Die Anonymisierung von Daten erscheint vielen Unternehmen wie eine Entwertung. Doch Anonymisierung hat auch Vorteile: Anonyme Daten unterliegen nicht dem Datenschutz. Sollten Unternehmen also zur Anonymisierung greifen? Und wann sind Daten wirklich anonymisiert?
Die EU-DSGVO gilt nicht für anonyme Informationen
Die EU-Datenschutzgrundverordnung (EU-DSGVO) greift immer dann, wenn sich Daten auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entsprechend besagt die EU-DSGVO: Die Grundsätze des Datenschutzes gelten nicht für anonyme Informationen, also für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder für personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass sich die betroffene Person nicht oder nicht mehr identifizieren lässt.
Die EU-DSGVO fordert anonymisierte Daten |
Offensichtlich sind anonyme Daten ein Königsweg, um die hohen Anforderungen aus der EU-DSGVO zu erfüllen. Denn Unternehmen ...
... müssen die Grundsätze des Datenschutzes dann – zumindest für diese Daten – gar nicht beachten. Doch Vorsicht: Ganz so einfach ist es nicht. Zuerst steht die Prüfung an, ob tatsächlich anonyme Daten vorliegen, bevor man die EU-DSGVO zur Seite legt.
Wann lassen sich Daten tatsächlich als anonym werten?
Nur wenn wirklich erfolgreich anonymisiert wird, müssen die Vorgaben des Datenschutzes nach EU-DSGVO für diesen Fall nicht weiter beachtet werden. Die EU-DSGVO sagt, wann man von einer Anonymisierung ausgehen kann: So wurde nur dann anonymisiert, wenn es keine Mittel zur Identifizierung einer natürlichen Person mehr gibt, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine natürliche Person direkt oder indirekt zu identifizieren.
Keine solchen Mittel gibt es, wenn die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand zu hoch wären. Dabei ist immer zu berücksichtigen, was die aktuell verfügbare Technologie zu leisten vermag. Man kann davon ausgehen, dass die Mittel zur Identifizierung mit der Zeit immer günstiger und schneller werden, da sich die Technologie weiterentwickelt.
Entsprechend muss man jeweils zum gegenwärtigen Zeitpunkt prüfen, ob natürliche Personen noch identifizierbar sind oder nicht, wenn man sich für eine Methode zur Anonymisierung entscheidet.
Anonymisierung ist sinnvoll
Auch wenn nicht jede beliebige Methode zur Anonymisierung ausreicht, lohnt es sich für Unternehmen, sich mit den Möglichkeiten zur Anonymisierung zu befassen. Vielfach besteht immer noch die Meinung, anonyme Daten seien wertlos für betriebliche Auswertungen. Tatsächlich aber können viele Analysen und Statistiken ohne jeden konkreten Personenbezug für das Unternehmen hilfreich und nützlich sein.
Unternehmen erheben zum Beispiel regelmäßig Daten zur Kundenpflege und -bindung. Häufig werden diese Daten auch zur Analyse des Kundenverhaltens wie zur Identifizierung von Zusammenhängen und Hintergründen von Käufen genutzt, um damit Marketing- und Vertriebstätigkeiten strategisch zu planen und zu unterstützen. Dafür werden die Namen der Betroffenen jedoch nicht benötigt.
So ist es für die Erfolgskontrolle einer Marketing-Aktion unerheblich, ob es Herr Maier oder Frau Schulze waren, die gekauft haben. Es ist vielmehr entscheidend, zu welcher Altersgruppe die Käufer zählen, ob sie eher online oder im stationären Geschäft gekauft haben und wie schnell sie auf die Werbung reagiert haben. Für all diese Informationen braucht man kein Wissen über die konkreten Personen.
Anonymisierung bedeutet also nicht Entwertung, sondern hilft dem Datenschutz und damit dem Unternehmen.
Wissen Sie, wann man von anonymen Informationen spricht? Machen Sie den Test!
Frage: Werden keine Namen und Vornamen der Personen gespeichert, sind die Daten anonym. Stimmt das?
- Nein, es gibt viel mehr Informationen, mit denen sich Personen identifizieren lassen.
- Ja, ohne Namen sind Daten anonym.
Lösung: Die Antwort 1. ist richtig. Die EU-DSGVO besagt: Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Frage: Wenn eine Lösung Anonymisierung verspricht, liefert sie auch anonyme Daten. Stimmt das?
- Ja, jedes Werkzeug zur Anonymisierung erzeugt anonyme Informationen.
- Nein, je nach Lösung können die Personen trotzdem identifizierbar sein.
Lösung: Hier ist die Antwort 2. richtig. Die DSGVO macht deutlich, dass man mit gewissen Anstrengungen und technologischen Mitteln unter Umständen die Personen trotz eines Anonymisierungsversuchs identifizieren kann. Nur dann, wenn es keine Mittel zur Identifizierung einer natürlichen Person mehr gibt, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, liegt eine Anonymisierung vor, wenn also der Aufwand und die Kosten zu hoch für eine Identifizierung wären. Dies hängt allerdings von der technologischen Entwicklung ab, ändert sich also mit der Zeit.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Die Umsetzung der EU-DSGVO hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele