Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI; zuständig für den öffentlichen Datenschutz, im Bereich der Telekommunikation [TK] aber auch Private) hat – nach einer öffentlichen Anhörung – ein Positionspapier zur Anonymisierung nach der DSGVO unter besonderer Berücksichtigung der TK-Branche veröffentlicht.
Begriff der Anonymisierung
Der BfDI geht zunächst auf den Begriff der Anonymisierung ein, den die DSGVO nicht ausdrücklich bestimmt. Auszugehen ist vom Begriff des Personendatums: Anonym ist, was kein Personendaten darstellt. Wie bei der Definition des Personendatums gilt daher kein absoluter Masstab:
Eine absolute Anonymisierung derart, dass die Wiederherstellung des Personenbezugs für niemanden möglich ist, dürfte häufig nicht möglich sein und ist im Regelfall datenschutzrechtlich auch nicht gefordert. Ausreichend ist in der Regel, dass der Personenbezug derart aufgehoben wird, dass eine Re-Identifizierung praktisch nicht durchführbar ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann.
Rechtsgrundlage der Anonymisierung ohne Löschung
Der Anonymisierungsvorgang selbst stellt eine Verarbeitung von Personendaten dar und bedarf – nach der DSGVO – einer Rechtsgrundlage. Dabei stellt sich insbesondere die Frage, wann die Anonymisierung noch einen kompatiblen Zweck darstellt und von der ursprünglichen Rechtsgrundlage gedeckt ist.
In diesem Zusammenhang besonders erfreulich: Der BfDI geht davon aus, dass ein kompatibler Zweck auf die Rechtsgrundlage des Ursprungszwecks gestützt werden kann und dann keiner selbständigen Rechtsgrundlage bedarf. Das kann auf Satz 2 des Erwägungsgrunds 50 gestützt werden, ist in der Lehre aber umstritten.
Kompatibel in diesem Sinne ist die Anonymisierung dann, wenn die Kriterien nach Art. 6 Abs. 4 DSGVO erfüllt sind. Hier hält der BfDI fest, dass Zweck der Anonymisierung nicht die Aufhebung des Personenbezugs sei, sondern „das dahinterstehende tatsächliche Interesse des Verantwortlichen“; das sei daher in die Abwägung einzubeziehen. M.E. ist das falsch, weil sich das dahinterstehende Interesse gerade nicht auf die Verarbeitung von Personendaten bezieht und daher datenschutzrechtlich ausser Betracht fallen muss. Zulässig wäre aus Sicht des BfDI bspw. die Anonymisierung von Kundendaten, um die Verteilung der Dienstleistungen nach Region und Alterskohorten zu bestimmen.
Anonymisierung als Löschäquivalent
Der BfDI hält ferner fest, dass die Anonymisierung zulässig ist, wenn es auch die Löschung ist, weil die Anonymisierung der Löschung grundsätzlich gleichwertig ist:
Das Löschen der Daten ist nach der Systematik der DSGVO also offenbar nur eine von mehreren Möglichkeiten, die Anforderungen des Art. 5 Abs. 1 Buchst. e) DSGVO zu erfüllen. Es ist dann nicht notwendig, wenn der Personenbezug durch Anonymisierung wirksam beseitigt werden kann. […] Daraus folgt, dass in dem Fall, in dem nur noch anonymisierte Informationen, d.h. Informationen ohne Personenbezug, vorliegen, die Verpflichtungen aus der DSGVO und damit auch die Verpflichtung zu einer etwaigen weitergehenden Speicherbegrenzung aus Art. 5 Abs. 1 Buchst. e) DSGVO nicht greifen.
Gegen die Möglichkeit der Erfüllung der Löschverpflichtung durch die Anonymisierung könnte argumentiert werden, dass bei der Anonymisierung im Vergleich zur Löschung ein Restrisiko der Re-Identifizierung verbleibe. Demgegenüber lässt sich jedoch anführen, dass beide Vorgänge – Löschung und Anonymisierung eine Entfernung des Personenbezugs nach sich ziehen und auch die Löschung nicht zwangsläufig zu einer endgültigen Vernichtung der Daten führt. Dass es sich bei der Löschung und der Vernichtung um zwei alternative Verarbeitungsvorgänge handelt, wird auch durch die Formulierung „das Löschen oder die Vernichtung“ in Art. 4 Nr. 2 DSGVO klargestellt. Diese Argumentation lässt sich auch auf den Anspruch auf Löschung nach Art. 17 DSGVO übertragen.
Aus Sicht des BfDI kann die Verpflichtung zur Löschung personenbezogener Daten nur dann durch die Anonymisierung erfüllt werden, wenn die personenbezogenen Daten rechtmäßig erhoben wurden (vgl. Art. 17 Abs. 1 Buchst. a) DSGVO).
So hat im Übrigen auch die österreichische Datenschutzbehörde entschieden.
Weitere Hinweise
Abschliessend weist der BfDI auf spezialgesetzliche Regelungen der Anonymisierung hin, hier der deutschen TK-Gesetzgebung, auf die Transparenzpflicht des Verantwortlichen und auf Datenschutz-Folgenabschätzungen. Zu letzteren:
Bei einer Anonymisierung muss der Verantwortliche in der Regel davon ausgehen, dass ein hohes Risiko besteht, weil bei der Anonymisierung eben regelmäßig das Kriterium “Verarbeitung in großem Umfang” und zumindest aktuell immer noch das Kriterium “neue Technologien” zutreffen. […] Vor einer Anonymisierung ist in der Regel eine Datenschutz-Folgenabschätzung durchzuführen.