Definition Der Unterschied zwischen Anonymisierung und Pseudonymisierung

Sowohl Anonymisierung als auch Pseudonymisierung dienen im Kontext des Datenschutzes der Datenminimierung. Obwohl sich die Begriffe teils überschneiden, gibt es auch gravierende Unterschiede. So geht die Anonymisierung von Daten so weit, dass diese nicht mehr unter Anforderungen wie die DSGVO fallen.

Bei der Anonymisierung werden Personenbezüge aus sensiblen Datensätzen vollständig entfernt. In der Folge entfallen auch typischerweise geltende Datenschutzanforderungen – da aus dem vollständig anonymisierten Datensatz (weitgehend) keinerlei persönlichen und personenbezogenen Bezüge mehr hergestellt werden können. Das bedeutet im Umkehrschluss aber nicht, dass es in der Praxis gänzlich unmöglich wäre, eine solche Verbindung herzustellen. Das Datenschutzrecht sieht eine Anonymisierung dann gegeben, wenn Personenbezüge nur noch mit einem „unverhältnismäßig hohem Aufwand“ hergestellt werden können.

Bei der Pseudonymisierung werden lediglich einzelne personenbezogene Daten entfernt oder ersetzt und getrennt davon aufbewahrt. Ein einfaches Beispiel dazu: Der Vor- und Nachname wird durch eine einzigartige Identifikationsnummer ersetzt. Da zwischen dieser Identifikationsnummer und dem Klarnamen aber eine Verbindung besteht, die im Rahmen der gesonderten Aufbewahrung auch wiederhergestellt werden kann, liegt lediglich eine Pseudonymisierung vor. In der Folge fallen die Daten, die eine Pseudonymisierung erhalten, auch weiterhin unter die Vorgaben der DSGVO und sind im Datenschutzrecht nicht mit vollständig anonymisierten Daten gleichgesetzt.

Unterschiede zwischen Anonymisierung und Pseudonymisierung im Detail

Aus der vorherigen Definition ergeben sich bereits drei fundamentale und zugleich die drei wichtigsten Unterschiede:

• Eine Wiederherstellung der Personenbezüge ist bei der Anonymisierung entweder gar nicht oder nur mit sehr hohem Aufwand möglich, bei der Pseudonymisierung fällt dies leichter.

• Pseudonymisierte Daten fallen weiterhin unter die DSGVO, anonymisierte Daten hingegen nicht.

• Personenbezüge sind bei anonymisierten Daten nicht mehr gegeben, bei der Pseudonymisierung sind diese hingegen lediglich verschleiert – durch Codes oder andere einzigartige Kennzeichnungen.

Ein vierter Unterschied ergibt sich aus den typischen Anwendungszwecken. Anonymisierte Daten werden primär in der Forschung oder beispielsweise bei Statistiken verwendet. Hierbei spielen etwaige Personenbezüge keine entscheidende Rolle mehr, da es lediglich um die einzelnen Verhältnisse zwischen der Gesamtsumme geht.

Anwendungsbeispiele und Einsatzzwecke von Anonymisierung und Pseudonymisierung

Ein Beispiel für die Anonymisierung: Eine Statistik gibt an, dass eigenen Aussagen nach zehn Prozent der Deutschen unter Winterdepressionen leiden: Welche einzelnen Personen das genau angaben, spielt für diese Statistik keine Rolle, folglich werden Daten anonymisiert – wodurch sich Aufwand und Organisation für die Forschenden, durch den Wegfall der DSGVO, reduzieren. Ebenfalls kann eine Anonymisierung von Unternehmen genutzt werden, wenn diese Daten erheben und für ihre eigenen Zwecke weiterverwenden möchten. Dabei machen sich Unternehmen die Anonymisierung allen voran deshalb zu Nutze, weil damit auch die strikten Datenschutzbestimmungen sowie Rahmenbedingungen der DSGVO entfallen. Denkbar ist das, abseits vom genannten Beispiel der Studien, beispielsweise bei Tests: Soll ein Forschungsinstitut das Nutzerverhalten im Auftrag eines Unternehmens überprüfen, kann dieses die Daten anonymisieren, um sich der strikten Datenschutzbestimmungen zu entledigen.

Ein Beispiel für einen Anwendungsfall der Pseudonymisierung gibt es aus der Corona-Zeit: Getestete Personen hatten da vielmals die Möglichkeit ihre Testergebnisse online unter Eingabe einer einzigartigen Test-Nummer abzurufen. Weil die Gesundheitsämter aber darüber informiert werden mussten, musste es zugleich weiterhin möglich sein, einen direkten Personenbezug herzustellen. In der Folge kam eine Pseudonymisierung zum Einsatz, bei der die Testzentren, Ärzte und Co. in ihren eigenen Systemen die Test-Nummer den genauen persönlichen Daten zuordnen konnten – die dann wiederum an die Gesundheitsämter weitergereicht wurden. Die online und öffentlich einsehbare Liste beziehungsweise Abfrage war also pseudonymisiert, um Klarnamen und persönliche Daten zu schützen – die Systeme in Testzentren und bei Ärzten waren hingegen aufwändig technisch und organisatorisch geschützt, da dort weiterhin alle Daten verfügbar sein mussten.

Vollständige Anonymisierung ist häufig ein Trugschluss

Bei der Anonymisierung ist zu berücksichtigen, dass es verschiedene Grade der Anonymisierung gibt.

• Formale Anonymisierung: Bei dieser werden direkte Identifikationsmerkmale, wie beispielsweise Namen und der Geburtstag entfernt.

• Faktische Anonymisierung: Bei diesem Grad werden Daten gezielt manipuliert, um eine Entschlüsselung und damit einen späteren Personenbezug zu erschweren.

• Absolute Anonymisierung: Hierbei werden Daten besonders aufwändig und schwerwiegend nachträglich manipuliert, um eine De-Anonymisierung im weitesten Sinne unmöglich zu machen.

Diese verschiedenen Grade existieren auch deshalb, weil eine bedingungslose Anonymisierung typischerweise ein Trugschluss ist. Geschuldet ist das allen voran dem Fortschritt der Technik: Intelligente Systeme sind mittlerweile vielmals in der Lage anhand von Datenfragmenten und kleinsten Bruchstücken persönliche Bezüge herzustellen. In einer Studie des Imperial College London kamen Forschende beispielsweise zu dem Schluss, dass bereits mit der Postleitzahl, dem Geschlecht und dem Geburtstag rund 81 Prozent aller Amerikaner auch in einem formal anonymisierten Datensatz identifiziert werden können.

Viele Datenschützer vertreten daher die Ansicht, dass eine echte Anonymisierung heutzutage kaum noch möglich ist. Das stellt allen voran im Gesundheitswesen ein erhebliches Problem dar. Speziell in Deutschland kommt die vage Ausgestaltung der DSGVO erschwerend hinzu: Durch immer weiter ansteigende Rechenleistungen, intelligente beziehungsweise KI-Systeme und digitale Fußabdrücke wird auch eine De-Anonymisierung immer leichter. Die DSGVO präzisiert dabei zugleich nicht, was als „unverhältnismäßig hoher Aufwand“ gilt – weshalb in der Praxis häufig lediglich eine formale Anonymisierung genutzt wird, obgleich diese einen weitaus geringeren Anonymisierungsgrad als die faktische und absolute Anonymisierung bietet.

(ID:50222293)