Im Wesentlichen lassen sich zwei Techniken zur Aufhebung des Personenbezugs voneinander unterscheiden: die Randomisierung und die Generalisierung. Bei der Randomisierung werden Merkmalswerte zufällig verändert, um die Möglichkeit einer Kombination zu verringern. So kann ein Datum zum Beispiel durch die zufällige Addition oder Subtraktion von bis zu sieben Tagen randomisiert werden. Bei der Generalisierung werden Daten vergröbert dargestellt. So kann statt des genauen Datums ein ungefährer Zeitraum angegeben werden.

In der Praxis werden oft mehrere Techniken nacheinander und nebeneinander angewendet, um ein bestmögliches Ergebnis zu erzielen. Beispielsweise könnte der Geburtstag einer Person erst randomisiert und dann so generalisiert werden, dass nicht mehr eindeutig erkennbar ist, ob die Person im Sommer oder im Herbst geboren ist. Die Herausforderung liegt darin, den Bezug zu einer Person zu entfernen, ohne die Aussagekraft und Qualität der Daten zu beeinträchtigen. Eine zu weit getriebene Anonymisierung kann die Daten nutzlos machen, eine nicht ordnungsgemäß durchgeführte Anonymisierung Bußgelder und zivilrechtliche Schadensersatzansprüche nach sich ziehen.

Welchen rechtlichen Anforderungen muss eine zuverlässige Anonymisierung genügen?

Welchen rechtlichen Anforderungen eine zuverlässige Anonymisierung genügen muss, ist noch immer nicht abschließend geklärt. Durchweg fehlt es an genauen und verbindlichen Vorgaben, wie ein Personenbezug rechtssicher zu entfernen ist. Inzwischen liegen diverse Stellungnahmen und Leitlinien deutscher und europäischer Aufsichtsbehörden sowie wegweisende Urteile des Europäischen Gerichtshofs und des Gerichts der Europäischen Union vor, die sich auch zu Anonymisierung und Pseudonymisierung verhalten. Allerdings ist die Unkenntlichmachung personenbezogener Daten nach wie vor durch Rechtsunsicherheit geprägt. Unklar ist beispielsweise weiterhin, auf wen im Hinblick auf die Identifizierbarkeit einer Person abzustellen ist. Reicht es für die Bejahung des Personenbezuges aus, dass irgendjemand eine Person identifizieren kann? Oder genügt es für die Annahme relativer Anonymität, dass gerade die datenverarbeitende Stelle den Personenbezug nicht herstellen kann? Umstritten ist auch, ob dabei ein subjektiver oder objektiver Maßstab angelegt werden muss. Kann es eine Rolle spielen, dass die datenverarbeitende Stelle technisch besonders unbedarft ist? Oder muss ein einheitlicher Standard gelten? Wie ist bei der Anonymisierung von Bilddaten wie Röntgen-, MRT- oder CT-Aufnahmen zu verfahren? Handelt es sich überhaupt um eine Verarbeitungstätigkeit im datenschutzrechtlichen Sinne und wie lässt sich diese Verarbeitung gegebenenfalls rechtfertigen? Der Aufwand und das Risiko einer Anonymisierung oder Pseudonymisierung richtet sich nach den Umständen des Einzelfalls und danach, wie diese und ähnliche Fragen beantwortet werden.

Der EHDS hat das Potential, das Gesundheitswesen zu revolutionieren. Besonders die Inhaber großer Datenmengen sollten sich umfassend mit den geplanten Regelungen vertraut machen und sich frühzeitig auf die Erfüllung umfassender Bereitstellungspflichten einstellen. Dazu kann es notwendig sein, eine Dateninventur durchzuführen und vorhandene oder geplante (Anonymisierungs-)Prozesse – zum Beispiel im Rahmen einer Datenschutz-Folgenabschätzung – rechtlich zu evaluieren. Die Erfahrung mit der DSGVO zeigt, dass Risiken sich insbesondere dann verwirklichen, wenn Anpassungen zu spät erfolgen.

(ID:49673270)