Der Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) erstreckt sich auf personenbezogene Daten und stellt eine Reihe von Anforderungen für eine rechtmäßige Verarbeitung dieser Daten. Diese Anforderungen entfallen jedoch, wenn der Personenbezug vollständig aufgehoben wird und auch nachträglich nicht wieder hergestellt werden kann. Mit anonymisierten Daten können Unternehmen Anstrengungen einsparen und ihrer Kundschaft ein Alleinstellungsmerkmal gegenüber der Konkurrenz anbieten.
Datenkategorien
Die DSGVO unterscheidet grundsätzlich zwischen personenbezogenen und anonymisierten Daten:
- Personenbezogenen Daten lassen sich in sog. sensible Daten (Art. 9 DSGVO) oder nicht-sensible Daten unterteilen. Personenbezogene Daten beziehen sich auf identifizierte oder identifizierbare Personen oder sind pseudonymisiert, nachträglich pseudonymisiert oder verschlüsselt. Das Pseudonymisieren von Daten ist eine technische und organisatorische Maßnahme (sog. TOM), um ein höheres Datenschutzniveau zu erreichen. Es bleiben aber personenbezogene Daten. Denn kennt man die Zuordnung der Psyeudonyme, lässt sich der Personenbezug leicht wiederherstellen.
- Anonymen oder nachträglich anonymisierten Daten fehlt der Personenbezug und dieser soll grundsätzlich auch nicht wiederhergestellt werden können. Daher fallen sie auch nicht in den Anwendungsbereich der DSGVO, was bedeutet, dass die Pflichten zur Verarbeitung und Information laut DSGVO nicht für anonyme Daten gelten. Die Datenschutzgrundverordnung setzt somit einen Anreiz für Unternehmen, Geschäftsmodelle und Prozesse zu entwickeln, die auf anonymisierten Daten beruhen. Denn diese Datenkategorie bietet das höchste Schutzniveau für Betroffene.
Abgrenzung identifizierbarer und anonymer Daten
Die DSGVO schützt in erster Linie die Rechte privater Personen (sog. Betroffene) an ihren personenbezogenen Daten. Daher genügen für den Personenbezug auch Daten, welche nicht direkt, sondern lediglich indirekt auf eine Person schließen lassen. Es genügt, dass ein Daum oder ein Datensatz einer Person zugeordnet oder wiedererkannt werden kann. Als nicht unumstrittenes Beispiel dienen etwa die statischen IP-Adressen, welche in Verbindung mit weiteren Informationen des Telekommunikationsanbieters Rückschlüsse auf die nutzende Person zulassen.
Die Anforderungen an die Identifizierbarkeit dürfen allerdings nicht überspannt werden. Die DSGVO geht in Erwägungsgrund 26 davon aus, dass für eine Identifizierbarkeit alle Mittel berücksichtigt werden, die von dem Verantwortlichen nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Das schließt alle objektiven Faktoren, wie die Kosten und erforderlichen Zeitaufwand der Identifizierung ein. Der EuGH schränkte dies ein, indem er die Identifizierbarkeit ausschließt, wenn eine Identifizierung gesetzlich verboten ist oder praktisch nicht durchführbar wäre, es also einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft erfordern würde. Hier zieht der EuGH die Grenze zur Anonymität von Daten. Das bedeutet, dass von anonymen Daten ausgegangen werden kann, wenn der Personenbezug nicht direkt oder indirekt hergestellt werden kann. Oder, wenn ein unverhältnismäßig hoher Aufwand notwendig ist, um den Personenbezug herzustellen.
Die Abgrenzung kann somit nicht durch eine einfache Schwarz-Weiß-Betrachtung erfolgen, dass eine Person identifizierbar ist oder nicht. Vielmehr kommt es konkret auf die Perspektive, die Umstände und den zu betreibenden Aufwand des Verantwortlichen an, einen Personenbezug herzustellen. Ein Restrisiko der Identifizierbarkeit sollte demnach zulässig sein, sodass ein kompletter Ausschluss der Wiederherstellung des Personenbezugs nicht gefordert werden kann.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass die Verarbeitung von anonymen Daten das höchste Datenschutzniveau bietet und es vor allem um die Abgrenzung zu Daten geht, aus denen sich der Personenbezug wieder herstellen lässt. Ist die Identifizierbarkeit unmöglich, liegen anonyme Daten vor. Ist die Identifizierbarkeit grundsätzlich möglich, kann von einem risikobasierten Ansatz ausgegangen werden. Es bedarf dann einer Einzelfallbetrachtung, um festzustellen, ob die Identifizierung einen unverhältnismäßigen Aufwand an Zeit, Kosten oder Arbeitsaufwand erfordert, um die Eigenschaft als anonymes Datum bejahen zu können.
