Anonymisieren und Pseudonymisieren

Wiki
Version vom 11. Oktober 2017, 11:29 Uhr von Paul Schiering (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Damit ein Datum nicht mehr in den Bereich der geschützten „personenbezogenen Daten“ fällt, kann es anonymisiert und pseudonymisiert werden. Damit stehen diese Zusammenhänge eng in Verbindung mit dem Begriff der „personenbezogenen Daten“.

Anonymisieren

§ 3 Abs. 6 BDSG definiert Anonymisieren als Veränderung personenbezogener Daten, sodass die Einzelangaben

  • Var. 1: nicht mehr
  • Var. 2: oder nur mit unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können.

Die erste Variante beschreibt eine absolute Anonymisierung, die also unumkehrbar ist.[1]

Die zweiter Variante beschreibt eine faktische Anonymisierung. Die Wiederherstellung der Daten und der Personenbezug ist zwar theoretisch noch möglich, jedoch ist dies sehr unwahrscheinlich, da es mit einem extrem hohen Aufwand verbunden wäre.[2] Von einem solchen Aufwand ist auszugehen, wenn für die betreffende Stelle eine erneute Datenerhebung mit weniger Aufwand verbunden wäre, als die Wiederherstellung der Daten.[3]

Pseudonymisieren

Vom Anonymisieren ist das Pseudonymisieren zu unterscheiden. § 3 Abs. 6a BDSG definiert Pseudonymisieren als „Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Diese Technik wird eingesetzt, damit unter bestimmten Bedingungen ein Personenbezug hergestellt werden kann, nämlich dann, wenn man die Zuordnungsregel kennt, die bestimmt, wie die pseudonymisierten Daten wieder einer Person zuzuordnen sind.[4]

Besonders relevant ist dies bei der Pseudonymisierung durch Nutzung der Matrikelnummern. Wenn man nur die jeweilige Matrikelnummer kennt, ist es unmöglich die Daten einer Person zuzuordnen, sodass diese Daten nun gleich anonymisierten Daten sind. Kennt man jedoch den Zuordnungsschlüssel, nämlich welchem Studenten welche Matrikelnummer gehört, kann man die Daten wieder zuordnen. Diese Methode erweist sich in der Praxis als sehr vorteilhaft, um Diskriminierung z. B. nach Geschlecht zu verhindern, indem der jeweilige Prüfer oder Korrekturassistent, den Zuordnungsschlüssel nicht kennt, also für ihn die Daten anonym sind. Was die datenschutzrechtliche Seite angeht, ist dies aber keine so perfekte Lösung. Nach dem relativen Bestimmbarkeitsbegriff sind die Daten gegenüber allen Personen, die den Zuordnungsschlüssel nicht haben anonym, also z. B. dem Prüfer aber auch allen Dritten wie anderen Studenten. Mithin könnte man davon ausgehen, dass ein hinreichende Anonymität gewährleistet ist, sodass die Daten ohne datenschutzrechtliche Bedenken veröffentlicht werden können.

So wäre es denkbar, dass man eine Hausarbeit als Vorführungsbeispiel im nachfolgenden Semester zeigt, auf der nur die Matrikelnummer abgebildet ist. Es ist höchstunwahrscheinlich, dass die Studenten des nachfolgenden Jahrgangs des zur Matrikelnummer gehörenden Namens habhaft werden, ihnen fehlt also der Zuordnungsschlüssel, also wäre dies datenschutzrechtlich kein Problem. Um aber im Einklang mit urheberrechtlichen Regelungen zu bleiben, sollte jedenfalls die Erlaubnis der Studierenden eingeholt werden, der die Arbeit verfasst hat. Im Streitfall könnte dieses Verfahren aber sehr problematisch sein, weshalb zu empfehlen ist, eine vollständige Anonymisierung vorzunehmen, also die Matrikelnummer zu entfernen. Dem in der Praxis bevorzugt angewendete absolute Bestimmbarkeitsbegriff, ist es egal, ob die Studenten der nachfolgenden Semester weder faktisch noch rechtlich die Möglichkeit haben, des Zuordnungsschlüssels habhaft zu werden. Also würde die Pseudonymisierung hier leicht aufzuheben, sodass die Veröffentlichung gegen datenschutzrechtliche Grundregeln verstoßen würde. Diese Problematik lässt sich jedoch einfach lösen, indem man sich die Einwilligung des Studenten zur Veröffentlichung einhohlt, bestenfalls in anonymisierter Form der Arbeit.

Ein weiteres Problem bei der Pseudonymisierung mit Matrikelnummern ergibt sich, wenn die Prüfungsergebnisse mit den dazugehörigen Matrikelnummern regelmäßig für den gleichen Studiengang öffentlich ausgehangen werden. In diesem Fall ist es sehr wahrscheinlich, dass nach einer gewissen Zeit die Studierenden untereinander die Matrikelnummer des jeweils anderen kennen. Somit besitzen sie dann den Zuordnungsschlüssel, um die mit der Matrikelnummer pseudonymisierten Daten einem anderen Kommilitonen zuzuordnen.

  1. Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Auflage 2015, § 3 Rn. 44.
  2. Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 105 Rn. 226.
  3. Paass/Wauschkuhn, Datenzugang, Datenschutz und Anonymisierung, 1985, S. 13.
  4. Kühling/Seidel/Sivridis, Datenschutzrecht, 3. Auflage 2015, S. 106 f.