BfDI: Posi­ti­ons­pa­pier zur Anony­mi­sie­rung

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI; zustän­dig für den öffent­li­chen Daten­schutz, im Bereich der Tele­kom­mu­ni­ka­ti­on [TK] aber auch Pri­va­te) hat – nach einer öffent­li­chen Anhö­rung – ein Posi­ti­ons­pa­pier zur Anony­mi­sie­rung nach der DSGVO unter beson­de­rer Berück­sich­ti­gung der TK-Bran­che ver­öf­fent­licht.

Begriff der Anony­mi­sie­rung

Der BfDI geht zunächst auf den Begriff der Anony­mi­sie­rung ein, den die DSGVO nicht aus­drück­lich bestimmt. Aus­zu­ge­hen ist vom Begriff des Per­so­nen­da­tums: Anonym ist, was kein Per­so­nen­da­ten dar­stellt. Wie bei der Defi­ni­ti­on des Per­so­nen­da­tums gilt daher kein abso­lu­ter Mas­stab:

Eine abso­lu­te Anony­mi­sie­rung der­art, dass die Wie­der­her­stel­lung des Per­so­nen­be­zugs für nie­man­den mög­lich ist, dürf­te häu­fig nicht mög­lich sein und ist im Regel­fall daten­schutz­recht­lich auch nicht gefor­dert. Aus­rei­chend ist in der Regel, dass der Per­so­nen­be­zug der­art auf­ge­ho­ben wird, dass eine Re-Iden­ti­fi­zie­rung prak­tisch nicht durch­führ­bar ist, weil der Per­so­nen­be­zug nur mit einem unver­hält­nis­mä­ßi­gen Auf­wand an Zeit, Kosten und Arbeits­kraft wie­der­her­ge­stellt wer­den kann.

Rechts­grund­la­ge der Anony­mi­sie­rung ohne Löschung

Der Anony­mi­sie­rungs­vor­gang selbst stellt eine Ver­ar­bei­tung von Per­so­nen­da­ten dar und bedarf – nach der DSGVO – einer Rechts­grund­la­ge. Dabei stellt sich ins­be­son­de­re die Fra­ge, wann die Anony­mi­sie­rung noch einen kom­pa­ti­blen Zweck dar­stellt und von der ursprüng­li­chen Rechts­grund­la­ge gedeckt ist.

In die­sem Zusam­men­hang beson­ders erfreu­lich: Der BfDI geht davon aus, dass ein kom­pa­ti­bler Zweck auf die Rechts­grund­la­ge des Ursprungs­zwecks gestützt wer­den kann und dann kei­ner selb­stän­di­gen Rechts­grund­la­ge bedarf. Das kann auf Satz 2 des Erwä­gungs­grunds 50 gestützt wer­den, ist in der Leh­re aber umstrit­ten.

Kom­pa­ti­bel in die­sem Sin­ne ist die Anony­mi­sie­rung dann, wenn die Kri­te­ri­en nach Art. 6 Abs. 4 DSGVO erfüllt sind. Hier hält der BfDI fest, dass Zweck der Anony­mi­sie­rung nicht die Auf­he­bung des Per­so­nen­be­zugs sei, son­dern „das dahin­ter­ste­hen­de tat­säch­li­che Inter­es­se des Ver­ant­wort­li­chen“; das sei daher in die Abwä­gung ein­zu­be­zie­hen. M.E. ist das falsch, weil sich das dahin­ter­ste­hen­de Inter­es­se gera­de nicht auf die Ver­ar­bei­tung von Per­so­nen­da­ten bezieht und daher daten­schutz­recht­lich ausser Betracht fal­len muss. Zuläs­sig wäre aus Sicht des BfDI bspw. die Anony­mi­sie­rung von Kun­den­da­ten, um die Ver­tei­lung der Dienst­lei­stun­gen nach Regi­on und Alters­ko­hor­ten zu bestim­men.

Anony­mi­sie­rung als Lösch­äqui­va­lent

Der BfDI hält fer­ner fest, dass die Anony­mi­sie­rung zuläs­sig ist, wenn es auch die Löschung ist, weil die Anony­mi­sie­rung der Löschung grund­sätz­lich gleich­wer­tig ist:

Das Löschen der Daten ist nach der Syste­ma­tik der DSGVO also offen­bar nur eine von meh­re­ren Mög­lich­kei­ten, die Anfor­de­run­gen des Art. 5 Abs. 1 Buchst. e) DSGVO zu erfül­len. Es ist dann nicht not­wen­dig, wenn der Per­so­nen­be­zug durch Anony­mi­sie­rung wirk­sam besei­tigt wer­den kann. […] Dar­aus folgt, dass in dem Fall, in dem nur noch anony­mi­sier­te Infor­ma­tio­nen, d.h. Infor­ma­tio­nen ohne Per­so­nen­be­zug, vor­lie­gen, die Ver­pflich­tun­gen aus der DSGVO und damit auch die Ver­pflich­tung zu einer etwai­gen wei­ter­ge­hen­den Spei­cher­be­gren­zung aus Art. 5 Abs. 1 Buchst. e) DSGVO nicht grei­fen.

Gegen die Mög­lich­keit der Erfül­lung der Lösch­ver­pflich­tung durch die Anony­mi­sie­rung könn­te argu­men­tiert wer­den, dass bei der Anony­mi­sie­rung im Ver­gleich zur Löschung ein Rest­ri­si­ko der Re-Iden­ti­fi­zie­rung ver­blei­be. Dem­ge­gen­über lässt sich jedoch anfüh­ren, dass bei­de Vor­gän­ge – Löschung und Anony­mi­sie­rung eine Ent­fer­nung des Per­so­nen­be­zugs nach sich zie­hen und auch die Löschung nicht zwangs­läu­fig zu einer end­gül­ti­gen Ver­nich­tung der Daten führt. Dass es sich bei der Löschung und der Ver­nich­tung um zwei alter­na­ti­ve Ver­ar­bei­tungs­vor­gän­ge han­delt, wird auch durch die For­mu­lie­rung „das Löschen oder die Ver­nich­tung“ in Art. 4 Nr. 2 DSGVO klar­ge­stellt. Die­se Argu­men­ta­ti­on lässt sich auch auf den Anspruch auf Löschung nach Art. 17 DSGVO über­tra­gen.

Aus Sicht des BfDI kann die Ver­pflich­tung zur Löschung per­so­nen­be­zo­ge­ner Daten nur dann durch die Anony­mi­sie­rung erfüllt wer­den, wenn die per­so­nen­be­zo­ge­nen Daten recht­mä­ßig erho­ben wur­den (vgl. Art. 17 Abs. 1 Buchst. a) DSGVO).

So hat im Übri­gen auch die öster­rei­chi­sche Daten­schutz­be­hör­de ent­schie­den.

Wei­te­re Hin­wei­se

Abschlie­ssend weist der BfDI auf spe­zi­al­ge­setz­li­che Rege­lun­gen der Anony­mi­sie­rung hin, hier der deut­schen TK-Gesetz­ge­bung, auf die Trans­pa­renz­pflicht des Ver­ant­wort­li­chen und auf Daten­schutz-Fol­gen­ab­schät­zun­gen. Zu letz­te­ren:

Bei einer Anony­mi­sie­rung muss der Ver­ant­wort­li­che in der Regel davon aus­ge­hen, dass ein hohes Risi­ko besteht, weil bei der Anony­mi­sie­rung eben regel­mä­ßig das Kri­te­ri­um “Ver­ar­bei­tung in gro­ßem Umfang” und zumin­dest aktu­ell immer noch das Kri­te­ri­um “neue Tech­no­lo­gien” zutref­fen. […] Vor einer Anony­mi­sie­rung ist in der Regel eine Daten­schutz-Fol­gen­ab­schät­zung durch­zu­füh­ren.