Inhalt
Anonym vs. Pseudonym
Das Dilemma, sich zwischen Wahrung der Privatsphäre oder Datenanalyse entscheiden zu müssen.
Als pseudonyme Daten gelten Daten, für die grundsätzlich Zuordnungsmöglichkeiten existieren (z.B. durch denjenigen der die Pseudonymisierung durchgeführt hat). Diese können ausdrücklich auch außerhalb der Zugriffsmöglichkeiten des Verantwortlichen (Datenverarbeiters) liegen. Wird personenbezogenen oder personenbeziehbaren Daten der Bezug zu Personen genommen, findet eine Anonymisierung statt. Laut Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) liegt eine Anonymisierung vor, wenn der Personenbezug von Daten derart aufgehoben ist, dass er nicht oder nur unter unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann.
Der Unterschied zwischen pseudonymisierten und anonymisierten Daten.
Für pseudonymisierte Daten gilt: Sie befinden sich nach wie vor im Hoheitsbereich der DSGVO, dürfen also nicht ohne weiteres geteilt und nur unter Zustimmung der betroffenen Personen gespeichert werden.
Anders verhält es sich mit anonymisierten Daten. Hier findet die DSGVO keine Anwendung. Für das Speichern und Weitergeben der Daten ist eine explizite Einwilligung nicht notwendig.
Der Unterschied zwischen pseudonymisierter und anonymer Nutzung eines Services.
Ein Service, der Nutzerdaten pseudonymisiert in Profilen speichert, kann mittels einer differenzierten Datenanalyse diese Daten nutzen, um wertvolle Erkenntnisse zu generieren. Gleichzeitig aber nimmt er in Kauf, dass sich die Realidentitäten seiner Nutzer im Zweifelsfall von dritten offenlegen lassen.
Dem gegenüber kann ein rein anonym genutzter Service, zwar die absolute Wahrung der Privatsphäre seiner Nutzer garantieren, verzichtet aber auf die Möglichkeit einer differenzierten Datenanalyse.
Anonymisierung erfüllt Löschpflicht
Lösung des Widerspruchs zwischen Compliance und Nutzung für zukünftige datenbasierte Geschäftsmodelle
Konsequenterweise investieren Unternehmen in die dafür notwendigen Daten. Zwischen deren Schutz und Nutzung entstehen jedoch zwangsläufig Zielkonflikte: Einerseits kollidieren unbegrenzter Zugang und dauerhafte Verwertung mit dem Schutz der Daten. Die Verwendung von geschützten Daten ist insbesondere nur mit der Zustimmung der betroffenen Person für einen bestimmten Zweck und der Möglichkeit der Datenlöschung vorgesehen. Andererseits möchten Unternehmen, dass sich ihre Dateninvestitionen bestmöglich amortisieren. Wie befreit man sich aus diesem Datendilemma?
Im Jahr 2020 hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) festgelegt, dass eine Löschpflicht gemäß Art. 17 DSGVO durch Anonymisierung erfüllbar ist. Vorausgesetzt, das betroffene Unternehmen hat die personenbezogenen Daten rechtmäßig erhoben. Zudem muss es sie in einer Form anonymisiert haben, dass sich der Personenbezug nicht bzw. nur mit einem unverhältnismäßigen Aufwand wiederherstellen lässt.