Datenschutz: Darauf sollte man bei der Anonymisierung achten
Die Anonymisierung personenbezogener Daten vereinfacht die Einhaltung der Datenschutzprinzipien. Aber so einfach ist die Anonymisierung selbst nicht.
Wenn es um den Datenschutz geht, ist die Forderung nach Anonymisierung der personenbezogenen Daten nicht weit. So gibt es zum Beispiel spezielle Forderungen wie die anonyme Nutzbarkeit von Online-Diensten.
Unter Anonymisierung versteht das Bundesdatenschutzgesetz (BDSG) „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“. Grundsätzlich gilt: Personenbezogene Daten sind zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
Ein gewisser Aufwand für die Anonymisierung lohnt sich in jedem Fall, denn wie die Aufsichtsbehörden für den Datenschutz betonen, sind anonyme und pseudonyme Verfahren datenschutzrechtlich unbedenklich. Zu bedenken gibt es aber trotzdem einiges und zwar, wie sich eine Anonymisierung richtig durchführen lässt. Wenn eine Anonymisierung unzureichend ist, dürfen bestimmte Verfahren wie die zentrale Auswertung in Personalmanagementsystemen nicht eingesetzt werden. Doch viele Unternehmen wissen gar nicht, dass die Anonymisierung unzureichend war.
Was eine Anonymisierung ausmacht
Ob eine Anonymisierung den Anforderungen des Datenschutzes entspricht oder nicht, hängt insbesondere von dem Zeitpunkt der Anonymisierung, der Rücknahmefestigkeit des Anonymisierungsverfahren, der Menge an unterschiedlichen Betroffenen und personenbezogenen Daten sowie den Verkettungsmöglichkeiten bei den Daten des jeweiligen Betroffenen ab. Das klingt kompliziert, kann aber leicht nachvollzogen werden, wenn man sich eine Datenanalyse schrittweise vorstellt.
Werden die personenbezogenen Daten erst dann so verändert, dass der direkte Personenbezug entfällt, nachdem die Analyse der Daten begonnen ist, ist es meist schon zu spät. Die Anonymisierung muss also rechtzeitig erfolgen, die weitere Verarbeitung der Daten darf erst danach beginnen.
Viele Unternehmen wissen gar nicht, dass die Anonymisierung unzureichend war.
Rücknahmefest ist eine Anonymisierung dann, wenn nicht Informationen zurückbleiben oder verfügbar sind, die eine Umkehrung der Anonymisierung möglich machen. So macht es keinen Sinn, bei der Anonymisierung einem personenbezogenen Datensatz ein eindeutiges Kennzeichen zu vergeben, mit dem später wieder eine Zuordnung zur Person möglich wäre.
Ebenso verständlich ist die Forderung, dass eine Anonymisierung von Daten nur dann Erfolg haben kann, wenn die Menge an Personen nicht so gering ist, dass sich der Personenbezug mit ziemlicher Sicherheit herstellen lässt.
Das ist insbesondere dann der Fall, wenn es zahlreiche andere Daten über die Personen gibt, die mit dem anonymisierten Datensatz verknüpft sind.
Wenn zum Beispiel nur eine Person eine bestimmte Eigenschaft innerhalb der betrachteten Gruppe hat, hilft auch der Versuch der Anonymisierung anderer Daten über die Person nicht, wenn die Eigenschaft mit den scheinbar anonymen Daten in Verbindung gebracht werden kann.
Wie hoch der im BDSG genannte „Aufwand an Zeit, Kosten und Arbeitskraft“ sein muss, den man in eine Anonymisierung zu stecken hat, hängt von dem jeweiligen Schutzbedarf ab. Bei besonders sensiblen Daten wie den Gesundheitsdaten kann man davon ausgehen, dass auch ein sehr hoher Aufwand gerechtfertigt ist.
Praktische Umsetzung der Anonymisierung
Will man Datensätze anonymisieren, so sind (im Rahmen des gerechtfertigten Aufwands) aus dem Datensatz alle direkten Identifizierungsmerkmale und Kennzeichen zu entfernen, wie zum Beispiel die Namen der Personen.
Wenn es auch ohne direkte Kennzeichen möglich ist, eine Person zu identifizieren, müssen auch die indirekten Merkmale (wie Geschlecht und Wohnort) entfernt werden. Das kann dann der Fall sein, wenn nur eine sehr kleine Gruppe von den betrachteten Personen aus einem bestimmten Ort kommt. Alternativ können die identifizierenden Daten verallgemeinert werden (aus Mann oder Frau wird dann Mensch), es können generelle Mittelwerte eingesetzt werden.
Erst wenn sichergestellt ist, dass die Anonymisierung den oben genannten Anforderungen des Datenschutzes entspricht, lässt sich auch folgern, dass tatsächlich anonyme Daten vorliegen, die mangels Personenbezug nicht mehr dem Datenschutz unterliegen.
Das beste Verfahren der Anonymisierung ist und bleibt allerdings die Vermeidung personenbezogener Daten, wo immer dies nur möglich ist. Da in der Praxis aber immer wieder Daten mit Personenbezug erhoben werden, müssen die Verfahren zur Anonymisierung mit Sorgfalt ausgewählt und ihr Erfolg auch vor einem Produktiveinsatz nachgeprüft werden. Die Vermutung, dass eine bestimmte Software zur Anonymisierung auch funktioniert, reicht nicht.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!