Kommentare und Erläuterungen

Aus Datenschutz-Wiki
(Weitergeleitet von Anonymisieren)
Wechseln zu: Navigation, Suche

§ 3 Weitere Begriffsbestimmungen

Absatz 6 Text

(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Anonymisieren

Die Anonymisierung hat im Rahmen des BDSG zunehmend Bedeutung erlangt. Während der Grundsatz der Datensparsamkeit des § 3a generell gilt, richtet sich ein Anonymisiserungsgebot speziell an die verantwortlichen Stellen in den Bereichen der Markt- und Meinungsforschung (§ 30, § 30a) und der wissenschaftlichen Forschung § 40). Beiden ist gemein, dass ihr Ausgangsmaterial typischerweise personenbezogene Daten enthält, die Verarbeitungsergebnisse jedoch keinen Personenbezug haben.

In diesen Bereichen verlangt das Gesetz eine Anonymisierung der Datenbestände der verantwortlichen Stellen, sobald dies nach dem Zweck des Forschungsvorhabens bzw. nach dem Forschungszweck möglich ist. Eine Anonymisierung ist ferner Voraussetzung der Verwendung für einen anderen Zweck.

Ist ein Datenbestand im Sinne der Legaldefinition anonymisiert, so enthält er keine personenbezogenen Daten mehr. Beide Begriffe sind komplementär.


Von einer Anonymisierung kann nicht gesprochen werden, wenn die verantwortliche Stelle ohne unverhältnismäßig großem Aufwand in der Lage ist, die Betroffenen wieder bestimmt oder bestimmbar zu machen. Deshalb reicht eine getrennte Speicherung von Identifikatoren und sonstigen Merkmalen nicht aus, wenn die Wiederzusammenführung möglich ist. Dies gilt auch, wenn die Zuordnungsliste besonders unter Verschluss genommen wird. Ebenso wenig reicht eine Pseudonymisierung im Sinne von Abs. 6a und § 3a Satz 2. Einen unverhältnismäßig großen Aufwand muss eine Bestimmung des Betroffenen nicht nur für Personen haben, die mit den betreffenden Dateien regelmäßig arbeiten (etwa für wirtschafts- oder sozialwissenschaftliche Analysen), sondern auch für diejenigen, die die Daten technisch und sicherheitsmäßig verwalten (Datenbankverwalter, Systemverwalter, Datenschutzbeauftragter).

Verfahren der Anonymisierung

Eine Anonymisierung kann in sehr unterschiedlicher Weise erfolgen. Bereits die Erhebung und die Speicherung können anonym (im Sinne der Legaldefinition) durchgeführt werden, wie die Praxis mancher Meinungsumfragen zeigt. Damit eine Anonymisierung vorliegt, muss das Verfahren sicherstellen,

  1. dass nachträglich nicht feststellbar ist (etwa durch Markierungen der Belege oder durch Handschriftenvergleich), wer welche Erhebungsbögen eingeworfen hat,
  2. dass nicht nach Angaben gefragt wird, durch die Einzelne ohne unverhältnismäßig großen Aufwand aus der Gesamtmenge der Befragten bestimmbar sind und

  3. dass bei der Übermittlung mehrerer anonymisierter Datenbestände diese nicht in Kombination das Zusatzwissen enthalten, das eine Identifizierung von Bezugspersonen ermöglicht.

Zeichnet ein Interviewer die Antworten der Befragungsperson auf, so sind die Angaben zunächst personenbezogen. Sie werden aber anonym(isiert), sobald der Befrager zu einer Zuordnung von Antworten zu Befragten nicht mehr imstande ist. Eine vollständig anonyme Datenerhebung ist (bzgl. des Stimminhalts, nicht der Tatsache der Stimmabgabe) die geheime Wahl bzw. Abstimmung.


In den empirischen Sozialwissenschaften wird die Bezeichnung „anonyme Befragung“ häufig bereits dann verwendet, wenn keine Namen und Anschriften erhoben werden, oder wenn diese Angaben nur mit Hilfe einer laufenden Nummer auf den Erhebungsbogen und einer unter Verschluss gehaltenen (evtl. zur späteren Vernichtung vorgesehenen) Zuordnungsliste festzustellen sind. Dieser Sprachgebrauch entspricht nicht dem BDSG. Wird er gegenüber Teilnehmern verwendet, kann dies eine Täuschung darstellen und die Erhebung und die Nutzung der Daten unzulässig machen.


In der Praxis werden ganz unterschiedliche Methoden der Anonymisierung angewendet. Welche Methode zum Erfolg führt, hängt vom Aufbau und Inhalt des jeweiligen Datenbestandes ab. Da alle Möglichkeiten, die Bezugspersonen mit noch verhältnismäßigem Aufwand zu bestimmen, ausgeschlossen werden müssen, wird häufig eine Kombination mehrerer Methoden erforderlich sein.

  1. Unerlässlicher Bestandteil der Anonymisierung ist in jedem Falle die Löschung der expliziten bzw. direkten Identifikationsmerkmale wie Namen und Anschriften, Personenkennzeichen, Konto-Nummern usw.
  2. Ist eine Bestimmung von Bezugspersonen dadurch möglich, dass innerhalb der Gesamtheit der vom Datenbestand betroffenen Personen (z.B. Einwohner der Gemeinde A) eine bestimmte Merkmalsausprägung nur bei jeweils einer Person vorliegt (z.B. „Alter 103 Jahre“ oder „19 Kinder“), so müssen diese Angaben gelöscht oder durch allgemeiner gehaltene Aussagen ersetzt werden (Merkmalsaggregierung).

    Im Beispielfall könnten die Ersatzangaben „Alter über 80 Jahre“ bzw. „fünf und mehr Kinder“ lauten. Das (sehr selektive) Geburtsdatum kann meist ohne wesentlichen Informationsverlust durch das Geburtsjahr ersetzt werden. Verallgemeinert besteht die Methode darin, bei quantitativen Merkmalen (Größe, Einkommen, Alter usw.) größere Größenklassen zu bilden und bei qualitativen Merkmalen die selten auftretenden Ausprägungen in allgemeinere Ausdrücke mit aufzunehmen („Oberverwaltungsdirektor“ zu „leitendes Verwaltungspersonal“).

  3. Die Bestimmbarkeit von Bezugspersonen kann weiter daraus folgen, dass bestimmte Kombinationen von Merkmalsausprägungen jeweils nur auf eine bestimmte Person zutreffen, von der man weiß, dass ihre Daten im Datenbestand enthalten sind. Die Anonymisierung kann dann ebenso wie in b. erfolgen.

  4. Eine weitere Methode, die Bestimmbarkeit der Bezugsperson aufzuheben, besteht darin, in kontrollierter Weise Zufallsfehler in den Datenbestand einzubringen.


Online-Kommentare

← § 3 BDSG Kommentar Absatz 5   § 3 BDSG Kommentar Absatz 6a →

← § 2 BDSG Kommentare   § 3a BDSG Kommentare →

Weitere Informationen

Empfehlungen zur Umsetzung beim Anonymisieren und Pseudonymisieren


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.