Anonymisierung personen­bezogener Daten

Basis für Codes of Conduct zur Anonymisierung

Im zweiten Teil des Projekts wurde die Grundlage für allgemein anerkannte Regeln zum Anonymisieren von Daten geschaffen werden. Verhaltensregeln (Codes of Conduct) nach Art. 40 DSGVO haben als behördlich bestätigte Interpretationshilfe des Datenschutzgeseztes für die Praxis hohen Wert, denn sie mindern Unsicherheiten in dem erfassten Regelungsfeld und fördern einheitliche Rechtsanwendung. Die freiwillige Verpflichtung eines Unternehmens auf genehmigte Codes of Conduct fördert die Selbstregulierung der Wirtschaft und erleichtert den Nachweis datenschutzrechtlicher Konformität.

Es soll mit den im Projekt erstellten Gundregeln eine Basis gelegt werden, auf der Branchenverbände und Unternehmensvereinigungen aufsetzen können, um sektorspezifische Verhaltensregeln im Sinne von Art. 40 DSGVO auszuarbeiten und diese der zuständigen Datenschutzaufsicht zur Genehmigung vorzulegen. Mit Blick auf die bei der Anonymisierung gleichgerichtete Zielstellungen in allen Wirtschaftszweigen bietet es sich an, einen allgemeinen Mindeststandard mit sektorspezifisch zu ergänzenden Grundregeln zur Anonymisierung zu schaffen: Die hier erarbeiteten Basisregeln zur Anonymisierung bilden den Allgemeinen Teil, die bereichsspezifischen Ergänzungen bilden jeweils den Besonderen Teil. Ziel sind verschiedene DSGVO-Verhaltensregeln für verschiedene Sektoren (z.B. Mobilität, Gesundheit), die auf demselben Grundkanon aufbauen. 

Hintergrund

Die praktische Bedeutung des Anonymisierens personenbezogener Daten ist sehr hoch. Mit dem Schritt der Entfernung des Personenbezuges wird der Geltungsbereich des Datenschutzrechts verlassen, und es bieten sich für die mit Blick auf mögliche Risiken für Datensubjekte „entschärften“ Datensätze deutlich größere Einsatzmöglichkeiten. Dennoch ist dieser entscheidende Vorgang gesetzlich nicht besonders geregelt, so dass Unsicherheiten bestehen. Es fehlt Orientierung, da keine offiziellen Vorgaben oder Leitlinien zum praktischen Vorgehen beim Anonymisieren von Daten bestehen. Als Folge werden Nutzungspotentiale von Daten nicht gehoben.

In der DSGVO werden anonyme und anonymisierte Daten allein in der Gesetzesbegründung erwähnt. Das Gesetz legt nicht fest, ab wann ein Anonymisierungsverfahren und -ergebnis als hinreichend angesehen werden kann, damit der Anwendungsbereich der DSGVO nicht berührt ist. Uneinheitlich beurteilt wird bereits die Frage, ob die Anonymisierung personenbezogener Daten einen Verarbeitungvorgang darstellt. Fraglich ist sodann, auf welche Rechtsgrundlage die Anonymisierung als Verarbeitung gestützt werden kann und welche weiteren rechtlichen Voraussetzungen und Bedingungen für die Anonymisierung gelten und von Unternehmen erfüllt werden müssen. 

Für den Bereich der Anonymisierung bedarf es angesichts dessen Leitlinien für eine grundrechtsschonende und zugleich handhabbare Datenschutzpraxis. Mit dem Angebot der Stiftung Datenschutz soll Orientierung geschaffen und Rechtssicherheit gefördert werden. Anzustreben ist eine „best practice“, die in wirtschaftlich umsetzbarer Weise aufzeigt, wie auf dem Stand der Technik ein ausreichendes Maß an Sicherheit vor zukünftig womöglich strafbewehrter Re-Personalisierung/De-Anonymisierung gewährleistet werden kann. 

Aktueller Anlass des Stiftungsprojekts zur Anonymisierung sind die Aktivitäten der EU-Kommission im Datenrecht. In mehreren der bereits beschlossenen oder noch abzustimmenden Rechtsakte auf europäischer Ebene spielt die Grenze des Personenbezuges eine entscheidende Rolle für die Anwendung und Abgrenzung der neuen Regulierung. Weder der vom Data Governance Act vorgesehene Datenaltruismus noch ein allgemein angestrebtes verstärktes Teilen von Daten können vorankommen, solange beim Entfernen des Personenbezuges für die datenschutzrechtlich verantwortlichen Organisationen Unsicherheiten bestehen. Es braucht Klarheit über das herzustellende Maß an Anonymität und über das erforderliche konkrete Vorgehen zum Erreichen eines belastbaren Anonymitätsgrades.