Datenschützer: Mehr Datennutzung durch Anonymisierung und Pseudonymisierung
Warum Datenschutz und Datennutzung kein Widerspruch sind, erläutern die Datenschützer Marit Hansen, Ulrich Kelber und Alexander Roßnagel in einem Gastbeitrag.
(Bild: GaudiLab/Shutterstock.com)
Die Vorsitzende der Datenschutzkonferenz Dipl.-Inf. Marit Hansen, der Bundesbeauftragte für Datenschutz und Informationsfreiheit Prof. Ulrich Kelber sowie der Hessische Datenschutzbeauftragte Prof. Roßnagel nehmen in diesem Gastbeitrag Stellung zu der immer wieder aufkommenden Kritik an vermeintlich zu strengem Datenschutz.
Alle wollen mehr Daten: Staat, Unternehmen und Forschung. Wenn es um personenbezogene Daten geht, sehen dies viele Bürgerinnen und Bürger kritisch und fürchten um ihre Privatsphäre. Dabei gibt es oft Lösungen, die beide Bedürfnisse berücksichtigen, wenn nämlich auf konsequente Anonymisierung oder Pseudonymisierung sowie weitere technisch-organisatorische Schutzmaßnahmen gesetzt wird. Das gilt für Gesundheits- und Sozialforschung, Open Data, Stadtplanung, Verkehrslenkung, das Training von KI-Modellen und vieles andere mehr.
"Das geht nicht wegen des Datenschutzes" – dieser Satz ist bis auf wenige – und dann auch mehr als berechtigte – Ausnahmen einfach falsch. Eine solche Aussage entsteht durch Unkenntnis oder durch den Unwillen, einen einmal eingeschlagenen Weg zur Nutzung personenbezogener Daten anders zu gestalten. Oft ist sie auch Ausdruck der Rechtsunsicherheit der Beteiligten. Um das zu ändern, bieten der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz Hilfestellungen an, beispielsweise mit den bald kommenden Leitlinien zu Anonymisierung und Pseudonymisierung.
Am besten mit Anonymisierung
Werden personenbezogene Daten zuverlässig anonymisiert, öffnen sich für ihre Verwendung neue Welten. Da sich erfolgreich anonymisierte Daten nicht mehr den einzelnen zugehörigen Personen zuordnen lassen, unterliegen sie nicht mehr dem Schutz der Datenschutz-Grundverordnung (DSGVO). Die Anforderungen an eine solche erfolgreiche Anonymisierung sind durchaus hoch, können aber oft erfüllt werden. Beispielsweise sind für die Verkehrsplanung nicht die einzelnen Verkehrsteilnehmerinnen und Verkehrsteilnehmer entscheidend. Meist ist nur das Verhalten von Gruppen oder in bestimmten Zeiträumen relevant. Dann reichen zusammengefasste Daten, aus denen keine Individuen herausgefiltert und die nicht "re-personalisiert" werden können.
Um das volle Potenzial von Anonymisierung auszuschöpfen, braucht es leicht verfügbare und standardisierte Tools, die eine zuverlässige Anonymisierung für den jeweiligen Anwendungsfall leisten. Schließlich werden aufgrund von mehr verknüpfbaren Daten und einer höheren Rechenleistung auch die Möglichkeiten zur Re-Personalisierung immer leistungsfähiger. Entscheidend ist, dass das Risiko einer – auch künftigen – Identifizierung der zugehörigen Personen praktisch ausgeschlossen ist. Gesetzgeber und Datenschutzaufsichtsbehörden sollten außerdem klarmachen, wann Anonymisierung notwendig ist und welche Anforderungen dabei erfüllt werden müssen. Auch dazu sollen die Leitlinien des Europäischen Datenschutzausschusses dienen.
Pseudonymisierung kann mehr als vermutet
Es gibt Anwendungsfälle, bei denen eine Anonymisierung für den Zweck nicht geeignet ist: zum Beispiel in der Gesundheitsforschung, wenn Krankengeschichten über einen längeren Zeitraum beobachtet und dadurch immer wieder Daten ergänzt werden müssen. Oder wenn eine Anonymisierung den Informationsgehalt der Daten zu stark verändern würde, zum Beispiel durch sogenanntes Verrauschen. Doch oft ist eine Verwendung der Daten trotzdem im Einklang mit dem Datenschutz möglich, wenn diese pseudonymisiert werden und dabei Datenhaltung und Pseudonym-Zuordnung strikt getrennt sind. Der Schutz der DSGVO für die pseudonymisierten Daten bleibt voll erhalten, sie dürfen aber durch das verringerte Missbrauchsrisiko einfacher genutzt werden.
Aus Sicht der Datenschutzaufsichtsbehörden lohnt es sich daher auch festzulegen, welche Nutzung pseudonymisierter Daten durch bestimmte qualifizierte Dritte erlaubt ist, wenn diese erstens nur auf den Daten arbeiten dürfen, ohne in ihren Besitz zu gelangen, etwa in einem Forschungsdatenzentrum, und zweitens diese Dritten nicht über weitere Daten und Werkzeuge verfügen, um die Daten re-personalisieren zu können. Die Daten selbst wären dann zwar nicht anonymisiert, aber für die Verarbeitung durch die Dritten selbst ist die Schutzhöhe die gleiche.
Auch hier wollen wir europäischen und deutschen Datenschutzbehörden in Leitlinien klare Aussagen treffen, wie wir dies schon in der "Petersberger Erklärung" vom November 2022 zu Forschungsdaten angekündigt hatten.
Geht nur mit Datenschutz
Mit dem Fortschritt ist verbunden, dass wir zukünftig mehr Daten nutzen werden, auch personenbezogene Daten. Der Datenschutz steht dem nicht entgegen, wenn die durch diese zunehmende Datennutzung immer wichtiger werdenden Datenschutzgrundsätze konsequent berücksichtigt werden.
Denn eines ist klar: Eine Gesellschaft bleibt nur frei und fair, wenn die Bürgerinnen und Bürger auch digital selbstbestimmt und unbeobachtet leben können. Mit Anonymisierung, Pseudonymisierung und gut umgesetzten technischen und organisatorischen Schutzmaßnahmen sind Datenschutz und Datennutzung miteinander vereinbar. Die Projekte zur Datennutzung müssen aber von Anfang an richtig aufgesetzt werden. Staat, Unternehmen und Forschung sind aufgefordert, die vorhandenen Möglichkeiten zu nutzen, anstatt sich mit faulen Ausreden um Lösungen zu drücken.
Neue Chancen bieten auch innovative Datenschutz-Methoden, beispielsweise auf Basis von Verschlüsselungsverfahren, synthetischen Daten oder dezentralen Ansätzen des Maschinenlernens, die verstärkt den Weg von der Wissenschaft in die Praxis finden sollten. Wer die Anforderungen an den Schutz der Grundrechte für zu mühsam hält, der wird kläglich an der Digitalisierung scheitern.
(mack)