Anonymisierung personenbezogener Daten
Bei der Stiftung Datenschutz wurden Vorschläge für mehr Orientierung beim Anonymisieren von Daten erarbeitet. Berücksichtigt wurden die Anforderungen des Datenschutzrechts ebenso wie wirtschaftliche und technische Gesichtspunkte. Mit dem Aufzeigen datenschutzgerechter und mit verhältnismäßigem Aufwand umsetzbarer Vorgaben soll das rechtskonforme Teilen und Zugänglichmachen von Daten gefördert werden. Das Projekt der Bundesstiftung greift die entsprechende Ankündigung in der aktuellen Koalitionsvereinbarung auf (S. 17: „Wir fördern Anonymisierungstechniken und schaffen Rechtssicherheit durch Standards").
Praxisleitfaden zur Anonymisierung
Auf der neutralen Plattform der Stiftung Datenschutz wird ein allgemeiner und branchenübergreifender Praxisleitfaden zum Anonymisieren von Daten bereitgestellt. Bei der Erarbeitung wurden auch bereits bestehende Leitlinien und Handlungsvorschläge in Betracht gezogen. Vor allem der BDI-Praxisleitfaden zur Anonymisierung des Bundesverbandes der Industrie aus 2020 und der Bitkom-Leitfaden zur Anonymisierung und Pseudonymisierung von Daten für Projekte des maschinellen Lernens aus demselben 2020 sind hier zu nennen. Auch die Stellungnahme der Art. 29-Datenschutzgruppe aus 2014 zu Anonymisierungstechniken (WP 216) und weitere vorhandene Leitfäden wie der zum Projekt Openredact sowie etablierte Verfahren wie K-Anonymität und Differential Privacy sind berücksichtigt, außerdem das Positionspapier des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit aus 2020.
Basis für Codes of Conduct zur Anonymisierung
Im zweiten Teil des Projekts wurde die Grundlage für allgemein anerkannte Regeln zum Anonymisieren von Daten geschaffen werden. Verhaltensregeln (Codes of Conduct) nach Art. 40 DSGVO haben als behördlich bestätigte Interpretationshilfe des Datenschutzgeseztes für die Praxis hohen Wert, denn sie mindern Unsicherheiten in dem erfassten Regelungsfeld und fördern einheitliche Rechtsanwendung. Die freiwillige Verpflichtung eines Unternehmens auf genehmigte Codes of Conduct fördert die Selbstregulierung der Wirtschaft und erleichtert den Nachweis datenschutzrechtlicher Konformität.
Es soll mit den im Projekt erstellten Gundregeln eine Basis gelegt werden, auf der Branchenverbände und Unternehmensvereinigungen aufsetzen können, um sektorspezifische Verhaltensregeln im Sinne von Art. 40 DSGVO auszuarbeiten und diese der zuständigen Datenschutzaufsicht zur Genehmigung vorzulegen. Mit Blick auf die bei der Anonymisierung gleichgerichtete Zielstellungen in allen Wirtschaftszweigen bietet es sich an, einen allgemeinen Mindeststandard mit sektorspezifisch zu ergänzenden Grundregeln zur Anonymisierung zu schaffen: Die hier erarbeiteten Basisregeln zur Anonymisierung bilden den Allgemeinen Teil, die bereichsspezifischen Ergänzungen bilden jeweils den Besonderen Teil. Ziel sind verschiedene DSGVO-Verhaltensregeln für verschiedene Sektoren (z.B. Mobilität, Gesundheit), die auf demselben Grundkanon aufbauen.
Hintergrund
Die praktische Bedeutung des Anonymisierens personenbezogener Daten ist sehr hoch. Mit dem Schritt der Entfernung des Personenbezuges wird der Geltungsbereich des Datenschutzrechts verlassen, und es bieten sich für die mit Blick auf mögliche Risiken für Datensubjekte „entschärften“ Datensätze deutlich größere Einsatzmöglichkeiten. Dennoch ist dieser entscheidende Vorgang gesetzlich nicht besonders geregelt, so dass Unsicherheiten bestehen. Es fehlt Orientierung, da keine offiziellen Vorgaben oder Leitlinien zum praktischen Vorgehen beim Anonymisieren von Daten bestehen. Als Folge werden Nutzungspotentiale von Daten nicht gehoben.
In der DSGVO werden anonyme und anonymisierte Daten allein in der Gesetzesbegründung erwähnt. Das Gesetz legt nicht fest, ab wann ein Anonymisierungsverfahren und -ergebnis als hinreichend angesehen werden kann, damit der Anwendungsbereich der DSGVO nicht berührt ist. Uneinheitlich beurteilt wird bereits die Frage, ob die Anonymisierung personenbezogener Daten einen Verarbeitungvorgang darstellt. Fraglich ist sodann, auf welche Rechtsgrundlage die Anonymisierung als Verarbeitung gestützt werden kann und welche weiteren rechtlichen Voraussetzungen und Bedingungen für die Anonymisierung gelten und von Unternehmen erfüllt werden müssen.
Für den Bereich der Anonymisierung bedarf es angesichts dessen Leitlinien für eine grundrechtsschonende und zugleich handhabbare Datenschutzpraxis. Mit dem Angebot der Stiftung Datenschutz soll Orientierung geschaffen und Rechtssicherheit gefördert werden. Anzustreben ist eine „best practice“, die in wirtschaftlich umsetzbarer Weise aufzeigt, wie auf dem Stand der Technik ein ausreichendes Maß an Sicherheit vor zukünftig womöglich strafbewehrter Re-Personalisierung/De-Anonymisierung gewährleistet werden kann.
Aktueller Anlass des Stiftungsprojekts zur Anonymisierung sind die Aktivitäten der EU-Kommission im Datenrecht. In mehreren der bereits beschlossenen oder noch abzustimmenden Rechtsakte auf europäischer Ebene spielt die Grenze des Personenbezuges eine entscheidende Rolle für die Anwendung und Abgrenzung der neuen Regulierung. Weder der vom Data Governance Act vorgesehene Datenaltruismus noch ein allgemein angestrebtes verstärktes Teilen von Daten können vorankommen, solange beim Entfernen des Personenbezuges für die datenschutzrechtlich verantwortlichen Organisationen Unsicherheiten bestehen. Es braucht Klarheit über das herzustellende Maß an Anonymität und über das erforderliche konkrete Vorgehen zum Erreichen eines belastbaren Anonymitätsgrades.
Schriftstücke
Im Projekt Anonymisierung bei der Stiftung Datenschutz wurden Vorschläge für mehr Orientierung beim Anonymisieren von Daten erarbeitet. Mit dem allgemeinen und branchenübergreifenden Praxisleitfaden und den Grundsatzregeln für die Anonymisierung personenbezogener Daten stehen erste Dokumente zum Download bereit.
Das Textbuch Anonymisierung und Pseudonymisierung von Daten
Der Praxisleitfaden für die Anonymisierung personenbezogener Daten und die Grundsatzregeln für die Anonymisierung personenbezogener Daten wurden außerdem im Textbuch Anonymisierung und Pseudonymisierung von Daten. Gesetzestexte, Leitfaden und Grundregeln für die Praxis zusammengefasst. Darüber hinaus beinhaltet das Buch Gesetzesmaterialien, die einen Überblick über ausgewählte gesetzliche Verankerungen einer Anonymisierung und Pseudonymisierung von Daten geben.
DatenTag: "Anonymisierung von Daten"
Zum Projektthema "Anonymisierung von Daten" fand am 7. Dezember 2022 die Konferenz DatenTag der Stiftung Datenschutz statt. Die Videoaufzeichnung, die Audioaufzeichnung und die Präsentationen der Referent*innen sind jetzt verfügbar.
Zum DatenTag