Teil 2 – Praxisbeispiele und Randbedingungen : Anonymisierung von personenbezogenen Daten
Eine Anonymisierung personenbezogener Daten ist ein Weg, der Regulierung durch Datenschutzgesetze – insbesondere durch die Datenschutz-Grundverordnung (DS-GVO) – zu „entkommen“. Auf anonyme Daten finden Datenschutzgesetze keine Anwendung. In Ausgabe 6/2022 der LOHN+GEHALT wurden die technischen Verfahren zur Anonymisierung vorgestellt, und es wurde erläutert, welche Bedingungen erfüllt sein müssen, damit aus personenbezogenen Daten anonyme Daten werden. Der vorliegende Beitrag beleuchtet mögliche Einsatzszenarien. Ferner geht er auf die zusätzlich zu beachtenden datenschutzrechtlichen Anforderungen ein.
Wiederholung: Wann sind Daten anonym?
Daten sind anonym, wenn unter der Berücksichtigung aller Mittel, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, ein Personenbezug nicht hergestellt werden kann (Erwägungsgrund 26 DS-GVO). Bei den zu berücksichtigenden Mitteln sind alle objektiven Faktoren, wie die verfügbaren Techniken, technologische Entwicklungen, Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, heranzuziehen. Da sich die Technik stetig weiterentwickelt, können Daten, die heute anonym sind, morgen personenbezogen sein.
Bei der Prüfung, ob Daten anonym sind, ist auf das Wissen und die Fähigkeiten der Stellen abzustellen, die auf die Daten zugreifen können. Erlaubt beispielsweise der personenbezogene Rohdatensatz, die Anonymisierung aufzuheben, liegt keine Anonymisierung vor.
Von anonymen Daten zu unterscheiden, sind pseudonyme Daten. Pseudonyme Daten sind personenbezogene Daten, bei denen der Personenbezug durch Identifikatoren verschleiert wird. Weil bei pseudonymen Daten der Personenbezug herstellbar bleibt, werden pseudonyme Daten datenschutzrechtlich wie personenbezogene Daten behandelt, d. h. die DS-GVO wird weiterhin auf diese Daten angewendet.
Ist Anonymisierung eine Verarbeitung?
Die Frage, ob der technische Vorgang, personenbezogene Daten zu anonymisieren, datenschutzrechtlich als „Verarbeitung“ i. S. v. Art. 4 Nr. 2 DS-GVO anzusehen ist, mutet auf den ersten Blick akademisch an. Ein zweiter Blick offenbart ihre Wichtigkeit.
Jede Art der Nutzung personenbezogener Daten wird vom Gesetzgeber als „Verarbeitung“ bezeichnet (Art. 4 Nr. 2 DS-GVO). Beispiele sind: Erheben, Verändern, Weitergeben, Nutzen, Verknüpfen, Offenbaren und Löschen. Beim Entfernen des Personenbezugs werden die Daten verändert oder durch Löschen reduziert, sodas das Ergebnis anonym ist. Ausgehend von der weiten Begriffsdefinition ist Anonymisierung eine Form der Verarbeitung. Diese Auffassung wird vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)1 sowie von Teilen der Fachliteratur vertreten. Weil diese Auffassung im Einklang mit der Definition von „Verarbeiten“ wie auch mit der Systematik der DS-GVO steht, ist sie vorzugswürdig.
Gegen diese Auffassung wird u. a. vom Bundesverband Deutscher Industrien e. V. (BDI)2 ins Feld geführt, dass Anonymisierung privilegiert und deshalb keine Verarbeitung sei.
Jede Art der Verarbeitung personenbezogener Daten bedarf einer die Verarbeitung erlaubenden Rechtsgrundlage. Tabelle 1 gibt einen Überblick über üblicherweise einschlägige Rechtsgrundlagen. Welche Rechtsgrundlage eine konkrete Anonymisierung erlaubt, muss im Einzelfall beurteilt werden.
1 BfDI (2020): Positionspapier zur Anonymisierung unter der DS-GVO unter besonderer Berücksichtigung der TK-Branche, S. 5 2 BDI (2020): Leitfaden Anonymisierung personenbezogener Daten, S. 9
Solange der ursprüngliche personenbezogene Datensatz im Unternehmen vorhanden ist, bleiben auch anonymisierte Daten für dieses Unternehmen personenbezogen. Damit finden die DS-GVO und alle übrigen Datenschutzgesetze auch auf den anonymisierten Datenbestand Anwendung, da die Anonymisierung jederzeit aufhebbar ist. Deshalb gibt es nur zwei denkbare Anwendungsfälle:
- Weitergabe an Dritte, die den personenbezogenen Datensatz nicht im Zugriff haben und
- Anonymisierung als Form der Löschung.
Ausgewählte Einsatzszenarien
Anhand von zwei Szenarien, die in der Praxis immer wieder vorkommen, werden die Anforderungen an die Anonymisierung exemplarisch skizziert.
Eckdaten zu Bewerbungen behalten
Bewerbungen sind bekanntlich zu löschen, nachdem die Einstellungsentscheidung getroffen wurde und die Verjährungsfrist von Ansprüchen insbesondere aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) abgelaufen ist. Bewerbungen sind damit typischerweise nach wenigen Monaten zu löschen. Nicht nur für Personalvermittler ist es wichtig, bspw. Über mehrere Jahre zu messen, wie groß die Resonanz auf ausgeschriebene Stellen ist, wie schnell die Stellen besetzt wurden und wie gut die Passung der Bewerber auf die Stellen ist. Würden die Bewerbungsdaten vollständig gelöscht, ließen sich solche Messungen nicht oder nur für sehr kurze Zeiträume vornehmen.
An die Stelle der vollständigen Löschung kann die Anonymisierung treten. In der Praxis wird versucht, Anonymität zu erreichen, indem die offensichtlich eine Person identifizierenden Merkmale wie z. B. Name, Anschrift und Kontaktdaten gelöscht werden. Ob weitere Merkmale zu löschen oder zu verändern sind, hängt von den im Datensatz enthaltenen Daten ab. Eine Kombination von Skills bspw. in Verbindung mit Stationen im Lebenslauf kann eine De-Anonymisierung unter Zuhilfenahme von Profilen in sozialen Netzwerken ermöglichen. Deshalb sollte geprüft werden, ob nach dem Löschen der offensichtlich identifizierenden Merkmale weitere Anonymisierungstechniken (siehe Ausgabe 6/2022) angewendet werden müssen.
Weitergabe von Gehaltslisten an Dritte
Vergleiche der Gehaltsstruktur verschiedener Unternehmen aus der gleichen Branche helfen Personalverantwortlichen dabei, Gehaltswünsche von Mitarbeitern einzuordnen und die Attraktivität der Gehaltsstruktur im Markt einzuschätzen. Anbieter von Gehaltsvergleichen erfassen die Gehaltsdaten direkt bei interessierten Personen oder fragen vollständige Gehaltslisten mit Merkmalen wie Qualifikation, Position, Branche, Arbeitsort, Alter, Gehaltsbestandteile und Geschlecht direkt bei Unternehmen ab.
Für eine Weitergabe personenbezogener Gehaltslisten fehlt regelmäßig die legitimierende Rechtsgrundlage. Für das Fehlen der Rechtsgrundlage macht es keinen Unterschied, ob die Weitergabe entgeltlich oder unentgeltlich erfolgt. Eine Interessenabwägung trägt nicht, da der Grundsatz zur vertraulichen Behandlung von Personaldaten die berechtigten Interessen des Arbeitgebers überwiegt. Eine Einwilligung der Mitarbeiter in die Weitergabe ist denkbar. Da im Regelfall nicht alle Mitarbeiter zustimmen, werden nur wenige Datensätze übermittelt werden können.
Eine Anonymisierung vor der Weitergabe könnte durch eine Interessenabwägung legitimiert werden, da die Anonymisierung die Eingriffstiefe in das Persönlichkeitsrecht der Mitarbeiter deutlich reduziert.
Um die Interessenabwägung nutzen zu können, muss der Zweck der anonymen Weitergabe bereits bei der Erhebung der betroffenen Daten festgelegt und den Mitarbeitern im Rahmen der Datenschutzinformation nach Art. 13 und 14 DS-GVO bekannt gegeben worden sein. Andernfalls ist zu prüfen, ob der neue Zweck der Weitergabe mit dem ursprünglichen Zweck ist kompatibel. Das Prüfverfahren beschreibt Art. 6 Abs. 4 DS-GVO. Sofern die Prüfung positiv ausfällt, müssen alle betroffenen Mitarbeiter gemäß Art. 13 DS-GVO über den neuen Zweck informiert werden.
Um Gehaltsstrukturen vergleichen zu können, müssen die relevanten Einflussfaktoren erfasst werden. Dazu zählen u. a. das Alter, die Position, die Qualifikation und das Geschlecht von Mitarbeitern. Bereits die Position ist insbesondere bei Führungskräften personenbezogen. Es gibt im Regelfall nur einen Leiter HR. Doch auch die Kombination aus Alter und Geschlecht kann personenbezogen sein, wenn bspw. unter den 30- bis 40-Jährigen nur eine Frau zu finden ist. Die Strategie, alle Merkmale zu löschen, die zu einer Identifikation beitragen können, würde faktisch (fast) alle Merkmale löschen.
Es bliebe kein nutzbarer Datensatz übrig. Um eine Anonymisierung zu erreichen, bietet es sich daher an, auf andere Anonymisierungsverfahren auszuweichen.
Dauerhafter Prüfauftrag während der Nutzung
Wer Daten anonymisiert oder anonymisierte Daten nutzt, ist verpflichtet, kontinuierlich zu prüfen, dass die Anonymisierung gewahrt bleibt.3 Dazu muss er prüfen, ob der Personenbezug wiederhergestellt werden kann. Die Durchführung und das Prüfergebnis sollten dokumentiert werden.
3 Stellungnahme 5/2014 der Artikel-29-Gruppe zu Anonymisierungstechniken, WP 216, S. 4.
Geprüft wird:
- Ist ein Herausgreifen („singling out“) möglich?
- Ist eine Verknüpfung des Datensatzes der gleichen Person mit Datensätzen aus legal beschaffbaren Datensätzen zu dieser Person statistisch möglich?
- Lassen sich mit einer signifikanten Wahrscheinlichkeit Werte eines Merkmals aus Werten anderer Merkmale im Datenbestand ableiten? Bei der Prüfung, ob Daten anonym sind, kommt es nicht auf sichere oder richtige Erkenntnisse an. Vielmehr reicht es aus, dass ein Personenbezug mit einer gewissen Wahrscheinlichkeit oder für einen Teil der Datensätze wiederhergestellt werden kann.
Fazit
Anonymisierung ist ein wichtiges Hilfsmittel, um Daten verarbeiten zu dürfen, die personenbezogen einem Verarbeitungsverbot unterliegen. Um personenbezogene Daten zu anonymisieren, bietet sich folgender Ablauf an:
- Ermittlung der legitimierenden Rechtsgrundlage.
- Sicherstellen, dass die Informationspflichten gemäß Art. 13 und 14 DS-GVO – auch bei einer Zweckänderung – umgesetzt werden.
- Entfernung der offensichtlich identifizierenden Merkmale (bspw. Name, Anschrift, Kontaktdaten).
- Risikoanalyse, ob und welche Risiken zum Wiederherstellen des Personenbezugs bestehen.
- Sofern Risiken bestehen, Anwendung eines oder mehrerer weiterer Verfahren zur Anonymisierung.
- Schritte 3 und 4 durchlaufen, bis keine Risiken mehr erkennbar sind
- Prüfung und Ergebnis dokumentieren.
- Anonymisierte Daten nutzen oder weitergeben.
- Regelmäßig die Prüfung gemäß Schritt 3 wiederholen, ggf. Schritte 4 und 5 anwenden und gemäß Schritt 6 dokumentieren
Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH