Was ist der Unterschied zwischen Anonymisieren und Pseudonymisieren?
Hinsichtlich dieser Frage durfte ich in den vergangenen Jahren schon so manche Diskussion führen. Gegenwärtig beginne ich mit einer Gegenfrage: „Weshalb ist das relevant zu wissen?” In fast allen Fällen stellt sich heraus, dass der Fragesteller auf der Suche nach einer Bestätigung der Annahme ist, dass anonymisierte Daten nicht in den Anwendungsbereich des Datenschutzgesetzes fallen und pseudonymisierte Daten durchaus.
Streng genommen kann das eine korrekte Aussage sein, jedoch leider nur, wenn man die Definitionen von Anonymisieren und Pseudonymisieren verwendet, wie sie im Gesetz stehen. Sie weichen von den Begriffsbestimmungen ab, wie sie im Alltag verstanden werden. Ich habe das einmal auf den Prüfstand gestellt und eine Reihe von Familienmitgliedern und Freunden gebeten, ein paar Daten für mich zu anonymisieren. Ausnahmslos beschränkten sie sich auf das Löschen der unmittelbar identifizierenden Informationen, wie den Namen oder die Steuernummer oder indem sie einen Augenbalken auf das Foto klebten.
Persönlich halte ich es für einen Fehler des Gesetzgebers, eine abweichende Definition van „anonym“ ins Leben zu rufen und diesen Begriff nicht explizit zu definieren. Es wäre besser gewesen, das Wort gar nicht zu verwenden.
Anonymisieren und Pseudonymisieren in der DSGVO
Wie werden die Pseudonymisierung und Anonymisierung im Sinne der DSGVO definiert? Anonym und anonymisieren werden im Gesetzestext gar nicht definiert. Dennoch taucht der Begriff an einer entscheidenden Stelle auf. Im Erwägungsgrund 26 steht:
„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten…”
Mit anderen Worten: Wenn die Informationen anonym sind, gilt das Gesetz nicht. Was hier eigentlich steht und was wahrscheinlich deutlicher gewesen wäre, ist: „… für Informationen, die keine personenbezogenen Informationen (mehr) sind.” Das Gesetz gilt nämlich für „die Verarbeitung personenbezogener Daten” (Artikel 2 Absatz 1) und für personenbezogene Daten gibt es durchaus eine Definition im Artikel 4(1), deren Kern lautet: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”.
Die DSGVO umfasst eine Definition des Begriffs Pseudonymisierung. Sie steht im Artikel 4(5):
„Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.”
Auch hier ist die Definition etwas weiter gefasst als üblich ist. Es betrifft hier damit mehr als rein technische Maßnahmen. Das habe ich bereits in der Vergangenheit erörtert.
Um den Unterschied zwischen diesen beiden Definitionen richtig deuten zu können, ist das von der gemeinsamen Aufsichtsinstanz 2014 veröffentlichte Dokument zur Anonymisierung ‘WP216’ entscheidend. Die Definitionen, die in diesem Dokument stehen, wurden in der DSGVO nicht wesentlich verändert und deshalb sind sie immer noch relevant: der ausschlaggebende Unterschied zwischen Anonymisieren und Pseudonymisieren ist, dass Anonymisieren ein unumkehrbarer Prozess ist und Pseudonymisieren einen umkehrbaren Prozess darstellt.
Indirekte Identifizierbarkeit
Umkehrbare Prozesse führen zu Daten, die immer noch personenbezogene Daten darstellen. Bei unumkehrbaren Prozessen stellt sich die Frage, ob die entstandenen Daten immer noch personenbezogene Daten sind. Das ist der zweite wichtige Punkt, aus dem häufig unstimmige Schlussfolgerungen gezogen werden. Die Frage, die es in einem solchen Fall zu beantworten gilt, lautet, ob die entstandenen Daten bestimmbar sind. Die Testfrage steht auch im Erwägungsgrund 26:
„Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.”
Häufig wird der Satzteil „oder von einem Dritten ” vernachlässigt. Die Tatsache, ob man die Daten einem Dritten überlässt oder nicht, ist in dem Test relevant. Der Test zwingt einen dazu, von dem Szenario auszugehen, dass die Daten öffentlich sind, was erlaubt wäre, wenn sie nicht mehr in den Anwendungsbereich des Gesetzes fallen würden. Man muss sich selbst die Frage stellen, ob es jemanden auf der Welt gibt, der die Möglichkeit hat, die Daten bzw. Teile davon Personen zuzuordnen. Die Antwort auf diese Frage lautet fast immer „Ja” und deshalb handelt es sich immer noch um personenbezogene Daten.
Die Möglichkeit der Zuordnung lässt sich fast nicht ausschließen
Wie komplex und nahezu unmöglich es ist, detaillierte personenbezogene Daten derart zu bearbeiten, dass es sich nicht mehr um personenbezogene Daten handelt, geht aus der WP216-Stellungnahme hervor. Nur in spezifischen und sehr gut entworfenen Verarbeitungen ist das möglich. Die Aufsichtsinstanz schreibt dementsprechend auch selbst:
„Entscheidend ist also die Erkenntnis, dass wenn der für die Verarbeitung Verantwortliche die ursprünglichen Daten (die eine Identifizierung zulassen) auf Ereignisebene nicht löscht und einen Teil dieses Datenbestands (beispielsweise nach der Entfernung oder Maskierung der Daten, die eine Identifizierung zulassen) weitergibt, beinhaltet der entstandene Datenbestand nach wie vor personenbezogene Daten. Nur wenn der für die Verarbeitung Verantwortliche die Daten auf einer Ebene aggregiert, auf der keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym bezeichnet werden. Ein Beispiel: Wenn eine Organisation Daten über individuelle Reisen erhebt, gelten die individuellen Reisemuster auf Ereignisebene für jede Partei nach wie vor als personenbezogene Daten, solange der für die Verarbeitung Verantwortliche (oder eine andere Person) weiterhin Zugang zu den ursprünglichen Rohdaten hat, selbst wenn direkte Identifikatoren aus dem an Dritte weitergegebenen Datenbestand entfernt wurden.”
Mit anderen Worten: Man kann maskieren, hashen, schwärzen, pseudonymisieren und anonymisieren, aber solange man nicht aggregiert (Daten in Gruppen zusammenführt) und die ursprünglichen Daten weiterhin vorliegen, bleibt jeder bearbeitete Bestand ein Bestand mit personenbezogenen Daten.
Schlussfolgerung
Lassen Sie sich vor allem nicht von Aussagen irreführen, dass Daten anonymisiert und/oder anonym sind und damit nicht mehr in den Anwendungsbereich der DSGVO fallen. Anonymisiert sind sie sicherlich, aber wahrscheinlich auch personenbezogen. Wenn man davon ausgeht, kann man sich auf ihre möglichst sorgfältige Verarbeitung konzentrieren.
Zurück zu der einleitenden Frage: Was ist der Unterschied zwischen Anonymisieren und Pseudonymisieren? Die Schlussfolgerung lautet: Im Kern gibt es nur einen Unterschied: Ist der Prozess umkehrbar oder nicht? Umkehrbare Techniken sind Formen des Pseudonymisierens und unumkehrbare Techniken sind Formen des Anonymisierens. Beides sind Beispiele für Techniken, die unter den Nenner Technologien zum Schutz der Privatsphäre (Privacy Enhancing Technologies, PET) fallen. Es handelt sich um wichtige Maßnahmen zum Schutz personenbezogener Daten. Je nach Situation ist zu bestimmen, welche Technik geeignet ist.
Zur Veranschaulichung des herrschenden Begriffsnebels werde ich in einem folgenden Artikel auf Pseudonymisierungsleistungen eingehen, die nachweislich unumkehrbar sind und damit im Sinne der DSGVO als Anonymisierung einzustufen wären.
Lesen Sie auch:
- Ein Jahr nach der Einführung der DSGVO – personenbezogene Daten dank Data Usage Board im Griff
- Was ist Pseudonymisieren?
- Wie lassen sich Datenanalysen gemäß dem neuen Datenschutzgesetz (DSGVO) weiterhin durchführen?
- Pseudonymisieren: selbst übernehmen oder Auftragsverarbeiter einschalten?
Edwin Kusters
Edwin Kusters konzipiert datengesteuerte Lenkungsmaßnahmen und ist bereits seit 18 Jahren an in der Regel sehr komplexen BI-Projekten beteiligt, dabei lag der Fokus bei den letzten sechs auf Datenschutzaspekten. Zunehmend musste er feststellen, dass immer mehr Kunden bestimmte Kundenanalyse-Anforderungen stellten, die gegen die geltenden Datenschutzrichtlinien verstießen. Er machte sich auf die Suche nach Lösungen, die es dagegen ermöglichten, solche Analysen datenschutzkonform durchzuführen. Technik und die Wahrung des Datenschutzes waren dabei die Ausgangspunkte. Gleichzeitig musste er den Kundenprioritäten, wie der Time-to-Market, der Qualität der Dienstleistung und den Compliancekosten Rechnung tragen. Die Gründung eines spezialsierten, selbstständigen Betriebs, gegenwärtig als Viacryp bekannt, stellte sich als eine der effektivsten Lösungen für die Auftraggeber heraus mit der sie dieser Komplexität die Stirn bieten können. Edwin Kusters hält regelmäßig auf Seminaren und Kongressen Vorträge zum Thema Datenschutz und ist Mitglied der NEN-Arbeitsgruppe zur Entwicklung einer Pseudonymisierungsnorm.