Rechtsfragen der Pseudonymisierung und Anonymisierung

Anonymisierung und Pseudonymisierung ermöglichen das Verarbeiten personenbezogener Daten, obwohl die DSGVO hohe Hürden aufbaut. Fehler passieren dabei leicht.

Lesezeit: 10 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Tobias Haar
Inhaltsverzeichnis

Wie ein Damoklesschwert schwebt das Datenschutzrecht über vielen Unternehmen. Mit dem Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat die datenschutzrechtliche Compliance eine größere Bedeutung erlangt, wofür es mehrere Gründe gibt. Zum einen erlegt sie Unternehmen mehr Verantwortung auf und schreibt beispielsweise umfassende Rechenschafts- und Dokumentationspflichten vor. Zum anderen soll ein erheblich verschärfter Bußgeldrahmen die Daten verarbeitenden Stellen verstärkt zum Einhalten der gesetzlichen Vorgaben anhalten. Angesichts diverser Pressemeldungen über immer höhere Bußgelder wegen Datenschutzverstößen herrscht vielerorts Unsicherheit, da das Befolgen der DSGVO-Vorgaben oftmals überzogen schwierig erscheint.

In manchen Fällen gibt es einen Ausweg aus dem Dilemma. Das Datenschutzrecht kümmert sich nämlich nur um das Verarbeiten personenbezogener Daten. Es gilt nicht für nicht personenbezogene Informationen, etwa für anonyme oder anonymisierte Daten. Es bereitet keine Schwierigkeiten, wenn Daten nie einen Personenbezug aufwiesen. Reine Maschinendaten, Wetterdaten et cetera sind aus DSGVO-Sicht harmlos und lassen sich beliebig verarbeiten und mit Dritten teilen. Ob es sich dabei um Geschäftsgeheimnisse handelt oder die Daten dem Urheberrecht unterliegen, weil sie sich etwa in einer rechtlich geschützten Datenbank befinden, ist eine andere Frage.

Aus juristischer Sicht interessant ist, wie sich personenbezogenen Daten durch Anonymisierung der Personenbezug nehmen lässt mit der Folge, dass das Datenschutzrecht außen vor bleibt. Jüngst haben hierzu sowohl der Bundesverband der Deutschen Industrie (BDI) als auch der Branchenverband Bitkom (PDF) Praxisleitfäden für Unternehmen herausgebracht, die den Unsicherheiten entgegenwirken sollen. Der BDI beschreibt die Gemengelage in seinem Vorwort so: "Die Beantwortung der Frage, auf welche Art und Weise eine DSGVO-konforme Anonymisierung personenbezogener Daten erfolgen kann, bleibt angesichts der teils uneinheitlichen Auslegung durch Datenschutzbehörden und der exorbitanten Bußgelder bei einem möglichen Datenschutzverstoß ein riskantes Unterfangen."