Sonntag, Dezember 22, 2024

Anonymisierung: Sein oder Nichtsein?

Wann gelten Daten als anonymisiert im Sinne der DSGVO? Die Antwort auf diese Frage hat Gewicht. Sie entscheidet darüber, ob Geschäftsideen umgesetzt, Unternehmen entstehen und Arbeitsplätze geschaffen werden.

Etliche neuartige Geschäftsmodelle benötigen vor allem eines: Daten. So sind etwa KI-basierte Geschäftsmodelle auf Daten mit hoher Qualität angewiesen. Oft stellt sich dann die Frage: »Dürfen wir die Daten überhaupt verarbeiten?«. Die Antwort auf diese Frage muss mit Bedacht gewählt werden. Ein – zu vorsichtiges – »Nein« und die Vision eines florierenden Unternehmens zerplatzt wie eine Seifenblase. Die Frage der Anonymisierung entscheidet nämlich darüber, ob die DSGVO zur Anwendung gelangt oder nicht.

Wer kann Anwendern Rechtssicherheit bieten? Demnach pressiert praktisch kein Aspekt dringender: Es bedarf klarer Richtlinien, wann von einer Anonymisierung auszugehen ist und wann nicht. Prinzipiell verlangt Erwägungsgrund 26 zur DSGVO, dass für eine Anonymisierung »die betroffenen Personen nicht oder nicht mehr identifiziert werden können«. Zur Feststellung dieses Zustands sollen »alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden«.

Absolut oder subjektiv

Aktuell entwickeln sich diesbezüglich zwei Thesen. Die eher konservative These der absoluten Anonymisierung einerseits und die liberale Theorie der subjektiven Anonymisierung andererseits. Die absolute Theorie geht dann von einer Anonymisierung aus, wenn ein Personenbezug von niemandem mehr hergestellt werden kann. Dazu ein Beispiel zur besseren Veranschaulichung: »A« pseudonymisiert Daten, indem er einen Personenbezug entfernt. Nun übermittelt A die derart bearbeiteten Daten an »B«. B kann, für sich betrachtet, keinen Personenbezug herstellen. Dennoch ist nach der absoluten Theorie von keiner Anonymisierung auszugehen. Dies deshalb nicht, weil A und B zusammen sehr wohl einen Personenbezug herstellen können. Fazit: Die ­DSGVO gelangt zur Anwendung.

Die subjektive Theorie hingegen beurteilt die Situation aus der aktuellen, subjektiven Sicht des jeweiligen Verantwortlichen. Mit Blick auf das oben genannte Beispiel hätte dies folgende Konsequenz: Aus der subjektiven Sicht des B kann kein Personenbezug hergestellt werden. Für ihn sind die Daten anonymisiert. Dies sollte jedoch nur dann gelten, wenn B als (eigenständiger) Verantwortlicher (im Sinne des Art. 4 Z 7 DSGVO) zu qualifizieren ist und nicht als Auftragsverarbeiter (im Sinne des Art. 4 Z 8 DSGVO).

Wohin geht die Reise?

Das Problem ist nun, dass sich in der Praxis noch keine klare Linie etabliert hat. Ist dem absoluten Ansatz zu folgen oder dem subjektiven? Es gibt Argumente Für und Wider. Dies bedingt vor allem eines: Rechtsunsicherheit. In der Diskussion rund um die Anonymisierung im Sinne der DSGVO ist eine klärende Definition, Rechtsprechung oder Richtlinie erforderlich.

Nur ein eindeutiges Statement kann die erforderliche Rechtsklarheit schaffen. Die Nutzung von Daten hat zentrale Bedeutung für den Industriestandort Europa. Eine zu restriktive Handhabung bedingt, dass KI-basierte Geschäftsideen – realistisch betrachtet – einfach in Übersee oder China umgesetzt werden.  Dies hat mittel- und langfristig keinesfalls zu unterschätzende Auswirkungen. Einmal mehr gilt es, Datenschutz mit der gebotenen Weitsicht abzuwägen.

@AdVantage 2020: Digital und disruptiv im Dezember
Potenzial von Blockchain-Lösungen im Umweltbereich...

Log in or Sign up