Wann dürfen Daten verarbeitet werden? Teil 4

Spezialfall Anonymisierung

Nachdem wir in Teil 1 dieser Blogbeitragsreihe die allgemeinen Rechtsgrundlagen der DS-GVO, in Teil 2 die ergänzenden Erlaubnistatbestände für die Verarbeitung von besonderen Kategorien personenbezogener Daten und in Teil 3 den Spezialfall zur Verarbeitung von Beschäftigtendaten betrachtet haben, beschäftigt sich Teil 4 nun mit der Anonymisierung von personenbezogenen Daten.

Worum geht es?

Zunächst galt die Anonymisierung lange Zeit als (strategisches) Allheilmittel, um den Personenbezug von Daten aufzulösen, damit im Ergebnis genau keine Verarbeitung von personenbezogenen Daten vorliegt. Daher erschien in vielen Bereichen, in denen mit Auswertungen, Analysen oder KPIs gearbeitet wird, die Anonymisierung als „das normalste auf der Welt“. Eine solche Verarbeitung von anonymisierten Daten wird nämlich gar erst als möglich betrachtet, wenn die Verarbeitung bei bestehendem Datenbezug datenschutzrechtlich unmöglich gewesen wäre.

Der Vorgang der Anonymisierung benötigt nach Ansicht von Aufsichtsbehörden eine Rechtsgrundlage

Dieser Beitrag korrigiert diese Sichtweise dahingehend, dass nach der jüngsten Ansicht der Datenschutzaufsichtsbehörden eine Anonymisierung dennoch eine Verarbeitung darstellt und damit ebenfalls einer Rechtsgrundlage bedarf (Positionspapier vom 29.06.2020, siehe Hilfreiche Links). Und diese Sichtweise hat es in sich, da die meisten Organisationen Anonymisierung als technische Maßnahme sehr zweckdienlich empfanden, ohne daran zu denken, dass das rechtlich zu legitimieren ist und darüber hinaus einer Datenschutz-Folgenabschätzung bedarf (mehr dazu unten im Beitrag).

Die DS-GVO erwähnt nur bereits anonymisierte Daten

Trotz der hohen praktischen Bedeutung und der Berücksichtigung im alten BDSG, findet sich eine Legaldefinition überraschenderweise nicht in der Datenschutz-Grundverordnung (DS-GVO), obwohl wiederum die Pseudonymisierung in Art. 4 Nr. 5 DS-GVO definiert ist. Lediglich Erwägungsgrund 26 nimmt Bezug auf anonymisierte Daten. Danach sollen die datenschutzrechtlichen Grundsätze nicht gelten „für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Das Positionspapier des BfDI will diese Lücke füllen

Dies nahm der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zum Anlass, ein öffentliches Konsultationsverfahren durchzuführen. Zahlreiche Verbände, Institutionen, Organisationen der Privatwirtschaft und einige mehr haben sich daran beteiligt. Zielsetzung war es, etwas mehr „Licht“ in die unklare Rechtslage zu bringen. Die einzelnen Stellungnahmen können Sie hier abrufen.
Wie zu erwarten, ergab sich ein sehr heterogenes Meinungsbild der zugegebenermaßen komplexen Materie, sicherlich auch abhängig davon, welche jeweiligen Geschäftsinteressen betroffen waren. Die sich daraus ergebende Position des BfDI hat dieser in seinem Positionspapier vom Juni 2020 dargestellt.

Schlussfolgerungen aus dem Positionspapier zu Anonymisierung

Was ist die wichtigste Erkenntnis bzw. Schlussfolgerung?
Nach Art. 4 Nr. 2 DS-GVO bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Darunter fällt

  • das Erheben,
  • das Erfassen
  • die Organisation
  • das Ordnen
  • die Speicherung
  • die Anpassung oder Veränderung
  • das Auslesen
  • das Abfragen
  • die Verwendung
  • die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
  • den Abgleich oder die Verknüpfung
  • die Einschränkung, das Löschen oder die Vernichtung


„Anonymisierung ist ein Vorgang, der darauf gerichtet ist, den Personenbezug von Daten aufzuheben.“

Anonymisierungsvorgänge benötigen eine Rechtsgrundlage

Dies legt damit den Schluss nahe, „dass die personenbezogenen Daten durch Anonymisierung – in ihrer Personenbezogenheit – verändert werden im Sinne von Art. 4 Nr. 2 DS-GVO“.
Also liegt damit eine Verarbeitung von personenbezogenen Daten vor, wofür es einer Rechtsgrundlage bedarf.


Damit sind alle Anonymisierungsvorgänge auf mögliche Rechtsgrundlagen zu prüfen, die wir nachfolgend genauer betrachten wollen.

Mögliche Rechtsgrundlagen für das Anonymisieren

1. Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO):

Mit einer wirksamen Einwilligung der betroffenen Person ist jede Form der Anonymisierung grundsätzlich erlaubt.

2. Verarbeitung zu einem anderen Zweck als der ursprünglichen Erhebung (Art. 6 Abs 4 DS-GVO)

Eine Anonymisierung stellt in der Regel eine Weiterverarbeitung der personenbezogenen Daten dar, deren Zweck mit der ursprünglichen Erhebung vereinbar sein muss (vgl. auch Erwägungsgrund 50 der DS-GVO). An eine Vereinbarkeit stellt Art. 6 Abs. 4 DS-GVO fünf Anforderungen, die vom Verantwortlichen zu berücksichtigen sind:

  • jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung
  • den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
  • die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO verarbeitet werden,
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
  • das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Aus Sicht des Autors hat das die größte praktische Relevanz, da hinter dieser Weiterverarbeitung die Absicht des Verantwortlichen steht, ehemals erhobene Daten in Auswertungen und Analysen weiter zu verarbeiten. Kennzahlen wie KPI sind aus Sicht des Controllings unentbehrlich und Marketing- und Vertriebsleute nutzen diese ebenfalls. Unter Berücksichtigung der Umstände des Einzelfalls dürfte die Abwägung oftmals zugunsten der Zulässigkeit der Anonymisierung ausfallen. Damit Bewerberdaten zum Beispiel nach den Aufbewahrungsfristen weiterhin für KPI Analysen genutzt werden können, wäre eine (echte) Anonymisierung das Mittel der Wahl.

Beispiel für einen Anonymisierungsalgorithmus:

die Daten
(1) „Max“,
(2) „Mustermann“,
(3) „70191“,
(4) „Geburtsdatum 23.04.1968“
werden verändert in
(1) „Vorname“,
(2) „Anonymisiert“,
(3) PLZ verkürzt auf die beiden ersten Ziffern „70“,
(4) „Geburtsdatum 01.01.1968“.

3. Erfüllung Löschverpflichtung durch Anonymisierung (Art. 6 Abs. 1 lit c i.V.m. Art. 17 Abs. 1 lit. a DS-GVO)

Unterliegt der Verantwortliche einer solchen Löschverpflichtung, so kann er dieser auch durch Anonymisierung nachkommen. Beispiele hierfür ergeben sich aus dem (Betroffenen-) Recht auf Löschung nach Art. 17 DS-GVO. Nach Erwägungsgrund 26 der DS-GVO bestünden nach vorgenommener wirksamer Anonymisierung nicht mehr personenbezogene Daten. Auch hier muss der hinterlegte Algorithmus den Personenbezug auflösen. Zu beachten ist, dass eine Anonymisierung in diesem Kontext nur dann legitimierbar ist, wenn die ursprünglichen Daten rechtmäßig erhoben wurden.

Durchführung einer Datenschutz-Folgenabschätzung zur Anonymisierung

In seinem Positionspapier begründet der BfDI die Notwendigkeit einer Datenschutz-Folgenabschätzung dadurch, dass die Generierung eines anonymen Datenbestandes eine komplexe Aufgabe des Verantwortlichen darstelle und viele Fehler in sich berge. In Folge sei vor einer solchen Maßnahme (Verarbeitung) unbedingt eine Datenschutz-Folgenabschätzung durchzuführen. 

Fazit

Die Anonymisierung personenbezogener Daten ist grundsätzlich möglich, solange sie sich auf eine Rechtsgrundlage stützen lässt. Ob dies der Fall ist, ist unter Berücksichtigung aller Umstände im Einzelfall zu beurteilen. Besonderes Augenmerk verdient dabei die Validität des eingesetzten Anonymisierungsverfahrens (Anonymisierung-Algorithmus).

Eine Anonymisierung

  • liegt also vor, wenn der Personenbezug von Daten derart aufgehoben ist, dass er nicht oder nur unter unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann.
  • stellt darüber hinaus eine Verarbeitung personenbezogener Daten dar und bedarf als solche einer Rechtsgrundlage.


Je nach Kontext und Zweck der Anonymisierung kommen mehrere Rechtsgrundlagen in Betracht. Zusätzlich ist eine Verpflichtung zur unverzüglichen Löschung durch eine Anonymisierung ebenfalls erfüllbar.

Ihnen fehlt möglicherweise ein Experte, der die vielen heraufordernden Fragen zur Anonymisierung beantworten kann? Wir unterstützen Sie gerne!

Hilfreiche Links:

  • Positionspapier des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 29.06.2020
  • Bitkom Konsultation zur Anonymisierung
  • Stellungnahme WP216 der ARTIKEL-29-DATENSCHUTZGRUPPE als PDF zu Anonymisierungstechniken

Autor: Thorsten Jordan, 25.06.2021

Bild von geralt auf Pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.