Anonymisierung

Anonymisierung bezeichnet die Veränderung personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Erwägungsgrund 26 der DSGVO stellt klar, dass die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten, also für Informationen, die sich nicht auf eine identifizierte oder identifizierbare Person beziehen. Wirksam anonymisierte Daten fallen daher vollständig aus dem sachlichen Anwendungsbereich der DSGVO heraus.

Entscheidend ist die Irreversibilität: Eine Re-Identifizierung muss dauerhaft und nach dem Stand der Technik praktisch ausgeschlossen sein. Die Artikel-29-Datenschutzgruppe (Stellungnahme 05/2014) misst die Robustheit einer Anonymisierung an drei Risiken: dem Herausgreifen einzelner Datensätze (Singling Out), der Verknüpfbarkeit mit anderen Datensätzen (Linkability) und der Ableitbarkeit von Informationen (Inference). Erst wenn alle drei Risiken hinreichend ausgeschlossen sind, liegt eine belastbare Anonymisierung vor. Gängige Verfahren sind Aggregation, Generalisierung, k-Anonymität, l-Diversität, Differential Privacy oder das vollständige Löschen identifizierender Merkmale.

Scharf abzugrenzen ist die Anonymisierung von der Pseudonymisierung (Art. 4 Nr. 5 DSGVO). Bei der Pseudonymisierung werden identifizierende Merkmale durch ein Kennzeichen ersetzt, der Personenbezug bleibt jedoch über zusätzliche, gesondert aufbewahrte Informationen (etwa eine Zuordnungstabelle oder einen Schlüssel) wiederherstellbar. Pseudonymisierte Daten bleiben personenbezogen und damit der DSGVO unterworfen; sie gelten lediglich als geeignete technisch-organisatorische Maßnahme. Anonymisierte Daten hingegen sind endgültig vom Personenbezug gelöst. Der Vorgang der Anonymisierung selbst ist eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO und bedarf daher einer Rechtsgrundlage.