31.07.2020

BfDI veröffentlicht Positionspapier zur Anonymisierung unter der DSGVO

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) hat Ende Juni 2020 ein Positionspapier zur Anonymisierung unter der DSGVO veröffentlicht („Positionspapier“), unter besonderer Berücksichtigung der Telekommunikations-Branche. Vorausgegangen war die erste öffentliche Konsultation des BfDI, an der sich die SKW-Rechtsanwälte Martin Schweinoch und Dr. Stefan Peintinger im Rahmen der Plattform Industrie 4.0 beteiligt hatten.

Eine Anonymisierung personenbezogener Daten hat für viele Unternehmen aus zahlreichen Gründen große Bedeutung. Mit anonymisierten Daten können etwa Systeme mit künstlicher Intelligenz („KI“) trainiert sowie eigene Leistungen und Abläufe verbessert werden.

Kommentierung des Positionspapiers des BfDI

Der BfDI versteht in seinem Positionspapier den Begriff „Anonymisierung“ als Aufhebung des Personenbezugs eines Datums oder Datensatzes. Nach Ansicht des BfDI ist dafür keine absolute Anonymisierung erforderlich, nach der niemand einen Personenbezug (wieder) herstellen könnte. Datenschutzrechtlich ausreichend sei in der Regel, dass der Personenbezug derart aufgehoben wird, dass eine Re-Identifizierung praktisch nicht durchführbar ist. Dies könne regelmäßig angenommen werden, wenn der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann.

Allerdings sieht der BfDI offenbar jede Anonymisierung als „Verarbeitung“ im Sinne der DSGVO an. Auch wenn andere Datenschützer diese Meinung teilen, ist diese Ansicht wohl zu pauschal. Es bestehen vielfältige technische Umsetzungen, um mit ursprünglich personenbezogenen Daten anonym umzugehen. Daher wäre differenziert zu betrachten, ob die konkrete Umsetzung einer Anonymisierung zugleich eine Verarbeitung personenbezogener Daten nach der DSGVO darstellt. Unternehmen wollen und sollten Anonymisierung als Datenschutzinstrument und für bessere und neue (datengetriebene) Geschäftsmodelle einsetzen können.

Der BfDI geht dann auf verschiedene Rechtsgrundlagen für eine Anonymisierung personenbezogener Daten ein. Grundsätzlich könnten alle Erlaubnistatbestände der DSGVO genutzt werden, wie etwa eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder ein überwiegendes berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Inhaltlich befasst sich der BfDI insbesondere mit einer Zweckänderung (Art. 6 Abs. 4 DSGVO), die zusammen mit der ursprünglichen Rechtsgrundlage eine Anonymisierung ermöglichen könne. Allgemein könne angenommen werden, dass die Prüfung der Voraussetzungen der jeweiligen Zweckänderung zugunsten der Anonymisierung ausfallen werde. Dies bedeutet zum Beispiel, dass zur Erfüllung einer Kundenbestellung verarbeitete personenbezogene Daten anonymisiert werden können. Der Verantwortliche könnte mit diesen anonymisierten Daten dann eine KI trainieren oder seine Angebotspalette verbessern.

Der BfDI führt zudem aus, eine datenschutzrechtliche Löschpflicht könne durch Anonymisierung erfüllt werden (Art. 17 Abs. 1 lit. a in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO).

Kritisch zu hinterfragen ist die Auffassung des BfDI, die Überprüfung der Anonymisierung auf deren Validität sei eine fortwährende Aufgabe des Verantwortlichen. Das könnte als eine Art von „Datenbeobachtungspflicht“ missverstanden werden. Zwar sind Anonymisierungsverfahren regelmäßig nach aktuellem Stand der Technik zu bewerten. Allerdings sind und bleiben (richtig) anonymisierte Daten anonym, bis später durch neue Verarbeitung ein (neuer) Personenbezug entsteht.

Der BfDI führt schließlich aus, dass die weiteren Anforderungen der DSGVO zu beachten sind. Dazu gehören insbesondere ausreichende Datenschutzhinweise und – im Regelfall – auch eine Datenschutzfolgenabschätzung. Gerade Letzteres ist wohl kritisch zu hinterfragen. Für die notwendige Risikobewertung sind gute Argumente vertretbar, weshalb in vielen Fällen eine Datenschutzfolgenabschätzung gerade nicht erforderlich ist, wenn der Personenbezug aufgehoben wird.

Aussichten und praktische Relevanz für Unternehmen

Das Positionspapier des BfDI im Rahmen seiner Zuständigkeit für die Bundesverwaltung sowie im Post- und Telekommunikationsbereich ist sicher nicht das Ende der Diskussion über die datenschutzrechtliche Anonymisierung. Landesaufsichtsbehörden hatten in der Konsultation auch andere Auffassungen vertreten. Gleichzeitig sind einige Aussagen des BfDI als Klarstellungen zu begrüßen.

Allerdings erscheint eine differenzierte Betrachtung nicht nur für den Datenumgang (nicht alles ist „Verarbeitung“) erforderlich, sondern etwa auch für das Erfordernis einer Datenschutzfolgenabschätzung oder eine „Datenbeobachtungspflicht“. Die genauere Analyse kann es Unternehmen ermöglichen, ihre viel zitierten Datenschätze datenschutzkonform zu heben und nutzbar zu machen.

SKW Schwarz wird sich in diese Diskussion weiter aktiv einbringen.