 der DSGVO eingegrenzt, für welche Informationen die Grundsätze des Datenschutzes gelten sollen. Diese sind anwendbar auf alle Informationen „die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. An gleicher Stelle wird ausdrücklich festgelegt, dass eine Pseudonymisierung (Art. 4 Nr. 5 DSGVO) diese Identifizierbarkeit der betroffenen Person nicht beseitigt. Schließlich lassen sich unter Heranziehung zusätzlicher Informationen auch pseudonymisierte Daten wieder einer natürlichen Person zuordnen. Entsprechend stellt die Pseudonymisierung zwar unter Umständen eine geeignete technische Schutzmaßnahme im Sinne des Art. 32 DSGVO dar, entbindet jedoch nicht von den Pflichten der DSGVO im weiteren Umgang mit den pseudonymisierten Daten.
Anders gestaltet sich die Rechtslage bei anonymisierten Daten. Gemäß Erwägungsgrund 26 Satz 5 der DSGVO, gelten die Grundsätze des Datenschutzes nicht für Informationen, „die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“ In der Folge können wirksam anonymisierte Daten also verarbeitet werden, ohne sich an die Vorgaben der DSGVO halten zu müssen. An dieser Stelle gilt es jedoch zunächst die Anonymisierung an sich datenschutzrechtlich einzuordnen, denn hier gelten die Vorgaben der DSGVO sehr wohl.
Anonymisierung als Datenverarbeitung
Der Begriff der „Verarbeitung“ wird in Art. 4 Nr. 2 DSGVO unter Aufzählung einiger beispielhafter Verarbeitungsvorgänge definiert. Dabei ist für die datenschutzrechtliche Einordung stets zu beachten, dass die in Art. 4 Nr. 2 DSGVO vorgenommene Aufzählung nicht abschließend zu verstehen und der Begriff der Datenverarbeitung sehr weit auszulegen ist. Unumstritten ist, dass die Anonymisierung von personenbezogenen Daten eine solche Datenverarbeitung darstellt. Hierbei ist es aufgrund der weiten Begriffsauslegung nicht relevant, ob die Anonymisierung im Einzelfall unter die in Art. 4 Nr. 2 DSGVO genannten Begriffe der „Veränderung“ oder „Verwendung“ subsumiert wird, oder ohne konkrete Zuordnung dem weiten Verständnis des Art. 4 Nr. 2 DSGVO unterliegt. Mit der Einstufung als Verarbeitung im Sinne der DSGVO geht einher, dass eine Anonymisierung nur erfolgen darf, wenn hierfür eine Rechtsgrundlage besteht (DSGVO als Verbotsgesetz mit Erlaubnistatbeständen).
Rechtsgrundlage
Wie so oft im Datenschutz kommen für die Anonymisierung grundsätzlich mehr als eine Rechtsgrundlage in Betracht. Für die Praxis ist es bedeutend, diese im Einzelfall unter Berücksichtigung aller Umstände treffend zu bestimmen. In Frage kommen hier insbesondere die Einwilligung, die berechtigten Interessen des Verantwortlichen, die Erfüllung einer gesetzlichen Verpflichtung, oder die Folgeverarbeitung aus Art. 6 Abs. 4 DSGVO.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
Als Grundsatz kann davon ausgegangen werden, dass eine Einwilligung als Rechtsgrundlage für fast alle Verarbeitungsvorgänge in Betracht kommt. Abzuwägen gilt dabei stets, ob dies unter Berücksichtigung der jederzeitigen Widerrufbarkeit der Einwilligung im Einzelfall sinnvoll ist. Soll die Anonymisierung auf eine Einwilligung gestützt werden, sind jedoch zwingend die Anforderungen aus Art. 7 DSGVO zu beachten.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Ebenfalls in Betracht kommt eine Anonymisierung der personenbezogenen Daten auf Grundlage der berechtigten Interessen des Verantwortlichen. Bei dieser Rechtsgrundlage ist stets eine Interessenabwägung durchzuführen. Es wird geprüft, ob die Interessen des Verantwortlichen die Rechte und Freiheiten der betroffenen Personen überwiegen. Hierbei ist stets zu prüfen, was die betroffene Person im jeweiligen Einzelfall vernünftigerweise erwarten darf. Bezogen auf die Anonymisierung kann hier ausschlaggebend sein, ob die betroffene Person im konkreten Fall selbst ein Interesse an der Anonymisierung der Daten hat, oder ob diese mit dem Erhalt der personenbezogenen Daten rechnen darf bzw. dies als für sie vorteilhaft erachtet. Wird eine Verarbeitung auf eine solche Interessenabwägung gestützt, gilt es, diese entlang der Vorgaben der DSGVO zu dokumentieren.
Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Die Verarbeitung von personenbezogenen Daten kann weiterhin gerechtfertigt sein, wenn Sie für die Einhaltung von rechtlichen Verpflichtungen seitens des Verantwortlichen erforderlich ist. In Frage kommt diese Rechtsgrundlage im Rahmen der Anonymisierung auf Grundlage der Löschpflicht aus Art. 17 DSGVO. Demnach ist der Verantwortliche verpflichtet, personenbezogene Daten unter bestimmten Umständen unverzüglich zu löschen, beispielsweise wenn die Zwecke, für die die Daten erhoben bzw. verarbeitet wurden, entfallen (Art. 17 Abs. 1 lit. a DSGVO). Nach dem Wortlaut des Art. 5 Abs. 1 lit. e DSGVO (Grundsatz der Speicherbegrenzung) kann dieser Verpflichtung auch durch eine Anonymisierung nachgekommen werden, indem die Daten als Folge der Anonymisierung in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nicht mehr ermöglicht. Anzumerken ist hierbei jedoch, dass die Frage umstritten ist, ob einer Verpflichtung zur Löschung auch durch eine Anonymisierung nachgekommen werden kann. In einem Positionspapier aus 2020 (Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, S. 8 – 9) bejahte der BfDl grundsätzlich diese Option und folgt damit einer Einschätzung der österreichischen Datenschutzbehörde aus 2018 (Az.: DSB-D123.270/0009-DSB/2018). Dennoch halten sich in der Literatur Stimmen, die diese Möglichkeit, insbesondere unter Verweis auf das Risiko einer Re-Identifizierung bei einer Anonymisierung, verneinen (vgl. z.B. Roßnagel, ZD 2021, 188, a.A. Stürmer, ZD 2020, 626). Ohne den Meinungsstreit an dieser Stelle entscheiden zu können, sollte in der Praxis dringend der Datenschutzbeauftragte oder externe Spezialisten in die Abwägung, ob Art. 6 Abs. 1 lit. c DSGVO im Einzelfall als Rechtsgrundlage in Betracht kommt, einbezogen und das Ergebnis entsprechend dokumentiert werden.
Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO
Abschließend kann geprüft werden, ob die Anonymisierung auf die ursprüngliche Rechtsgrundlage, zu der die Daten erhoben wurden, gestützt werden kann. Die personenbezogenen Daten, die anonymisiert werden sollen, werden in aller Regel nicht für den Zweck einer Anonymisierung erhoben. Vielmehr wird eine Anonymisierung sich an eine Erhebung bzw. Verarbeitung zu einem bestimmten Zweck als Folgeverarbeitung anschließen. So kann beispielsweise die Analyse von anonymisierten Kundendaten zur Optimierung der Vertriebsprozesse angestrebt werden, die ursprünglich für den Zweck der Vertragserfüllung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO erhoben und verarbeitet wurden. Nach dem Gebot der Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO, muss der Zweck der Weiterverarbeitung mit dem ursprünglichen Erhebungszweck vereinbar sein. Ist dies der Fall, kann unter den Voraussetzungen des Art. 6 Abs. 4 DSGVO die Weiterverarbeitung, in diesem Fall die Anonymisierung, auf die ursprüngliche Rechtsgrundlage gestützt werden. Bevor zu diesem Ergebnis gelangt werden kann, gilt es jedoch den Katalog aus Art. 6 Abs. 4 lit. a – e DSGVO zu prüfen. Kommt die Abwägung entlang der Prüfpunkte, auf deren Aufzählung an dieser Stelle verzichtet werden soll, zu einem positiven Ergebnis, kann die Verarbeitung gemäß Einschätzung des BfDl im Einzelfall auf die ursprüngliche Rechtsgrundlage (im obigen Beispiel: Art. 5 Abs. 1 lit. b DSGVO) gestützt werden (Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, S. 7). Dabei sei zu beachten, dass der mit dem ursprünglichen Zweck gegenüberzustellende Zweck der Anonymisierung nicht die Anonymisierung selbst, sondern die tatsächlichen Interessen des Verantwortlichen sind. Im obigen Beispiel wäre dies die Optimierung der Vertriebsprozesse. Jedoch gilt es auch an dieser Stelle darauf hinzuweisen, dass eine entsprechende Einordung der Anonymisierung unter Art. 6 Abs. 4 DSGVO nicht unumstritten ist. Es gilt also erneut eine Einzelfallbetrachtung unter Einbeziehung von Expert:innen durchzuführen.
Kann die Anonymisierung im Einzelfall einer der oben umrissenen Rechtsgrundlagen zugeordnet werde, gilt es die Anforderungen an die Verarbeitungstätigkeit aus der DSGVO zu beachten.
Informationspflichten
Da es sich bei der Anonymisierung um eine Verarbeitungstätigkeit im Sinne der DSGVO handelt, gilt es die entsprechenden Informationspflichten zu wahren. Von Bedeutung sind hierbei insbesondere Art. 13 und 14 DSGVO, welche Anforderungen an die Informationserteilung gegenüber der betroffenen Person zum Zeitpunkt der Erhebung normieren. Darüber hinaus ist bei der Anonymisierung insbesondere Art. 13 Abs. 3 von Belang. Kommt man nach der oben dargestellten Prüfung zu dem Ergebnis, eine Anonymisierung als Weiterverarbeitung auf die ursprüngliche Rechtsgrundlage nach Art. 6 Abs. 4 DSGVO stützen zu können, müssen der betroffenen Person gemäß Art. 13 Abs. 3 DSGVO Informationen über den Zweck der Weiterverarbeitung sowie über alle in Art. 13 Abs. 2 DSGVO genannten Umstände zur Verfügung gestellt werden.
Datenschutz-Folgenabschätzung
Es mag paradox erscheinen, dass bei einer Anonymisierung eine Datenschutz-Folgenabschätzung erforderlich sein kann. Immerhin wird eine solche Abschätzung gem. Art. 35 DSGVO für Verarbeitungen vorgenommen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, während die Anonymisierung häufig als wirksame datenschutzrechtliche Schutzmaßnahme angesehen wird. Nichtsdestotrotz handelt es sich bei der Anonymisierung um eine risikobehaftete Verarbeitung. Als Gründe für diese Einstufung wurden im fachlichen Diskurs insbesondere die „Verarbeitung im großen Umfang“ und die Verwendung „neuer Technologien“ herangeführt. Ohne sich auf eines dieser Tatbestandsmerkmale einer risikobehafteten Verarbeitung versteifen zu wollen, kann sich der Ansicht des BfDl angeschlossen werden, dass es sich bei der Anonymisierung um eine komplexe Verarbeitung handelt, die viele Fehlerquellen birgt (Tätigkeitsbericht 2020 des Bundesbeauftragten für den Datenschutz und die Informationssicherheit, S. 72). Immerhin kann eine fehlerhafte Anonymisierung die betroffenen Personen davon abhalten, ihre Betroffenenrechte geltend zu machen und sind damit im Schutz ihrer Grundrechte eingeschränkt. Einerseits kann eine von den betroffenen Personen nicht erwünschte Anonymisierung dazu führen, dass der Verantwortliche den Grundsatz der Verfügbarkeit (Art. 32 Abs. 1 lit. b DSGVO) von personenbezogenen Daten nicht einhalten kann. Die Folge kann eine Nichtbeantwortung der Auskunftsbegehren der betroffenen Person sein. Wird hingegen eine Anonymisierung fehlerhaft durchgeführt, wird die betroffene Person in ihrem „Recht auf Vergessenwerden“ (Art. 17 DSGVO) eingeschränkt und durch eine Re-Identifizierung durch Dritte kann ebenfalls die Vertraulichkeit der Verarbeitung (Art. 5 Abs. 1 lit. f DSGVO) beeinträchtigt werden.
Der Maßstab, ob eine Anonymisierung als weitreichend und wirksam beurteilt werden kann, oder ob im Zweifelsfall doch „nur“ eine Pseudonymisierung vorliegt, ergibt sich aus dem eingangs erwähnten Erwägungsgrund 26 DSGVO. Demzufolge wird bei der Bewertung, ob eine natürliche Person identifizierbar ist oder nicht, berücksichtigt welche Mittel für eine Identifizierung wahrscheinlich genutzt werden, wobei objektive Faktoren wie Kosten- und Zeitaufwand sowie die zum Zeitpunkt der Verarbeitung verfügbaren Technologien zu berücksichtigen sind. Damit legt der Europäische Gesetzgeber nahe, dass eine absolute Anonymisierung weder möglich noch zwingend erforderlich ist. Vielmehr ist ausschlaggebend, ob eine Re-Identifizierung unter Berücksichtigung des Zeit- und Kostenaufwands in der Praxis möglich bzw. realistisch ist. Damit verdeutlicht sich, dass eine pauschale Bewertung der Anonymisierung als datenschutzrechtliche Maßnahmen nicht möglich ist. Es bedarf stets einer Betrachtung des konkreten Einzelfalls unter Zuhilfenahme von Expert:innen, um nicht mit der vermeintlich wirksamen technischen Schutzmaßnahme der Anonymisierung am Ende selbst einen Datenschutzverstoß zu begehen.
