Absolute und relative Theorie – Wann sind Daten anonym?

Die Verarbeitung großer Mengen personenbezogener Daten ist für einige Geschäftsmodelle, z. B. für das Training von KI-Anwendungen oder für Forschungsprojekte im Gesundheitswesen, von großer Bedeutung. Dabei sind die Vorgaben der DSGVO zu beachten. Was aber, wenn sich keine Rechtsgrundlage findet? Rechtssicherer und datenschutzfreundlicher wäre der Rückgriff auf anonyme Daten. Wann Daten jedoch anonym sind, ist nicht immer einfach zu beurteilen. Im Überblick.

Wann ist ein Datum personenbezogen ?

Der Begriff des personenbezogenen Datums ist in Art. 4 Nr. 1 DSGVO definiert. Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiel: Herr Michale Müller ist 35 Jahre und arbeitet seit 5 Jahren im Unternehmen X, er verdient als leitender Angestellter 120.000 Euro im Jahr. Ein personenbezogenes Datum kann aber auch dann vorliegen, wenn sich der Personenbezug über die Verknüpfung mit anderen Informationen herstellen lässt. Würde man im genannten Beispiel den Namen „Michael Müller“ entfernen, könnte eine dritte Person mit Zusatzwissen Michael Müller über die Informationen zur Gehaltsklasse, Alter und Unternehmenszugehörigkeit trotzdem identifizieren. Das Weglassen des Namens führt also nicht zwingend zur Aufhebung des Personenbezugs.

Sachdaten und personenbezogene Daten

Personenbezogene Daten sind von Sachdaten abzugrenzen. Sachdaten beziehen sich nicht auf eine Person, sondern nur auf eine Sache. Beispiel. Das Auto kostet 10.000 Euro. Zu tragen kommt diese Abgrenzungsfrage z.B. bei KFZ-Daten. Informationen wie z.B. der Bremsweg, der Tachostand oder der Benzinverbrauch geben zunächst nur Informationen über das Fahrzeug wieder. Lassen sich diese Informationen aber einen Fahrer oder Fahrzeughalter zuordnen, geben diese Daten Informationen über die Fahrweise oder den Wert des KFZ. In diesen Fällen sind es keine Sachdaten, sondern personenbezogene Daten.

Anonymität nach der absoluten und relativen Theorie

Die Beispiele zeigen, dass ein Personenbezug häufig erst durch die Verknüpfung von Informationen mit Zusatzwissen Dritter entsteht. Anonymität kann grundsätzlich angenommen werden, wenn eine Person aus einem vorliegenden Datensatz nicht mehr identifizierbar ist. Umstritten ist dabei die Frage, welche Anforderungen an die Re-Identifizierbarkeit zu stellen sind und auf wessen Wissen und Mittel es dabei ankommt. Diskutiert wird hier eine absolute und eine relative Theorie.

Absolute Theorie

Nach der absoluten Theorie darf niemand mehr in der Lage sein, den Personenbezug wieder herzustellen. Der absolute Ansatz berücksichtigt für die Beurteilung der Anonymität jegliches potenzielle Wissen eines beliebigen Dritten und zieht auch die Anwendung krimineller Mittel in die Betrachtung mit ein. Durch KI und die technischen Möglichkeiten der Re-Identifizierung muss man sich aber die berechtige Frage stellen, ob es eine absolute Anonymität überhaupt möglich ist.

Relative Theorie

Im Datenschutzrecht durchgesetzt hat sich daher der relative Ansatz: Anonymität liegt dann vor, wenn das Herstellen des Personenbezugs nicht mehr oder nur noch mit einem unverhältnismäßig hohen Aufwand an Mitteln und Kosten möglich ist. Alles klar – könnte man meinen. Ein Blick auf die aktuelle Rechtsprechung zeigt, dass die Anwendung des relativen Ansatzes in der Praxis weitere Fragen aufwirft.

Relative Theorie in der DSGVO und Rechtsprechung

Die Frage, ob der Personenbezug relativ oder absolut zu beurteilen ist, war lange Zeit umstritten.

Was ergibt sich aus der DSGVO ?

Auch wenn die DSGVO anonyme Daten nicht definiert, klingt im Erwägungsgrund 26 zumindest der relative Ansatz an:

• In Erwägungsgrund 26 heißt es hierzu: „(…) Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind (…).“

Die relative Theorie in der Rechtsprechung

Der EuGH hat sich mittlerweile in mehren Urteilen mit der Frage des Personenbezugs  auseinandergesetzt:

• Wegweisend ist die Breyer-Entscheidung (EuGH-Urteil vom 19.10.2016 – C-582/14) zur  Einordnung der dynamischen IP-Adresse als personenbezogenes Datum. Für die Annahme des Personenbezugs einer IP-Adresse ist es ausreichend, dass der Webseitenbetreiber diesen mit dem Zusatzwissen des Internetanbieters herstellen kann. Der Verantwortliche kann auch auf Wissen und Mittel Dritter zurückgreifen, um den Personenbezug herzustellen. Die Identifizierung der Person muss nach objektiven Kriterien wie Kosten, Arbeitsaufwand und bestehender gesetzliche Erlaubnis wahrscheinlich sein.
• In einem weiteren EuGH-Urteil (Urteil vom 9.11.2023 – C-319/22) ging es um den Personenbezug der Fahrzeugidentifikationsnummer (FIN). Die FIN ist zunächst nur ein alphanumerischer Code, den der Hersteller einem bestimmten Fahrzeug zuweist. Über die FIN lassen sich isoliert betrachtet nur sachbezogene Informationen gewinnen, wie z.B. Hersteller, Modell und Baureihe. Für den Fahrzeughersteller ist die FIN damit erstmal nicht personenbezogen. Nur, wenn die FIN über weitere Informationen, z.b. über die Zulassungsbescheinigung, einer identifizierbaren Person zugeordnet werden kann, handelt es sich um ein personenbezogenes Datum. Für die Frage der Identifizierbarkeit stellt der EuGH wieder auf das Wissen und die Mittel des Verantwortlichen ab. Interessant ist an dieser Entscheidung, dass sich der Fahrzeughersteller hier das Wissen und die Mittel der Empfänger zurechnen lassen muss. Verfügt der Empfänger über die Zulassungsbescheinigung, kann die FIN auch für den Fahrzeughersteller ein personenbezogenes Datum sein.
• Nach dem EuGH-Urteil vom 7.03. 2024 – C 604/22 ist der TC-String für den Verband IAB-Europe ein personenbezogenes Datum. Der TC-String setzt sich aus einer Kombination aus Buchstaben und Zeichen zusammen und speichert Informationen darüber, ob ein Nutzer seine Zustimmung zu einer bestimmten Datenverarbeitung erteilt hat. Der TC-String ist zunächst nicht personenbezogen, kann aber über die Verknüpfung mit einer IP-Adresse einer natürlichen Person zugeordnet werden. IAB-Europe verfügt grundsätzlich nicht über Informationen zur IP-Adresse und Endgeräte der Nutzer, hat aber vertraglich gegenüber seinen Mitgliedern einen Anspruch auf Übermittlung von Informationen, die den Nutzer identifizieren. Damit verfügt IAP-Europe über die rechtlichen Mittel der Re-Identifizierung.

Anwendung der relativen Theorie in der Praxis

Auch wenn sich mit der aktuellen EuGH-Rechtsprechung Kriterien für die Bestimmbarkeit anonymer Daten herausgestellt haben, muss die Frage immer am Einzelfall betrachtet und geklärt werden. Für eine potenzielle Identifizierbarkeit der Person sind das Wissen, sowie Kosten, Aufwand und rechtliche Möglichkeiten des Verantwortlichen und der Empfänger zu berücksichtigen. Zudem sind die technischen Möglichkeiten der Re-Identifizierbarkeit im Blick zu behalten. Die Frage der Anonymität kann nicht einmalig beurteilt werden, sondern ist regelmäßig nach dem Stand der Technik neu zu beurteilen.