Die Anonymisierung personenbezogener Daten spielt im Datenschutz eine zentrale Rolle. Anonymisierung bedeutet, dass der Personenbezug vollständig beseitigt wird und auch der Verantwortliche (so nennt man den Datenverarbeiter, der datenschutzrechtlich für die Einhaltung der DSGVO verantwortlich ist) keine Möglichkeit mehr hat, diesen wiederherzustellen. Anders als bei der Pseudonymisierung, bei der der Personenbezug weiterhin existiert, ist eine echte Anonymisierung technisch und organisatorisch weitreichender.
Wann sind Daten wirklich anonym?
Es müssen mehrere Faktoren berücksichtigt werden, wenn es darum geht, ob eine natürliche Person identifizierbar bleibt. Dazu zählen die Kosten der Identifizierung, der Zeitaufwand und technologische Entwicklungen. Mit zunehmenden technischen Möglichkeiten können vermeintlich anonyme Daten dennoch mit anderen Datenquellen abgeglichen und Personen zugeordnet werden. Das führt dazu, dass heute seltener von wirklich anonymen Daten gesprochen werden kann als früher.
Ein wesentlicher Unterschied besteht zur Pseudonymisierung, bei der der Personenbezug nicht entfernt, sondern durch Trennung der Daten nur verschleiert wird. Die Identität kann aber durch Zusammenführung dieser Daten wiederhergestellt werden.
Die DSGVO gilt nicht für anonymisierte Daten, da sie nur für Daten mit Personenbezug anwendbar ist. Dies macht Anonymisierung besonders attraktiv für Unternehmen, die Daten verarbeiten, ohne individuelle Identitäten von Personen zu benötigen.
Beim Tracking des Besucherverhaltens auf Webseiten bspw. kann es für ein Unternehmen wichtig sein, wer bspw. im Newsletter auf welchen Link geklickt hat, um im Nachgang individuelle(re) Werbung ausspielen zu können. Wem es aber nur darum geht, ganz allgemein zu wissen, wie oft überhaupt ein Link angeklickt wurde, könnte die Daten anonymisieren und sich dann ggf. Probleme und Aufwand mit der DSGVO sparen.
Rechtsgrundlage für die Anonymisierung
Allerdings gilt auch die Anonymisierung selbst als Datenverarbeitung, weshalb sie eine eigene Rechtsgrundlage benötigt (z.B. Einwilligung oder berechtigtes Interesse). D.h. wer fremde Daten erhebt bzw. abfragt und sie dann (irgendwann) anonymisieren will, muss bis zur vollständigen Anonymisierung sämtliche Vorgaben der DSGVO beachten und einhalten.
Erst wenn das geklärt ist, darf die Verarbeitung der nunmehr anonymisierten Daten außerhalb der Vorgaben der DSGVO stattfinden.
Erfahren Sie mehr über Anonymisierung auf schutt-waetke.de.
