Anonymisieren und Pseudonymisieren

Wiki
Version vom 16. Dezember 2017, 13:39 Uhr von Paul Schiering (Diskussion | Beiträge) (Korrekturen)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen diese Zusammenhänge eng in Verbindung mit dem Begriff der „personenbezogenen Daten“.

Anonymisieren

§ 3 Abs. 6 BDSG definiert Anonymisieren als Veränderung personenbezogener Daten, sodass die Einzelangaben

  • Var. 1: nicht mehr
  • Var. 2: oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können.

Die erste Variante beschreibt eine absolute Anonymisierung, die also unumkehrbar ist.[1]

Die zweite Variante beschreibt eine faktische Anonymisierung. Die Wiederherstellung der Daten und der Personenbezug ist zwar theoretisch noch möglich, jedoch ist dies sehr unwahrscheinlich, da es mit einem extrem hohen Aufwand verbunden wäre.[2] Von einem solchen Aufwand ist auszugehen, wenn für die betreffende Stelle eine erneute Datenerhebung mit weniger Aufwand verbunden wäre als die Wiederherstellung der Daten.[3]

Pseudonymisieren

Vom Anonymisieren ist das Pseudonymisieren zu unterscheiden. § 3 Abs. 6a BDSG definiert Pseudonymisieren als „Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Diese Technik wird eingesetzt, damit unter bestimmten Bedingungen ein Personenbezug hergestellt werden kann, nämlich dann, wenn man die Zuordnungsregel kennt, die bestimmt, wie die pseudonymisierten Daten wieder einer Person zuzuordnen sind.[4]

Besonders relevant ist dies bei der Pseudonymisierung durch Nutzung von Matrikelnummern. Wenn man nur die jeweilige Matrikelnummer kennt, ist es unmöglich die Daten einer Person zuzuordnen, sodass diese Daten nun gleich anonymisierten Daten sind. Kennt man jedoch den Zuordnungsschlüssel, nämlich welchem Studenten welche Matrikelnummer gehört, kann man die Daten wieder zuordnen. Diese Methode erweist sich in der Praxis als sehr vorteilhaft, um Diskriminierung z. B. nach Geschlecht zu verhindern, indem der jeweilige Prüfer oder Korrekturassistent, den Zuordnungsschlüssel nicht kennt, also für ihn die Daten anonym sind. Was die datenschutzrechtliche Seite angeht, ist dies aber eine eher problematische Lösung. Nach dem relativen Bestimmbarkeitsbegriff sind die Daten gegenüber allen Personen, die den Zuordnungsschlüssel nicht haben, anonym, also z. B. dem Prüfer, aber auch allen Dritten wie anderen Studenten. Mithin könnte man davon ausgehen, dass hinreichende Anonymität gewährleistet ist, sodass die Daten ohne datenschutzrechtliche Bedenken veröffentlicht werden können.

So wäre es denkbar, dass man eine Hausarbeit als Vorführungsbeispiel im nachfolgenden Semester zeigt, auf der nur die Matrikelnummer abgebildet ist. Es ist höchstunwahrscheinlich, dass die Studenten des nachfolgenden Jahrgangs des zur Matrikelnummer gehörenden Namens habhaft werden, ihnen fehlt der Zuordnungsschlüssel, also wäre dies datenschutzrechtlich kein Problem. Um aber im Einklang mit urheberrechtlichen Regelungen zu bleiben, sollte jedenfalls die Erlaubnis des Studierenden eingeholt werden, der die Arbeit verfasst hat. Im Streitfall könnte dieses Verfahren aber sehr problematisch sein, weshalb zu empfehlen ist, eine vollständige Anonymisierung vorzunehmen, also die Matrikelnummer zu entfernen. Dem in der Praxis bevorzugt angewendete absolute Bestimmbarkeitsbegriff, ist es egal, ob die Studierenden der nachfolgenden Semester weder faktisch noch rechtlich die Möglichkeit haben, des Zuordnungsschlüssels habhaft zu werden. Also würde die Pseudonymisierung hier leicht aufzuheben sein, sodass die Veröffentlichung gegen datenschutzrechtliche Grundregeln verstoßen würde. Diese Problematik lässt sich jedoch einfach lösen, indem man sich die Einwilligung des Studierenden zur Veröffentlichung einholt und die Arbeit anonymisiert veröffentlicht.

Ein weiteres Problem bei der Pseudonymisierung mit Matrikelnummern ergibt sich, wenn die Prüfungsergebnisse mit den dazugehörigen Matrikelnummern regelmäßig für den gleichen Studiengang öffentlich ausgehangen werden. In diesem Fall ist es sehr wahrscheinlich, dass nach einer gewissen Zeit die Studierenden untereinander die Matrikelnummer der jeweils anderen kennen. Somit besitzen sie dann den Zuordnungsschlüssel, um die mit der Matrikelnummer pseudonymisierten Daten einem anderen Kommilitonen zuzuordnen.

Nachweise

  1. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 44.
  2. Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 105 Rn. 226.
  3. Paass/Wauschkuhn, Datenzugang, Datenschutz und Anonymisierung, 1985, S. 13.
  4. Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 106 f.
Alert Die Inhalte dieser Seite stellen eine allgemeine Information und keine Rechtsberatung dar. Sie können diese nicht ersetzen. Trotz sorgfältiger Recherche wird keine Garantie für die Richtigkeit der Inhalte übernommen. Mitarbeiter und Mitarbeiterinnen der Martin-Luther-Universität Halle-Wittenberg wenden sich für Rechtsauskünfte Forschung oder Lehre betreffend bitte an das Justitiariat der Universität.