print logo

Richtig anonymisieren unter Bedingungen der DSGVO

Was sind Anomymisierung und Pseudonymisierung genau und was sind die rechtlichen Rahmenbedingungen?
Daniela Duda | 16.07.2018
Viele User wollen im Internet anonym blieben. © Pixabay / B_A
 
Es ist ein wiederkehrender Konflikt zwischen jenen, welche Dienste anbieten, und solchen, welche diese Dienste nutzen wollen. Die einen hätten gerne möglichst alle Daten der Nutzer, um dann auch Mehrwerte anbieten zu können und nachhaltig zum Wertschöpfungsprozess beizutragen. Die anderen suchen gerne die weitestgehende Anonymität, um sowohl der Werbung zu entgehen, als auch „gefühlt“ sicherer vor Ausspähung zu sein.

Ein Blick hinter die Kulissen: Was ist eigentlich was?


Das Pseudonym, auch Alias genannt, ist ein Name, der anstelle des bürgerlichen Namens, auch Real Name genannt, eingesetzt, beziehungsweise genutzt wird. Die E-Mail-Adresse supermann213@... ist ebenso ein Pseudonym wie die Personalnummer im Unternehmen oder die Teilnehmerkennzahl bei einer Veranstaltung. Oder eben auch – nach überwiegender Rechtsauffassung – die IP Adresse.

Wichtigstes Merkmal ist, dass hier Daten wieder so zusammengeführt werden können, dass man den bürgerlichen Namen zuordnen kann. Wer in dem jeweiligen Fall mit welchem Aufwand diese Zusammenführung möglich erscheinen lässt, entscheidet darüber, ob gegebenenfalls die Grenze zur Anonymität überschritten wurde. Anonymität, auch als Inkognito verstanden, bedeutet erst einmal, dass eine Person nicht identifiziert, der bürgerliche Name also nicht zugewiesen werden kann.

Im Hier und jetzt wäre ein gutes Beispiel das Folgende: Komplett verkleidet auf einem Kostümball in einer fremden Stadt und unter fremden Menschen, würden Sie sich wohl inkognito, also anonym unter diesen bewegen können. Für diese Gruppe Menschen wären Sie anonym. Doch bereits bei Verlassen der Veranstaltung und Absetzen der Maske wäre mit der nächsten Überwachungskamera Ihre Anonymität aufgehoben. Auch durch das gleichzeitige Mitführen eines auf Sie registrierten Mobilfunktelefons, sind der absoluten Anonymität Grenzen aufgezeigt. Ihr Aufenthaltsort ist nun im Bewegungsprofil gespeichert und damit Ihre Anwesenheit auf der besagten Feier nachweisbar.

Im virtuellen Raum wird es ungleich schwieriger. Digitale Identitäten, die keinen direkten Personenbezug haben, dienen hier der Pseudonymisierung. Manche Anbieter fordern allerdings sogenannte „Klarnamen“. Der Klarnamenzwang wurde bei der Einführung des sozialen Netzwerks Google+ im Jahr 2011 und auch bei Facebook ausgiebig diskutiert. Eine Teilnahme war zum Beispiel bei Google+ zunächst aus-schließlich unter vollem Klarnamen vorgesehen und offenkundig „falsche“ Identitäten wurden gelöscht. Nach weltweiten öffentlichen Protesten, auch in den USA, lenkte Google ein: Es wird bei der Registrierung zwar noch immer die Angabe des Klarnamens verlangt, den Teilnehmern allerdings ermöglicht, im Netzwerk selbst unter Pseudonym aufzutreten. Durch die aktuell in den Medien vieldiskutierte Problematik rund um FakeNews und Hassreden, wird der Ruf nach der Klarnamenpflicht wieder lauter.

Das deutsche Recht sieht jedoch vor (§ 13 Abs. 6 Satz 1 Telemediengesetz (TMG)), dass die Nutzung eines Telemediendienstes und dessen Bezahlung – hierunter fällt auch ein soziales Netzwerk oder Forum im Internet – anonym oder pseudonym möglich sein muss, soweit dies technisch möglich und zumutbar ist.

Und auch das Bundesdatenschutzgesetz (§ 3a BDSG - Datenvermeidung und Datensparsamkeit), sowie die seit 25. Mai 2018 geltende EU Datenschutz-Grundverordnung (Art. 6 Abs. 4 lit e), Art. 25 Abs. 1, Art. 32 Abs. lit a), kurz: DSGVO, fordern, von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Doch was ist angemessen?


Und was kann ein angestrebter Schutzzweck sein? Im Unternehmen selbst würde man zum Beispiel bei Befragungen der Beschäftigten zum Betriebsklima jedenfalls sicherstellen wollen, dass die Teilnahme anonym ist, weil die Kollegen wohl sonst kaum ehrlich antworten werden. Der Zweck des Schutzes ist also: „Der Mitarbeiter muss anonym bleiben können, damit diesem auch bei kritischer Bewertung keine Repressalien drohen.“ Selbst ein mittels E-Mail zugesendeter Teilnahmecode ist hier im besten Falle pseudonym – also zur Person rückführbar. Denn irgendwo existiert eine Aufstellung, welche die jeweilige E-Mail-Adresse einem Code zuweist. Und wenn es auch nur auf dem Server des Umfrage-Dienstleisters ist. Ideal wären also zum Beispiel neutrale Umschläge, in welchen ein Brief mit einem Code eingetütet ist. Diese Umschläge würden dann in die Postfächer der Kollegen gelegt.

Bleibt – um im Beispiel zu bleiben – noch die IP-Adresse des Kollegen, wenn der dann von seinem Arbeitsplatzrechner aus die Umfrage-Webseite öffnet. Hier wird sicher von der Seite auch ein sogenannter Session-Cookie gesetzt werden und die Seite registriert in eigenen Logfiles die IP-Adresse. Nun könnte man die Protokolle und Session-IDs der Umfrageseite und die IP-Adressenzuordnung im eigenen Unternehmen abgleichen und wäre – et volià – wieder beim echten Menschen gelandet.

Hier würde man allerdings doch davon ausgehen, dass es sich um anonymisierte Daten handelt, denn der Gesetzgeber versteht unter Anonymisieren „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“. Beziehungsweise nach EU DSGVO „Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“. Und das genannte Beispiel skizziert einen durchaus unverhältnismäßigen Aufwand.

Datenschutz beachten!


Für Sie als Unternehmen wird Anonym und Pseudonym in vielen Zusammenhängen relevant sein. Denn sowie Sie es mit wirklich anonymen Daten zu tun haben, können Sie mit diesen aus Sicht des Datenschutzes frei agieren. Doch bei personenbezogenen oder pseudonymen Daten sind die Regeln des Datenschutzes ein-zuhalten. Bei Nichtbeachtung sieht man sich mit unerfreulichen Konsequenzen konfrontiert, welche von kritischen Rückfragen eigener Mitarbeiter/-innen, Kunden oder Interessenten über Rufschäden bis hin zu empfindlichen Bußgeldern reichen.

Betrachten wir hierfür die eigene Internetseite: Wenn diese bei einem Hoster liegt, reicht der „normale“ Vertrag mit diesem nicht aus. Es ist zusätzlich eine sogenannte Vereinbarung zur Auftragsverarbeitung mit dem Dienstleister zu schließen. Denn der Dienstleister protokolliert Zugriffe auf seine Server, beziehungsweise Ihre Webseite. Hierin ist die IP-Adresse des Nutzers ebenso enthalten, wie gegebenenfalls noch viele andere Daten, welche nun im Falle eines Falles auch zur Person rückführbar sind. Zum Beispiel ganz klar dann, wenn Sie auf Ihren Seiten ein Kontaktformular bereithalten, die Registrierung ermöglichen oder einen Shop betreiben. Der Hoster hat potenziell Zugriff zu all diesen Daten.

Oder betrachten wir die eigentlich doch aus Ihrer Wahrnehmung potentiell anonyme Verarbeitung der Besucherdaten im Rahmen Ihrer Webseite. Der Besucher muss in der Datenschutzerklärung vollständig und in verständlicher Sprache über die Datenverarbeitung im Rahmen der Seite aufgeklärt werden. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat allerdings am 26. April eine Positionsbestimmung veröffentlicht, die über die „Anwendbarkeit des TMG für nicht-öffentliche Stellen“ informiert.

Nach Ansicht der DSK „kommt ab dem 25. Mai 2018 die DSGVO vorrangig zu Anwendung“. Weshalb „die §§ 12, 13, 15 TMG bei der Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen ab dem 25. Mai 2018 nicht mehr angewendet werden können“.

Folglich kommt laut DSK „als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien nur Art. 6 Abs. 1 lit. a), b) und f) DSGVO in Betracht“. Am Ende dieses Positionspapiers (Ziffer 9) kommt die DSK dann zu dem Ergebnis, dass es aus ihrer Sicht „jedenfalls einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen bedarf.“ Das bedeutet konkret für Websitebetreiber, dass eine gewichtige Stimme, nämlich die zuständigen Aufsichtsbehörden, das Einholen einer Einwilligung für das Setzen von Cookies für erforderlich hält.

Sofern noch nicht geschehen, sollten Webseiten demnach einen „Cookie-Banner“ erhalten, der unter Verweis auf die Datenschutzerklärung eine Einwilligung des Seitenbesuchers mittels eines zu bestätigenden Buttons oder einzustellenden Checkboxen abfragt. Um auf der sicheren Seite zu sein, sollten ohne diese erklärte Einwilligung keine über die technisch erforderlichen Datenverarbeitungsvorgänge hinausgehenden Daten erhoben oder gar an Auftragsverarbeiter weitergegeben werden.

Eine fehlerhafte oder gar fehlende Datenschutzerklärung kann Grund für eine Abmahnung sein. Denn es kann als eine Wettbewerbsverletzung verstanden werden (§ 4 Nr. 11 Gesetz gegen den unlauteren Wettbewerb (UWG)), da es Stimmen gibt, die diese Vorschrift als eine sogenannte Marktverhaltensregel einstufen.

Fazit


Mit den Begriffen „anonym“ und „pseudonym“ sollte nicht allzu sorglos umgegangen und eher noch einmal konkret skizziert werden, wo welche Daten anfallen und verarbeitet werden. Die Webseite sollte ebenfalls genau unter die Lupe genommen werden, was die Cookies und deren Arbeit mit pseudonymen Daten betrifft. Und wann immer Sie können: anonymisieren Sie!