Anonymisierung
Anonymisierung bezeichnet die Verarbeitung personenbezogener Daten derart, dass eine Zuordnung zu einer bestimmten Person nicht mehr oder nur mit unverhältnismäßig hohem Aufwand möglich ist. Anonymisierte Daten fallen nicht mehr unter die DSGVO.
Ausführliche Erklärung
Anonymisierung ist ein zentrales Instrument im Datenschutz, um den Personenbezug von Daten dauerhaft zu entfernen. Im Gegensatz zur Pseudonymisierung, bei der die Zuordnung mit Zusatzinformationen wiederhergestellt werden kann, soll Anonymisierung die Re-Identifizierung praktisch unmöglich machen. Die DSGVO selbst definiert den Begriff nicht im Gesetzestext, sondern erwähnt ihn lediglich in Erwägungsgrund 26. Dieser stellt klar, dass anonyme Daten nicht mehr dem Anwendungsbereich der Datenschutz-Grundverordnung unterliegen – ein erheblicher Vorteil für Unternehmen, die Daten ohne datenschutzrechtliche Auflagen nutzen möchten.
Für KMU ist Anonymisierung besonders relevant, wenn Daten für Analysen, Statistiken oder zur Weiterentwicklung von Produkten verwendet werden sollen, ohne dass die betroffenen Personen identifizierbar bleiben müssen. Nach herrschender Meinung der Aufsichtsbehörden ist eine relative Anonymisierung ausreichend: Das Re-Identifikationsrisiko muss nicht absolut ausgeschlossen werden, sondern nur so weit gesenkt, dass eine Wiederherstellung des Personenbezugs unverhältnismäßigen Aufwand an Zeit, Kosten und Technik erfordern würde. Entscheidend ist dabei der Stand der Technik zum Zeitpunkt der Anonymisierung.
Die Anonymisierung selbst stellt eine Datenverarbeitung im Sinne der DSGVO dar und benötigt daher eine Rechtsgrundlage – etwa berechtigte Interessen, Einwilligung oder spezielle Erlaubnistatbestände für Forschungszwecke. Die österreichische Datenschutzbehörde hat in einem Bescheid aus dem Jahr 2018 klargestellt, dass Anonymisierung auch zur Erfüllung der Löschpflicht nach Art. 17 DSGVO genutzt werden kann. Unternehmen haben damit ein Wahlrecht zwischen endgültiger Vernichtung und Anonymisierung, sofern sichergestellt ist, dass weder der Verantwortliche selbst noch Dritte ohne unverhältnismäßigen Aufwand den Personenbezug wiederherstellen können.
Ein wesentliches Risiko besteht darin, dass sich durch technischen Fortschritt und zusätzliche Datenquellen einst anonymisierte Daten später doch wieder re-identifizieren lassen. KMU sollten daher Anonymisierungsverfahren regelmäßig überprüfen und an den aktuellen Stand der Technik anpassen. Zudem ist zu beachten, dass versteckte Datenbestände wie Logdateien oder Backups die Anonymisierung unterlaufen können, wenn dort weiterhin Personenbezüge vorhanden sind.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 15 Mitarbeitenden möchte ihre Beratungsleistungen durch statistische Auswertungen optimieren. Sie anonymisiert dafür Mandantendaten, indem Namen durch zufällige Codes ersetzt, Geburtsdaten auf Altersgruppen aggregiert und Adressen auf Postleitzahlenebene reduziert werden. Zusätzlich werden alle Logdateien bereinigt. So können Trends analysiert werden, ohne dass einzelne Mandanten identifizierbar bleiben – eine DSGVO-Rechtsgrundlage ist für die weitere Verarbeitung dieser Daten nicht mehr erforderlich.