Datenanonymisierung: Neuer Vorschlag der Stiftung Datenschutz
von , veröffentlicht am 08.12.2022Die vollständige Datenanonymisierung ist eines der schwierigsten Privacy-Themen, das in der DSGVO kaum geregelt ist. Gestern hat die Stiftung Datenschutz auf ihrem DatenTag in Bonn einen Praxisleitfaden und Grundsatzregeln zur Anonymisierung personenbezogener Daten vorgestellt. Sie könnten die Grundlage für einen zu erarbeitenden Code of Conduct (Art. 40 DSGVO) sein. Mit dem Entfernen des Personenbezugs wird der Geltungsbereich des Datenschutzrechts verlassen. Für anonymisierte Datensätze bieten sich deutlich größere Einsatzmöglichkeiten.
Die erarbeiteten Basisregeln zur Anonymisierung bilden den Allgemeinen Teil, die bereichsspezifischen Ergänzungen bilden jeweils den Besonderen Teil. Ziel sind verschiedene DSGVO-Verhaltensregeln für verschiedene Sektoren (z.B. Mobilität, Gesundheit), die auf demselben Grundkanon aufbauen.
Was halten Sie von dem Vorschlag? Wer trägt z.B. das Risko, dass in Zukunft derzeit voll anonymisierte Daten dann wieder personenbezogen werden können können (z.B. durch den Einsatz von KI)?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
2 Kommentare
Kommentare als Feed abonnierenIm Grunde läuft es auf eine Riskoabwägung hinaus. Ohne eine EU-weite Lösung wird die Initiative nicht viel bringen.
"Der Stelle, die eine Anonymisierung ausführt, wird durch den Erwägungsgrund zunächst eine Prüfpflicht auferlegt, ob es sich nach dem Vorgang um personenbezogene Daten handelt oder nicht. Im Rahmen dieser Prüfung sind alle Mittel zu berücksichtigen, die vernünftigerweise entweder von dem Verantwortlichen oder einem Dritten eingesetzt werden könnten, um die betroffene Person zu identifizieren... Aus technischer Sicht wird sich ein Verantwortlicher die Frage stellen müssen, ob es zum Zeitpunkt der Verarbeitung, sprich der Anonymisierung, Technologien gibt, die eine Re-Identifizierung begünstigen können." (S. 26).
Das ist eine sehr hohe Hürde.
Anderseits soll es aber dann auf die Wahrscheinlichkeit der Reidentifizierung ankommen. Auf derselben Seite: "Es gibt Fälle, in denen die Wahrscheinlichkeit des Mitteleinsatzes nicht ohne Weiteres beantwortet werden kann. Hier benennt die DSGVO einige Faktoeren, die als Prüfkriterien mit Blick auf das jeweils vorhandene Mittel beim Verantwortlichen oder beim Dritten verwendet werden können:
• Kosten der Identifizierung
• Erforderlicher Zeitaufwand
• Verfügbare Technologien zum Zeitpunkt der Verarbeitung und deren Entwicklung (?)
• Sonstige objektive Faktoren (??)..."
Was denn nun?
Erfreuliche relative Trasparenz. Auch zum Geld, das bei dieser "Stiftung" verballert wird. "Die Stiftung Datenschutz besteht aus drei Organen, dem Vorstand, dem Verwaltungsrat und dem Beirat."