Warum ist es häufig besser von C3PO anstelle von Max Meier in den Verkaufsstatistiken zu sprechen?
Einleitung in Anonymisierung und Pseudonymisierung
Was haben der Hollywoodblockbuster „The Imitation Game – Ein streng geheimes Leben“ und Datenschutz gemein? Beide handeln davon Daten oder personenbezogene Daten vor dem unberechtigten Zugriff von Dritten zu schützen. Sie beweisen, dass Datenschutz auch hollywoodreife Spannung bieten kann. Wir möchten Ihnen in den nächsten Zeilen aufzeigen, wie sich eventuell viel „Theater“ mit den Aufsichtsbehörden sparen können.
Zunächst möchten wir Ihnen kurz die Unterschiede zwischen anonymisierten und pseudonymisierten Daten aufzeigen. Anschließend werden wir Ihnen darlegen, warum Sie sich mit diesem Thema auseinandersetzen sollten.
Was sind anonymisierte Daten?
Anonymisierte Daten genießen im Vergleich zu pseudonymisierten Daten nicht das Privileg einer sogenannten „Legaldefinition“ in der DSGVO. Dies bedeutet, dass es keine Begriffsbestimmung für anonymisierte Daten in der DSGVO gibt.
Unter anonymisierten Daten versteht man grundsätzlich Daten, welche keinen Personenbezug, (Name, Vorname, E-Mail-Adresse, Steuer-ID etc.) besitzen. Wann ein solcher Personenbezug zu verneinen ist, ist jedoch schon seit längerer Zeit umstritten und den Unabwägbarkeiten des technologischen Fortschrittes unterworfen. Der Gesetzgeber hat sich bei der Formulierung der DSGVO bewusst dafür entschieden, auf eine Legaldefinition zu verzichten und diese Verantwortung den Anwendern, Aufsichtsbehörden und der Rechtsprechung zu überlassen. Die Diskussion dreht sich zusammengefasst darum, welcher Maßstab für den „Personenbezug“ gelten soll. Stellt man einzig darauf ab, ob für die konkret datenverarbeitende verantwortliche Stelle ein Personenbezug zu verneinen ist (Subjektive Theorie) oder reicht bereits die theoretische Möglichkeit, dass jemand einen Personenbezug in irgendeiner Art und Weise und unter Zuhilfenahme aller möglichen Mittel herstellt, um diesen zu bejahen (Objektive Theorien).
Nach Erwägungsgrund 26 der DSGVO sind zunächst auf die Mittel und Kenntnisse der verantwortlichen Stelle zwecks Herstellung des Personenbezugs zu betrachten, sodann aber auch zu prüfen, ob sie sich hierzu auch vernünftigerweise Zusatzwissen beschaffen würde, das objektiv und legal zur Verfügung steht. Der europäische Gesetzgeber versucht hier einen Kompromiss zu finden.
Ein Datensatz kann daher für die eine Stelle anonym sein und für eine andere Stelle einen Personenbezug besitzen.
Im Zweifelsfall sollten Sie den Datensatz daher nicht als anonym betrachten und entsprechende Sicherheitsmaßnahmen gemäß den Anforderungen der DSGVO und der nationalen Datenschutzvorschriften ergreifen.
Nachdem wir uns die anonymen Daten etwas genauer angesehen haben, möchten wir uns dem kleinen Bruder, den pseudonymisierten Daten zuwenden.
Was ist eine Pseudonymisierung und was sind pseudonymisierte Daten?
Diese werden dankenswerterweise indirekt in Art. 4 Nr. 5 DSGVO erläutert. „Pseudonymisierung“ wird beschrieben, als die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Pseudonymisierten Daten sind demnach personenbezogene Daten, deren direkter Personenbezug durch ein Pseudonym ersetzt wurde (bspw. „C3PO“ an Stelle von „Martin Mustermann“ oder die Personalnummer an Stelle des Namens), aber noch indirekt vorhanden ist. Dieses Pseudonym kann mit einem Hilfsmittel zu einem direkten Personenbezug umgewandelt werden.
Bei der Beurteilung, ob ein Datensatz ausreichend verfremdet bzw. pseudonymisiert wurde, spielt, wie schon bei der Beurteilung von anonymen Datensätzen, der aktuelle Stand der Technik eine gewichtige Rolle. Eine Richtlinie mit klaren Regeln bzw. unterstützende Software für die Pseudonymisierung und festgelegte Zugriffsberechtigungen sind zur Sicherung der Pseudonymisierung hilfreich.
Was ist der Unterschied zwischen anonymisierten und pseudonymisierten Daten?
Anonymisierte Daten enthalten im Unterschied zu lediglich pseudonymisierten Daten keinen Personenbezug mehr. Sie fallen daher nicht mehr in den Anwendungsbereich der DSGVO, wenn zum Beurteilungszeitpunkt mit ihrer Hilfe keine natürliche Person identifiziert werden kann. Bitte beachten Sie, dass diese Beurteilung zu einem späteren Zeitpunkt jedoch anders ausfallen könnte.
Im Unterschied zu anonymisierten Daten fallen pseudonymisierte Daten immer noch in den Anwendungsbereich der DSGVO und anderer Datenschutzgesetze wie dem BDSG und dem TTDSG. Bei diesen ist der Personenbezug durch das Pseudonym immer noch enthalten und eine natürliche Person kann weiterhin identifiziert werden.
Warum sollten Sie sich mit Pseudonymisierung und pseudonymisierten Daten auseinandersetzen?
Pseudonymisierte Daten unterliegen zwar dem Datenschutz, aber die Arbeit mit pseudonymisierten Datensätzen ist datenschutzrechtlich einfacher zu gestalten. So gilt die Pseudonymisierung von Datensätze als zusätzliche Schutzmaßnahmen, die ergriffen werden kann, um Daten mit Hilfe von Standardvertragsklauseln datenschutzkonform in die USA zu transferieren. Des Weiteren ist die Pseudonymisierung von personenbezogene Daten eine technische und organisatorische Schutzmaßnahme gem. Art 32 Abs. 1 lit. a DSGVO, welche zur Sicherheit der Verarbeitung von personenbezogenen Daten beiträgt.
Bei einer Abwägung im Rahmen des berechtigten Interesses gem. Art. 6 Abs. 1. S. 1. lit. f DSGVO fällt dieser eher zu Ihren Gunsten aus, wenn Sie lediglich pseudonymisierte Daten verwenden.
Durch die Pseudonymisierung von Daten können Sie Ihre datenschutzrechtlichen Risiken sowie die Risiken für den Betroffenen zudem erheblich verringern.
Bei anonymisierte Daten sind die Vorteile noch größer. Wie zuvor erwähnt, befreien Sie anonymisierte Daten aus den „Zwängen“ des Datenschutzes. Sie benötigen für die Verarbeitung von anonymisierten Daten keine Rechtsgrundlage. Sie müssen sich unter anderem nicht an die Grundsätze der Datenminimierung halten und können die anonymisierte Datensätze unbegrenzt speichern. Falls Ihnen anonymisierte Datensätze gestohlen werden, müssen Sie dies in der Regel nicht an Ihre zuständige Datenschutzaufsichtsbehörde melden.
Aus datenschutzrechtlicher Sicht sollten Sie sich bei jeder Analyse und Statistik, welche Sie in Ihrem Unternehmen durchführen bzw. erheben, die Fragen stellen, ob Sie mit anonymisierten oder zumindest pseudonymisierten Daten arbeiten können.
Häufig reichen solche Datensätze aus, um zum Beispiele das allgemeine Kunden- oder Klickverhalten auf Webseiten zu analysieren und entsprechende Optimierungsstrategien zu entwickeln.
Unsere Erfahrung zeigt auch das anonymisierte und pseudonymisierte Datensätze häufig völlig ausreichend sind, um zum Beispiel statistische Erhebungen zu den Verkaufszahlen, der Mitarbeiterparkplatzbelegung oder dem beliebtesten Kantinenessen durchzuführen.
Oft entwickeln Mitarbeitende auch neue Lösungsansätze für bekannte Probleme, wenn Sie mit anonymisierten Datensätzen arbeiten, da Sie nicht durch Klarnamen beschränkt sind.
Bei Fragen zur Anonymisierung oder Pseudonymisierung Ihrer Kundendaten, Beschäftigtendaten oder sonstiger Daten beraten wir Sie gerne.