Vom Fehlen einer Identität – was bedeutet die Anonymisierung von Daten?

Der Begriff der Anonymität ist den meisten Menschen in Deutschland ein Begriff. Zum Beispiel werden Klausuren häufig vermeintlich #anonym geschrieben, um eine Voreingenommenheit des Korrektors verhindern zu können. In den letzten Wochen wird der Begriff der Anonymisierung vor allem im IT- und Seuchenbekämpfungsumfeld immer wieder genannt. Im Zuge der #Corona Pandemie (Covid-19) soll zur Verhinderung der Ausbreitung persönlicher Kontakt mit anderen Menschen auf ein Minimum beschränkt werden. Darüber hinaus soll die Technik, die mittlerweile die meisten Menschen in der Hosentasche mit sich tragen, zur Eindämmung der Verbreitung eingesetzt werden. Über eine App auf dem Smartphone soll ermittelt werden, ob eine Person mit einer durch das Virus infizierten Person Kontakt hatte und so eine Warnung ausgeben können, die zu einer schnellen Isolation führt.

Die Technik dahinter interessiert uns im Folgenden genauso wenig wie eine allgemeine Einschätzung zum #datenschutz in einer solchen App. Wir verweisen dafür auf die einschlägigen Untersuchungen, die in letzter Zeit angestellt wurden (beispielsweise diese Datenschutzfolgenabschätzung).

Wir wollen uns mit dem Begriff beschäftigen, der wie kaum ein zweiter zur Diskussion um die Tracking-App gehört: Anonymisierung. Der Datenschutz soll vor allem dadurch gerettet sein, dass die Daten anonym gespeichert werden. Das wirft die Frage auf: Was bedeutet Anonymität eigentlich genau im Sinne des Datenschutzes? Und sind wirkliche alle Daten, die wir landläufig als anonym bezeichnen, auch wirklich anonym?

 

Anonymität – die Bedeutung

Anonym ist, wer nicht mehr erkennbar ist. So kannst Du Dir den Begriff in aller Kürze merken. Bei der Anonymisierung wird der Personenbezug von Daten aufgehoben, sodass keine Rückschlüsse mehr auf die Person möglich sind, von der die Daten ursprünglich stammen.

Der Datenschutz unterscheidet noch einmal zwischen einer absoluten Anonymität, bei der der Personenbezug dauerhaft und unwiederbringlich aufgehoben ist, und einer faktischen Anonymität, wo der Personenbezug zumindest so umfangreich aufgehoben ist, dass nach vernünftigen Erwägungen und Erwartungen nicht damit zu rechnen ist, dass ein Bezug zur betroffenen Person wiederhergestellt werden kann.

Wie genau dieser Zustand erreicht werden kann, muss im Einzelfall entschieden werden. Wenn Du zum Beispiel eine Umfrage erstellst, an der nur eine Person teilnimmt, kann der Personenbezug der Antworten jederzeit wiederhergestellt werden. Es kommt auch nicht darauf an, ob nur Du den Bezug wieder herstellen kannst. Auch wenn dafür Zusatzwissen erforderlich ist, über das nur Dritte verfügen, besteht keine Anonymität. Um bei dem Beispiel der Umfrage zu bleiben: wenn Dein Nachbar genau weiß, wen Du befragt hast und hinter die Auswertung der vorgeblich anonymen Umfrage sieht, weiß er genau, um wessen Daten es sich handelt. Im Falle einer Umfrage wäre – neben einer Vielzahl anderer Gründe, die dafür sprechen – also auch größere Masse an Daten erforderlich. So kann der Einzelfall schnell in der Masse verschwinden und ein Bezug zu einer einzelnen Person vermieden werden.

Im ersten Beispiel über die Klausuren stand, dass Prüfungen gerne „anonym“ durchgeführt werden. Jetzt sollte aber klar sein: Das stimmt gar nicht. Denn wenn der Personenbezug vollständig und unwiederbringlich aufgehoben wäre, könnte niemand mehr die Klausur zuordnen und folglich auch gerechterweise keine Note in Deine Akte eintragen. Prüfungen finden also nicht anonym, sondern pseudonymisiert statt. Dein Name wird durch eine eindeutige Kennziffer ersetzt, die der Korrektor zwar nicht mit Dir verknüpfen, aber das jeweilige Prüfungsamt mithilfe einer entsprechenden Zuordnungsliste Dir die Klausur und damit die Note wieder zuordnen kann.

 

Die Folgen der Anonymisierung

Wenn personenbezogene Daten korrekt anonymisiert wurden, finden die Regelungen des Datenschutzes auf diese keine Anwendung mehr. Warum? Wir erinnern uns: der Datenschutz dient vor allem dem Schutz des allgemeinen Persönlichkeitsrechts der natürlichen Person. Wenn Daten Dir gar nicht zugeordnet werden können, brauchst Du auch keinen Schutz gegen den Missbrauch dieser Daten.

Dafür musst Du (als Unternehmen) natürlich sicherstellen, dass Du tatsächlich erfolgreich anonymisiert hast. Wie wir am Beispiel der Klausur darstellen wollten: Der Begriff wird gerne vorschnell verwendet.

Nach Einschätzung des Bundesbeauftragten für den Datenschutz und die Informationssicherheit handelt es sich beim Vorgang der Anonymisierung übrigens um eine Verarbeitung im Sinne des Datenschutzes. Dies ist so weit auch nachvollziehbar; während die Anonymisierung noch nicht abgeschlossen ist, kann der Personenbezug noch hergestellt werden, sodass auch die allgemeinen Regeln des Datenschutzes zu berücksichtigen sind.

Die Rechtsgrundlage dieser Verarbeitung muss dann allerdings genau geprüft werden. Es ist eher unwahrscheinlich, dass Daten erhoben werden um sie zu anonymisieren. Vielmehr werden die Daten abweichend vom ursprünglichen Zweck weiterverarbeitet, sodass die Anforderungen des Art. 6 Abs. 4 DSGVO zu beachten sind.

 

Wie anonymisiere ich Daten?

Diese Frage ist schon etwas schwieriger zu beantworten. Grundsätzlich natürlich, indem Du alle Daten ablöst, die unmittelbar auf eine Person schließen lassen, wie etwa der Name oder die Adresse. Aber bedenke dabei auch das Beispiel der Umfrage von oben. Selbst wenn diese Daten abgelöst sind, kann unter Umständen ein Personenbezug wiederhergestellt werden. Hilfreiches Mittel ist die Zusammenführung einer Vielzahl von Datensätzen zu einem großen Datensatz. Wenn dann ein einzelner Datensatz wieder herausgelöst wird und keine Möglichkeit besteht, diesen einer natürlichen Person zuzuordnen, so ist die Anonymisierung erfolgreich vorgenommen worden.

Ein großes Risiko entsteht auch durch die Verknüpfung von Daten. Hierfür bedienen wir uns wieder eines einfachen Beispiels: zwei Umfrageinstitute führen eine den Fragen nach exakt gleiche Umfrage durch. Zufällig sind sogar die befragten Personen exakt dieselben. Während das eine Unternehmen die Ergebnisse aber anonymisiert, verzichtet das zweite Unternehmen darauf und pseudonymisiert lediglich. Verknüpfung bedeutet nun, dass das zweite Unternehmen Zugriff auf die Daten des ersten Unternehmens erhält, einen Datensatz herausnimmt und die Daten mit den eigenen abgleicht und so mit hoher Wahrscheinlichkeit die Identität der Person ermitteln kann, die die Antworten abgegeben hat. Auch wenn dies in diesem Beispiel witzlos wäre, da ohnehin beide Unternehmen über die gleichen Antworten verfügen, soll es lediglich möglichst einfach verdeutlichen, wo das Problem liegt. Im Prozess der Anonymisierung musst Du unter Umständen auch „um die Ecke“ denken um zu ermitteln, wie anonym die Daten tatsächlich sind. Kann ein Personenbezug nicht doch wieder hergestellt werden?

Das Risiko der Aufhebung der Anonymität kann auch dadurch erhöht werden, dass durch den Abgleich verschiedener Datensätze Wahrscheinlichkeiten der Identifikation erhöht werden. Es geht dabei also um die Frage, ob Du nach einem Abgleich sagen kannst, dass „Datensatz A mit einer Wahrscheinlichkeit von 83 % zu Person X gehört“.

Schlussendlich ist die Anonymisierung in der Umsetzung eine größere Aufgabe, die auf den Einzelfall angepasst werden muss und vor allem mit einer umfassenden Risikoanalyse begleitet werden muss.

 

Fazit

Die Anonymisierung von Daten ist einfach; wenn keine Rückschlüsse auf eine Person mehr möglich sind und sich dieser Zustand nicht aufheben lässt, besteht Anonymität. Auf dem Weg dahin bestehen allerdings einige Herausforderungen.

Beachte, nicht vorschnell von anonymen Daten zu sprechen – dies könnte dazu verleiten, die Anonymisierung nicht vollständig zu prüfen und damit einen Datenschutzverstoß zu provozieren.

Kontaktiere Uns