Wann sind Daten pseudonymisiert – und wann anonymisiert?

In der digitalen Welt sind personenbezogene Daten das neue Gold. Doch wie schützt man diese Schätze angemessen? Die Datenschutz-Grundverordnung (DSGVO) unterscheidet zwischen personenbezogenen, pseudonymisierten und anonymisierten Daten – mit weitreichenden Folgen für Unternehmen. Ein aktueller Beschluss des Landgerichts Hannover (Az. 128 OWiLG 1/24) bringt Licht ins Dunkel dieser Unterscheidung.

Pseudonymisierung vs. Anonymisierung: Die Grundlagen

Pseudonymisierung bedeutet, dass personenbezogene Daten so verarbeitet werden, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Diese zusätzlichen Informationen müssen getrennt aufbewahrt werden und technischen sowie organisatorischen Maßnahmen unterliegen.

Anonymisierung hingegen liegt vor, wenn die Daten so verändert wurden, dass die betroffene Person nicht mehr identifiziert werden kann – weder direkt noch indirekt. Solche Daten fallen nicht mehr unter die DSGVO.

Der Fall vor dem LG Hannover: Ein Praxisbeispiel

Ein internationaler Automobilkonzern übermittelte pseudonymisierte Mitarbeiterdaten – darunter Personalnummern und Angaben zu Disziplinarmaßnahmen – an einen US-amerikanischen Compliance-Monitor. Die Datenschutzbehörde sah hierin einen Verstoß gegen die DSGVO, da die Daten nicht anonymisiert waren und die betroffenen Mitarbeiter nicht ausreichend informiert wurden.

Das LG Hannover entschied jedoch anders:

„Pseudonymisierte Daten sind dann faktisch anonym, wenn der Empfänger sie nicht bestimmten Personen zuordnen kann und auch keinen Anlass oder Möglichkeit zur Zuordnung hat.“

Da der US-Monitor keinen Zugriff auf die Zuordnungsschlüssel hatte und auch kein Interesse zeigte, die Identität der Personen zu ermitteln, betrachtete das Gericht die Daten als faktisch anonym.

Die Bedeutung der „anonymisierenden Pseudonymisierung“

Das Gericht führte den Begriff der „anonymisierenden Pseudonymisierung“ ein. Dies beschreibt Situationen, in denen pseudonymisierte Daten für den Empfänger faktisch anonym sind, weil er keine realistische Möglichkeit hat, die Identität der betroffenen Personen zu ermitteln.

Diese Sichtweise betont die Perspektive des Datenempfängers: Entscheidend ist, ob dieser mit den ihm zur Verfügung stehenden Mitteln eine Re-Identifizierung vornehmen kann. Theoretische Möglichkeiten oder spekulative Annahmen reichen nicht aus.

Auswirkungen für Unternehmen

Die Entscheidung des LG Hannover bietet Unternehmen wichtige Anhaltspunkte:

• Empfängersicht einnehmen: Bewerten Sie, ob der Datenempfänger realistisch in der Lage ist, Personen zu identifizieren.
• Dokumentation: Halten Sie fest, welche Maßnahmen getroffen wurden, um eine Re-Identifizierung zu verhindern.
• Vertragliche Regelungen: Stellen Sie sicher, dass Verträge mit Datenempfängern klare Vorgaben zur Datenverarbeitung enthalten.

Durch diese Maßnahmen können Unternehmen ihre Datenschutzpflichten erfüllen und gleichzeitig den Handlungsspielraum bei der Datenverarbeitung erweitern.

Fazit

Die Unterscheidung zwischen pseudonymisierten und anonymisierten Daten ist kein rein theoretisches Konstrukt, sondern hat praktische Bedeutung für die Datenverarbeitung in Unternehmen. Die Entscheidung des LG Hannover zeigt, dass eine sorgfältige Bewertung der Re-Identifizierbarkeit und entsprechende organisatorische Maßnahmen entscheidend sind.