Daten trotz DSGVO ohne Einschränkung nutzen
Anonym vs. Pseudonym
von Klaus Manhart - 18.09.2019
Pseudonymisierung löst allerdings nicht das Problem, die Daten frei etwa für analytische Zwecke nutzen zu können. Laut Artikel 32 Absatz 1 der DSGVO trägt die Pseudonymisierung personenbezogener Daten zwar dazu bei, die Sicherheit der Verarbeitung personenbezogener Daten zu erhöhen, und unterstützt die Verantwortlichen, ihre Datenschutzpflichten einzuhalten, denn wer personenbezogene Daten pseudonymisiert, kann die Risiken für die betroffenen Personen senken.
Aber: „Auch pseudonymisierte Daten unterliegen als Informationen über eine identifizierbare natürliche Person dem Datenschutz“, heißt es dazu auf dem Online-Portal Datenschutz-praxis.de. „Denn sie lassen sich durch Heranziehung zusätzlicher Informationen einer natürlichen Person zuordnen.“ Die DSGVO gilt also auch für pseudonymisierte Daten. Auf der sicheren Seite mit dem Ziel einer freien Verwendung der Daten ist man erst mit anonymisierten Daten.
Felix Bauer, CEO des Start-ups Aircloak, weist in seinen „7 Mythen der Datenanonymisierung“ deshalb Kritik an einer angeblichen Unklarheit der DSGVO in diesem Punkt auch zurück: „An vielen Stellen hätte man sich die DSGVO vielleicht noch konkreter gewünscht - aber in der Unterscheidung zwischen Anonymisierung und Pseudonymisierung wurde klar Stellung bezogen: Nur anonymisierte Daten sind wirklich nicht mehr persönlich und können deswegen weitreichend und ohne datenschutzrechtliche Einschränkungen eingesetzt werden.“
In „Erwägungsgrund 26“ der DSGVO heißt es explizit: „Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, das heißt für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“
Anders gesagt: Für anonymisierte Daten gilt die DSGVO nicht. Unternehmen können mit diesen Daten frei agieren: sie auswerten, mit anderen teilen und weitergeben. Vorschriften wie beispielsweise die Zweckbindung der Datenverarbeitung oder die Einhaltung von Löschpflichten entfallen. Weil anonymisierte Daten nicht mehr persönlich sind, können sie weitreichend und ohne datenschutzrechtliche Einschränkungen eingesetzt werden.