In diesem Blogbeitrag entmystifizieren wir die Konzepte der Pseudonymisierung und Anonymisierung im Rahmen des Datenschutzrechts. Wir gehen auf die praktischen Unterschiede zwischen den beiden Begriffen ein und beleuchten die jüngste Entscheidung des Gerichts der Europäischen Union, welches erhebliche Auswirkungen auf die Datenverarbeitungspraxis haben kann. Die richtige Unterscheidung in diesem Fall vorzunehmen ist dabei entscheidend für die Planung deiner Datenverarbeitungsstruktur.
Grundsätzlich handelt es sich um eine Pseudonymisierung, wenn eine Re-Identifizierung der Person möglich ist, was im Ergebnis die Einhaltung der anwendbaren Datenschutzgesetze erfordert. Wenn personenbezogene Daten hingegen wirklich anonymisiert sind und eine Re-Identifizierung nicht möglich ist, fallen sie nicht mehr unter das Regime der einschlägigen Datenschutzgesetze und können daher ohne jegliche Datenschutzgrenzen verwendet werden. Die Frage ist jedoch, ob Daten, die jemand anderes (aber nicht das Unternehmen, das die Daten verarbeitet) wieder identifizieren kann, als pseudonym oder anonym gelten. In einer kürzlich ergangenen Entscheidung hat das Gericht der EU die Auffassung bestätigt, dass Daten, die ein Unternehmen mit den ihm zur Verfügung stehenden Mitteln vernünftigerweise nicht re-identifizieren kann, für die Zwecke dieses Unternehmens als anonym gelten. Gegen diese Entscheidung liegt allerdings eine Berufung beim Gerichtshof der EU vor, welcher nun auf diese in der Praxis hoch relevante Frage eine finale Antwort finden muss.
Definitionen von Pseudonymisierung und Anonymisierung
Rechtliche Definition nach der DSGVO und dem DSG
In der EU regelt die DSGVO Definitionen für die Pseudonymisierung und Anonymisierung. Gemäss der DSGVO werden:
- Bei der Pseudonymisierung personenbezogene Daten so verarbeitet, dass sie ohne gesonderte Zusatzinformationen unter strengen Sicherheitsmaßnahmen nicht mit einer bestimmten Person in Verbindung gebracht werden können.
- Bei der Anonymisierung hängt es davon ab, ob die betroffene Person identifiziert werden kann. Wenn sie nicht identifiziert werden kann, sind die Daten anonymisiert. Die Identifizierbarkeit wird durch alle Mittel bestimmt, die verwendet werden dürfen, um die Person direkt oder indirekt zu identifizieren.
Das Schweizer Bundesgesetz über den Datenschutz (DSG) enthält keine expliziten Definitionen, behandelt die Anonymisierung aber ähnlich wie die Löschung, was bedeutet, dass die betroffene Person nicht mehr identifiziert werden kann. Die Pseudonymisierung hingegen macht die Identifizierung schwieriger, aber nicht unmöglich.
Angesichts der unklaren Begriffe und der verschwommenen Grenzen zwischen ihnen haben sowohl Aufsichtsbehörden als auch Rechtsexperten ihren Beitrag geleistet, um ein klareres Verständnis beider Konzepte zu schaffen und Unternehmen auf einen datenschutzkonformen Weg zu führen.
Pseudonymisierung und Anonymisierung in der Praxis
Pseudonymisierung ist also im Allgemeinen eine Technik, bei der identifizierbare Merkmale in den Daten durch andere Identifikatoren ersetzt werden. Dieses Verfahren macht es schwierig, wenn auch nicht unmöglich, die Herkunft des betroffenen Datensubjekts zurückzuverfolgen. Dies ist für Unternehmen besonders wichtig, da es ein gewisses Maß an Analyse ermöglicht und gleichzeitig die Identität des Einzelnen schützt.
Das Ersetzen identifizierbarer Informationen von Beschäftigten, Patienten oder Kunden (z. B. Namen) durch eindeutige Identifikatoren, die nur autorisiertem Personal zugänglich sind, stellt sicher, dass die Daten für Forschungs- oder Analysezwecke verwendet werden könnten, ohne die Privatsphäre des Einzelnen zu gefährden. Hashing, Verschlüsselung und Tokenisierung sind dabei nützliche Techniken, um die Pseudonymisierung zu gewährleisten. Es ist jedoch zu beachten, dass pseudonymisierte Daten immer noch als personenbezogene Daten gelten. Daher müssen Unternehmen robuste technische und organisatorische Maßnahmen ergreifen, um die Rückgängigmachung der Pseudonymisierung von Daten zu verhindern, und sie müssen die geltenden Datenschutzgesetze vollständig einhalten, einschließlich der Zweckbindung und der Festlegung einer Rechtsgrundlage für die Verarbeitung.
Bei der Anonymisierung hingegen werden personenbezogene Daten so verändert, dass eine Identifizierung der Person ohne unverhältnismäßigen Aufwand vernünftigerweise praktisch unmöglich wird, so dass die Daten nicht mehr in den Anwendungsbereich von Datenschutzregelungen wie der DSGVO und des DSG fallen. Die Anonymisierung ist auch ein Mittel, um die Löschung von Daten zu vermeiden und sie stattdessen z.B. für statistische Zwecke und Schulungen zu verwenden. Dieses Verfahren bietet ein hohes Maß an Schutz für personenbezogene Daten, indem es sicherstellt, dass die Identität des Einzelnen auf nicht umkehrbare Weise verborgen bleibt. Beispiele für Anonymisierungstechniken sind Randomisierung, Aggregation und Generalisierung, die oft in mehreren Schichten kombiniert werden, um sicherzustellen, dass eine erneute Identifizierung unmöglich wird.
Um eine echte Anonymisierung zu erreichen, sind oft komplexe technische Anpassungen erforderlich, die sicherstellen, dass keine Kombination von Datenpunkten zu einer individuellen Identifizierung führen kann.
Rechtssache T-557/20 des Gerichts der EU
Während dies der bisherige Status quo war, hat das Gericht der EU kürzlich weitere Informationen über den Inhalt der beiden Konzepte sowie die Möglichkeiten der Unternehmen, zwischen ihnen zu unterscheiden, bereitgestellt.
Der Fall dreht sich um den Austausch von Informationen zwischen dem Einheitlichen Abwicklungsausschuss (einer Regulierungsbehörde) (SRB) und einer Beratungsfirma. Der SRB argumentierte, dass die Informationen, die er dem Beratungsunternehmen zur Verfügung stellte und die Kommentare von Anteilseignern und Gläubigern enthielten, keine Rückschlüsse auf bestimmte Personen zuließen, da sie anonymisiert waren. Er ging dabei davon aus, die Daten seien anonym, weil sie mit einem Code versehen waren, der eine Identifizierung durch das Beratungsunternehmen nicht zuließ. Der Europäische Datenschutzbeauftragte (EDSB) stimmte dem jedoch nicht zu. Er argumentierte, dass selbst mit diesem Code die Informationen aufgrund ihres Inhalts und Zwecks immer noch mit Personen in Verbindung gebracht werden könnten. Das Gericht gab dem SRB schließlich Recht und betonte, dass der EDSB die Möglichkeit des Beratungsunternehmens, Einzelpersonen anhand der bereitgestellten Informationen zu identifizieren, nicht angemessen berücksichtigt hatte.
Der vorliegende Fall unterstreicht, wie wichtig es ist, die Position und die Befugnisse der beteiligten Parteien bei der Unterscheidung zwischen diesen Verfahren zu berücksichtigen. Einfach ausgedrückt können Unternehmen aus diesem Fall zwei wichtige Erkenntnisse ziehen:
- Daten können auch dann als personenbezogene Daten angesehen werden, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit einer bestimmten Person in Verbindung gebracht werden können: Der Gerichtshof betonte, dass bei der Feststellung, ob sich Informationen auf eine “bestimmbare natürliche Person” beziehen, alle angemessenen Möglichkeiten zur Identifizierung berücksichtigt werden müssen. Dazu gehört auch die Bewertung von Faktoren wie die Aussonderung und der für die Identifizierung erforderliche Aufwand. Wenn die personenbezogenen Daten lediglich pseudonymisiert werden, müssen die Unternehmen jedenfalls ihre datenschutzrechtlichen Verpflichtungen erfüllen.
- Die Identifizierbarkeit hängt auch davon ab, welche angemessenen Mittel dem Unternehmen zur Verfügung stehen, um eine Person entweder direkt oder indirekt zu identifizieren: In Anbetracht des vorangegangenen Punktes betonte der Gerichtshof schließlich, wie wichtig es ist, die Rolle des Unternehmens bei der Bewertung der Identifizierbarkeit und die ihm zur Verfügung stehenden Mittel aus seiner Perspektive zu berücksichtigen. Wenn das Unternehmen mit den ihm zur Verfügung stehenden Mitteln vernünftigerweise in der Lage ist, die betroffene Person wieder zu identifizieren, handelt es sich um einen Pseudonymisierungsprozess. Ist das Unternehmen hingegen nicht in der Lage, die betroffene Person mit den ihm zur Verfügung stehenden Mitteln und ohne unverhältnismäßigen Aufwand zu identifizieren, handelt es sich um einen Anonymisierungsprozess.
Gegen diese Entscheidung wurde ein Rechtsmittel beim Gerichtshof der Europäischen Union eingelegt, der darüber entscheiden muss, ob die Schlussfolgerungen des Gerichts stichhaltig sind, oder ob er anderer Meinung ist und eine endgültige Auslegung der beiden Begriffe vornimmt. Der Gerichtshof hat vor kurzem jedenfalls die Gelegenheit verpasst, in einem ähnlichen Fall zu Fahrzeugidentifizierungsnummern (C-319/22) einen klaren Standpunkt zu dieser Frage einzunehmen, weshalb hier nach wie vor auf eine endgültige Antwort gewartet werden muss.
Diese Entscheidung kann jedenfalls erhebliche Auswirkungen auf Unternehmen und ihre Datenverarbeitungsaktivitäten haben. Es unterstreicht, dass Daten für eine Partei personenbezogene Daten sein können (pseudonymisierte Daten), während sie für eine andere Partei, die nicht über die Mittel verfügt, sie wieder zu identifizieren (anonymisierte Daten), nicht denselben Status haben müssen. Unternehmen müssen die Fähigkeiten der an der Datenverarbeitung beteiligten Parteien sorgfältig prüfen, um das erforderliche Schutzniveau zu bestimmen.
Fazit: Wichtige Schlussfolgerungen für Unternehmen
Die Einführung von Pseudonymisierungs- oder Anonymisierungstechniken ist keine leichte Aufgabe, aber notwendig, um ein hohes Datenschutzniveau bei der Datenverarbeitung durch Unternehmen zu gewährleisten. Die jüngste Entscheidung des Gerichts der EU unterstreicht, wie wichtig es ist, bei der Datenverarbeitung klar zwischen Pseudonymisierung und Anonymisierung und ihren unterschiedlichen rechtlichen Folgen zu unterscheiden.
- Wenn personenbezogene Daten wirklich anonymisiert sind, fallen sie nicht mehr unter das Datenschutzrecht. Die Anonymisierung ist daher auch ein Mittel, um die Löschung von Daten zu vermeiden und sie stattdessen z. B. für statistische Zwecke und Schulungen zu verwenden. Beispiele für Anonymisierungstechniken sind Randomisierung, Aggregation und Generalisierung, die oft in mehreren Ebenen kombiniert werden.
- Unternehmen müssen sorgfältig prüfen, ob sie mit den ihnen vernünftigerweise zur Verfügung stehenden Mitteln eine betroffene Person anhand der verarbeiteten Daten wieder identifizieren können. Wenn eine Re-Identifizierung mit den ihnen zur Verfügung stehenden Mitteln möglich ist, handelt es sich um eine Pseudonymisierung, die die Einhaltung der Datenschutzgesetze erfordert. Die Pseudonymisierung, z. B. durch Hashing, Verschlüsselung und Tokenisierung, ist jedoch eine nützliche Sicherheitsmaßnahme und stellt sicher, dass die Daten für Forschungs- oder Analysezwecke verwendet werden können, ohne die Privatsphäre des Einzelnen zu gefährden.
Zögert nicht, einen kostenlosen Anruf mit unseren Experten zu vereinbaren, um mehr über unsere Datenschutz-Services zu erfahren!