3 BDSG a.F. Kommentar Absatz 6: Unterschied zwischen den Versionen

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „Kommentare und Erläuterungen zu § 3 Weitere Begriffsbestimmungen ==Absatz 6 Text== <blockquote style="background-color:#f0f0f4;border:1px …“)
 
K (Teclador verschob die Seite 3 BDSG Kommentar Absatz 6 nach 3 BDSG a.F. Kommentar Absatz 6: Anpassung alte Fassung)
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Kommentare und Erläuterungen zu [[§3 BDSG|§&nbsp;3 Weitere Begriffsbestimmungen]]
{{DISPLAYTITLE:BDSG a.F. Kommentare und Erläuterungen}}{{komm_header|3}}
 
{{komm_abstext|A=6|T=(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.  
==Absatz 6 Text==
}}
<blockquote style="background-color:#f0f0f4;border:1px dotted #000;padding:5px;margin:20px;">
(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.  
</blockquote>


==Anonymisieren==
==Anonymisieren==
Die Anonymisierung hat im Rahmen des [[BDSG]] zunehmend Bedeutung erlangt. Während der Grundsatz der [[Datenvermeidung und Datensparsamkeit|Datensparsamkeit]] des [[§3a BDSG|§&nbsp;3a]] generell gilt, richtet sich ein Anonymisiserungsgebot speziell an die [[Verantwortliche Stelle|verantwortlichen Stellen]] in den Bereichen der Markt- und Meinungsforschung ([[§30 BDSG|§&nbsp;30]], [[§30a BDSG|§&nbsp;30a]]) und der wissenschaftlichen Forschung [[§40 BDSG|§&nbsp;40]]). Beiden ist gemein, dass ihr Ausgangsmaterial typischerweise [[personenbezogene Daten]] enthält, die Verarbeitungsergebnisse jedoch keinen Personenbezug haben.  
Die Anonymisierung hat im Rahmen des [[BDSG]] zunehmend Bedeutung erlangt. Während der Grundsatz der [[Datenvermeidung und Datensparsamkeit|Datensparsamkeit]] des {{bdsgl|3a}} generell gilt, richtet sich ein Anonymisiserungsgebot speziell an die [[Verantwortliche Stelle|verantwortlichen Stellen]] in den Bereichen der Markt- und Meinungsforschung ({{bdsgl|30}}, {{bdsgl|30a}}) und der wissenschaftlichen Forschung {{bdsgl|40}}). Beiden ist gemein, dass ihr Ausgangsmaterial typischerweise [[personenbezogene Daten]] enthält, die Verarbeitungsergebnisse jedoch keinen Personenbezug haben.  


In diesen Bereichen verlangt das Gesetz eine Anonymisierung der Datenbestände der verantwortlichen Stellen, sobald dies nach dem Zweck des Forschungsvorhabens bzw. nach dem Forschungszweck möglich ist. Eine Anonymisierung ist ferner Voraussetzung der Verwendung für einen anderen [[Zweckbindung|Zweck]].  
In diesen Bereichen verlangt das Gesetz eine Anonymisierung der Datenbestände der verantwortlichen Stellen, sobald dies nach dem Zweck des Forschungsvorhabens bzw. nach dem Forschungszweck möglich ist. Eine Anonymisierung ist ferner Voraussetzung der Verwendung für einen anderen [[Zweckbindung|Zweck]].  
Zeile 14: Zeile 11:




Von einer Anonymisierung kann nicht gesprochen werden, wenn die verantwortliche Stelle ohne unverhältnismäßig großem Aufwand in der Lage ist, die [[Betroffener|Betroffenen]] wieder bestimmt oder bestimmbar zu machen. Deshalb reicht eine getrennte Speicherung von Identifikatoren und sonstigen Merkmalen nicht aus, wenn die Wiederzusammenführung möglich ist. Dies gilt auch, wenn die Zuordnungsliste besonders unter Verschluss genommen wird. Ebenso wenig reicht eine [[Pseudonymisieren|Pseudonymisierung]] im Sinne von Abs.&nbsp;6a und [[§3a BDSG|§&nbsp;3a]]&nbsp;Satz&nbsp;2. Einen unverhältnismäßig großen Aufwand muss eine Bestimmung des Betroffenen nicht nur für Personen haben, die mit den betreffenden Dateien regelmäßig arbeiten (etwa für wirtschafts- oder sozialwissenschaftliche Analysen), sondern auch für diejenigen, die die Daten technisch und sicherheitsmäßig verwalten (Datenbankverwalter, Systemverwalter, [[Datenschutzbeauftragter]]).
Von einer Anonymisierung kann nicht gesprochen werden, wenn die verantwortliche Stelle ohne unverhältnismäßig großem Aufwand in der Lage ist, die [[Betroffener|Betroffenen]] wieder bestimmt oder bestimmbar zu machen. Deshalb reicht eine getrennte Speicherung von Identifikatoren und sonstigen Merkmalen nicht aus, wenn die Wiederzusammenführung möglich ist. Dies gilt auch, wenn die Zuordnungsliste besonders unter Verschluss genommen wird. Ebenso wenig reicht eine [[Pseudonymisieren|Pseudonymisierung]] im Sinne von Abs.&nbsp;6a und {{bdsg|3a||2}}. Einen unverhältnismäßig großen Aufwand muss eine Bestimmung des Betroffenen nicht nur für Personen haben, die mit den betreffenden Dateien regelmäßig arbeiten (etwa für wirtschafts- oder sozialwissenschaftliche Analysen), sondern auch für diejenigen, die die Daten technisch und sicherheitsmäßig verwalten (Datenbankverwalter, Systemverwalter, [[Datenschutzbeauftragter]]).


===Verfahren der Anonymisierung===
===Verfahren der Anonymisierung===
Zeile 51: Zeile 48:
</ol>
</ol>


{{komm_nav|3|6}}


==Weitere Informationen==
==Weitere Informationen==
[[Erforderlichkeit|Empfehlungen zur Umsetzung beim Anonymisieren und Pseudonymisieren]]  
[[Erforderlichkeit|Empfehlungen zur Umsetzung beim Anonymisieren und Pseudonymisieren]]
 
{{komm_footer|3}}
==[[:Kategorie:Online-Kommentare|Online-Kommentare]]==
{{BfDI-Content}}
[[§3 BDSG Kommentar Absatz 5|§3 BDSG Kommentar Absatz 5]] | [[§3 BDSG Kommentar Absatz 6a|§3 BDSG Kommentar Absatz 6a]]<br/>
[[§2 BDSG Kommentar]] | [[§3a BDSG Kommentar]]
 
-----
[[Bundesdatenschutzgesetz]]
[[Kategorie:§3 BDSG Kommentare]]

Aktuelle Version vom 27. Mai 2018, 17:51 Uhr

§ 3 Weitere Begriffsbestimmungen

Absatz 6 Text

(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Anonymisieren

Die Anonymisierung hat im Rahmen des BDSG zunehmend Bedeutung erlangt. Während der Grundsatz der Datensparsamkeit des § 3a generell gilt, richtet sich ein Anonymisiserungsgebot speziell an die verantwortlichen Stellen in den Bereichen der Markt- und Meinungsforschung (§ 30, § 30a) und der wissenschaftlichen Forschung § 40). Beiden ist gemein, dass ihr Ausgangsmaterial typischerweise personenbezogene Daten enthält, die Verarbeitungsergebnisse jedoch keinen Personenbezug haben.

In diesen Bereichen verlangt das Gesetz eine Anonymisierung der Datenbestände der verantwortlichen Stellen, sobald dies nach dem Zweck des Forschungsvorhabens bzw. nach dem Forschungszweck möglich ist. Eine Anonymisierung ist ferner Voraussetzung der Verwendung für einen anderen Zweck.

Ist ein Datenbestand im Sinne der Legaldefinition anonymisiert, so enthält er keine personenbezogenen Daten mehr. Beide Begriffe sind komplementär.


Von einer Anonymisierung kann nicht gesprochen werden, wenn die verantwortliche Stelle ohne unverhältnismäßig großem Aufwand in der Lage ist, die Betroffenen wieder bestimmt oder bestimmbar zu machen. Deshalb reicht eine getrennte Speicherung von Identifikatoren und sonstigen Merkmalen nicht aus, wenn die Wiederzusammenführung möglich ist. Dies gilt auch, wenn die Zuordnungsliste besonders unter Verschluss genommen wird. Ebenso wenig reicht eine Pseudonymisierung im Sinne von Abs. 6a und § 3a Satz 2. Einen unverhältnismäßig großen Aufwand muss eine Bestimmung des Betroffenen nicht nur für Personen haben, die mit den betreffenden Dateien regelmäßig arbeiten (etwa für wirtschafts- oder sozialwissenschaftliche Analysen), sondern auch für diejenigen, die die Daten technisch und sicherheitsmäßig verwalten (Datenbankverwalter, Systemverwalter, Datenschutzbeauftragter).

Verfahren der Anonymisierung

Eine Anonymisierung kann in sehr unterschiedlicher Weise erfolgen. Bereits die Erhebung und die Speicherung können anonym (im Sinne der Legaldefinition) durchgeführt werden, wie die Praxis mancher Meinungsumfragen zeigt. Damit eine Anonymisierung vorliegt, muss das Verfahren sicherstellen,

  1. dass nachträglich nicht feststellbar ist (etwa durch Markierungen der Belege oder durch Handschriftenvergleich), wer welche Erhebungsbögen eingeworfen hat,
  2. dass nicht nach Angaben gefragt wird, durch die Einzelne ohne unverhältnismäßig großen Aufwand aus der Gesamtmenge der Befragten bestimmbar sind und
  3. dass bei der Übermittlung mehrerer anonymisierter Datenbestände diese nicht in Kombination das Zusatzwissen enthalten, das eine Identifizierung von Bezugspersonen ermöglicht.

Zeichnet ein Interviewer die Antworten der Befragungsperson auf, so sind die Angaben zunächst personenbezogen. Sie werden aber anonym(isiert), sobald der Befrager zu einer Zuordnung von Antworten zu Befragten nicht mehr imstande ist. Eine vollständig anonyme Datenerhebung ist (bzgl. des Stimminhalts, nicht der Tatsache der Stimmabgabe) die geheime Wahl bzw. Abstimmung.


In den empirischen Sozialwissenschaften wird die Bezeichnung „anonyme Befragung“ häufig bereits dann verwendet, wenn keine Namen und Anschriften erhoben werden, oder wenn diese Angaben nur mit Hilfe einer laufenden Nummer auf den Erhebungsbogen und einer unter Verschluss gehaltenen (evtl. zur späteren Vernichtung vorgesehenen) Zuordnungsliste festzustellen sind. Dieser Sprachgebrauch entspricht nicht dem BDSG. Wird er gegenüber Teilnehmern verwendet, kann dies eine Täuschung darstellen und die Erhebung und die Nutzung der Daten unzulässig machen.


In der Praxis werden ganz unterschiedliche Methoden der Anonymisierung angewendet. Welche Methode zum Erfolg führt, hängt vom Aufbau und Inhalt des jeweiligen Datenbestandes ab. Da alle Möglichkeiten, die Bezugspersonen mit noch verhältnismäßigem Aufwand zu bestimmen, ausgeschlossen werden müssen, wird häufig eine Kombination mehrerer Methoden erforderlich sein.

  1. Unerlässlicher Bestandteil der Anonymisierung ist in jedem Falle die Löschung der expliziten bzw. direkten Identifikationsmerkmale wie Namen und Anschriften, Personenkennzeichen, Konto-Nummern usw.
  2. Ist eine Bestimmung von Bezugspersonen dadurch möglich, dass innerhalb der Gesamtheit der vom Datenbestand betroffenen Personen (z.B. Einwohner der Gemeinde A) eine bestimmte Merkmalsausprägung nur bei jeweils einer Person vorliegt (z.B. „Alter 103 Jahre“ oder „19 Kinder“), so müssen diese Angaben gelöscht oder durch allgemeiner gehaltene Aussagen ersetzt werden (Merkmalsaggregierung). Im Beispielfall könnten die Ersatzangaben „Alter über 80 Jahre“ bzw. „fünf und mehr Kinder“ lauten. Das (sehr selektive) Geburtsdatum kann meist ohne wesentlichen Informationsverlust durch das Geburtsjahr ersetzt werden. Verallgemeinert besteht die Methode darin, bei quantitativen Merkmalen (Größe, Einkommen, Alter usw.) größere Größenklassen zu bilden und bei qualitativen Merkmalen die selten auftretenden Ausprägungen in allgemeinere Ausdrücke mit aufzunehmen („Oberverwaltungsdirektor“ zu „leitendes Verwaltungspersonal“).
  3. Die Bestimmbarkeit von Bezugspersonen kann weiter daraus folgen, dass bestimmte Kombinationen von Merkmalsausprägungen jeweils nur auf eine bestimmte Person zutreffen, von der man weiß, dass ihre Daten im Datenbestand enthalten sind. Die Anonymisierung kann dann ebenso wie in b. erfolgen.
  4. Eine weitere Methode, die Bestimmbarkeit der Bezugsperson aufzuheben, besteht darin, in kontrollierter Weise Zufallsfehler in den Datenbestand einzubringen.


Online-Kommentare

← § 3 BDSG a.F. Kommentar Absatz 5   § 3 BDSG a.F. Kommentar Absatz 6a →

← § 2 BDSG a.F. Kommentare   § 3a BDSG a.F. Kommentare →

Weitere Informationen

Empfehlungen zur Umsetzung beim Anonymisieren und Pseudonymisieren


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.