Seite 3: Zur (Un-)Möglichkeit vollständiger Anonymisierung

Inhaltsverzeichnis

Für die Pseudonymisierung ist es ausreichend, Identitäts- von Informationsdaten zu trennen. Die Zuordnung der pseudonymisierten Daten bleibt mithilfe des dazugehörigen Schlüssels also möglich, die Daten bleiben weiterhin personenbezogene Daten. Anders könnte die Situation zu beurteilen sein, in der die zur Re-Identifizierung erforderlichen Daten nicht beim Verantwortlichen, sondern bei einer dritten Stelle aufbewahrt werden, und Ersterer lediglich über die pseudonymisierten Daten ohne eigene Identifizierungsmöglichkeit verfügt. Ist dieses Zusatzwissen eines Dritten für den Verantwortlichen "nicht erreichbar", haben also beide Stellen keinerlei Bezug zueinander, könnte sich das wie eine faktische Anonymisierung auswirken. Dies wird zum Teil mit dem Argument vertreten, dass der Personenbezug auch praktisch herstellbar sein müsse, um von personenbezogenen Daten ausgehen zu können.

Teilweise wird sogar verlangt, dass zusätzlich zur bloßen praktischen Möglichkeit auch noch die subjektive Absicht des Verantwortlichen hinzutreten müsse, damit der Anwendungsbereich der DSGVO eröffnet sei. Dieser weiten Auslegung der Anonymisierung wird von anderer Seite widersprochen mit dem Argument, ein Personenbezug liege immer dann vor, wenn Zusatzwissen bei einer dritten Stelle verortet sei – ganz gleich, unter welchen Umständen und von wem darauf zugegriffen werden könne. Wie sich der EuGH in diesem Streit positioniert, wurde oben bereits ausgeführt – der Rechtsprechung zufolge ist Zusatzwissen Dritter dann zurechenbar (und die DSGVO anwendbar), wenn der Zugriff auf das Zusatzwissen durch die datenverarbeitende Stelle vernünftigerweise zu erwarten ist. Unsicherheiten über den Personenbezug – und damit über die Anwendbarkeit der DSGVO – können auf diesem Feld daher letztlich nicht ganz ausgeräumt werden.

Best-Practice-Ansätze

Die DSGVO gibt lediglich Rahmenbedingungen für die Anonymisierung vor. Für die Praxis bedeutet das, dass Daten in aller Regel technisch stärker verändert werden müssen, als nur durch Anpassung oder Entfernung des Klarnamens in einem Datensatz. Für die Frage, welche Maßnahmen ergriffen werden müssen, um eine vollständige Anonymisierung zu erreichen, lässt sich zwar keine generelle Regel formulieren. Im Ergebnis sollten die Datensätze jedoch so verändert werden, dass jede mögliche Kombination von Daten aus dem Datensatz zu mindestens zwei Treffern führt bzw. auf mindestens zwei verschiedene Personen zurückgeführt werden kann. Je höher die Anzahl der Treffer, desto besser und sicherer ist das Ergebnis. Je spezifischer die Informationen sind, desto stärker muss der Datensatz verändert werden. In der Umsetzung gibt es dafür neben der Nichtangabe bzw. Löschung von Daten einige weitere Anonymisierungstechniken, auf die Verantwortliche zurückgreifen können.

Mit der Methode der Verallgemeinerung/Vergröberung werden die Maßstäbe der Datensätze vergrößert, um die Zuordnung zu Personen zu verhindern. Beispielsweise können die Testpersonen in Altersgruppen eingeteilt werden, die dann anstelle ihres genauen Alters stehen. Auch hier muss aber darauf geachtet werden, mit einer zu starken Verallgemeinerung nicht die Brauchbarkeit der Daten zu beschädigen. Durch das zufallsbasierte Vertauschen von Spalten einer Tabelle werden Datengruppen anderen Datengruppen neu zugeordnet, während andere Spalten unverändert bleiben. Da hierdurch gegebenenfalls statistische Zusammenhänge verloren gehen können, werden die Methoden zum Teil angepasst und nur ähnliche Werte vertauscht. Damit verändert sich die statistische Aussage nicht, wenn etwa Krankheitsbefunde für Personen gleichen Geschlechts vertauscht werden, die Korrelationen zwischen Geschlecht und Krankheit aber erhalten bleiben.

Re-Identifizierung weiterhin möglich

Mittels des sogenannten "Verrauschens" werden fiktive Messfehler eingebaut, die Daten also geringfügig manipuliert, ohne dabei die Aussage der Statistik zu verändern. Das lässt sich beispielsweise durch die Veränderung des Geburtsdatums vom 5. auf den 10. April oder auf ähnliche Weise erreichen. Auch können völlig neue, künstliche Daten erstellt werden, die die ursprünglichen Daten ersetzen – der neu generierte Datenbestand basiert auf einem statistischen Modell, das aus den Ursprungsdaten erstellt wurde. Geeignet ist auch die schlichte Verringerung der repräsentierten Personen in einem Datensatz. Hierzu werden einzelne Zeilen ganz weggelassen oder nur stichprobenartig offenbart. Auch hier gilt es, die statistische Aussagekraft so gut wie möglich zu erhalten.

Bei allen vorgenannten Methoden kann das Risiko der Re-Identifizierung nicht völlig ausgeschlossen werden. Verschafft sich ein Angreifer Zugriff auf weitere Daten, die mit den anonymisierten kombiniert werden, ist er unter Umständen in der Lage, den Rückschluss auf die Person wieder herzustellen. Für eine sichere Anonymisierung ist es daher häufig sinnvoll und geboten, mehrere Anonymisierungstechniken miteinander zu kombinieren. Um Anonymisierungsverfahren zu verbessern und angriffsresistenter zu machen, wurden jüngst fünf durch das Bundesministerium für Bildung und Forschung geförderte Kompetenzcluster zum Thema Anonymisierung gegründet. AnoMed soll als eines der Cluster anhand öffentlich verfügbarer Datensätze aufzeigen, in welchen Anwendungsbereichen bestimmte Anonymisierungsverfahren besonderen Risiken ausgesetzt sind und modifiziert werden sollten. Die rechtlichen Fragen, die sich im Zusammenhang mit neuen Anonymisierungslösungen ergeben, will das Cluster gleich mit aufgreifen. Unter dem Titel Anony-Med beschäftigt sich ein weiteres Kompetenzcluster damit, wie künstliche Intelligenz im Anonymisierungsverfahren einen Mehrwert schaffen kann.

Fazit

Anonymisierung und Pseudonymisierung sind die Mittel der Wahl, wenn mit Gesundheitsdaten wissenschaftlich geforscht werden soll. In der Praxis sind beide Maßnahmen aber mit vielen praktischen und rechtlichen Herausforderungen verbunden. Als graduelles Konzept ist die Pseudonymisierung dabei deutlich praxistauglicher als die Anonymisierung, bei der häufig nicht endgültig geklärt werden kann, ob der Personenbezug vollständig entfernt wurde. Rechtlich bedeutet es daher ein nicht unerhebliches Risiko, sich auf die Anonymität – und damit auf die Nichtanwendbarkeit des Datenschutzrechts – zu berufen. Hinzukommt, dass anonyme Daten aus der Perspektive der Forschung häufig nicht gleichermaßen wertvoll sind. Nicht nur aus diesem Grund bietet es sich im Gesundheitsbereich daher an, auf die vielfältigen Verfahren der Pseudonymisierung zurückzugreifen. Dies gilt insbesondere im Rahmen von Studien, bei denen ein langfristiges Erkenntnisinteresse verfolgt wird (Verlaufs- und Longitudinalstudien) sowie in Fällen, in denen bestimmte Erkenntnisse aus der Studie im Rahmen der medizinischen Behandlung Verwendung finden sollen und demzufolge der Personenbezug wieder hergestellt werden muss.

Auch und gerade bei seltenen Erkrankungen ist echter wissenschaftlicher Fortschritt kaum denkbar, ohne dass Datenbestände über längere Zeiträume aufgebaut und vorgehalten werden. In diesen und weiteren Fällen ist der Rückgriff auf die Maßnahme der Pseudonymisierung rechtlich geboten und wegen der vielfältigen Verfahren der Pseudonymisierung in der Praxis flexibel umsetzbar. Parallel verfolgen Sicherheitsforscher verschiedene Konzepte, um dennoch eine praktikable Anonymisierung oder weitestgehende Anonymisierung von Datensätzen zu gewährleisten. Der vermeintliche Gegensatz zwischen der Freiheit zur Forschung mit Gesundheitsdaten und dem geltenden Datenschutzrecht kann so vermittelt werden.

Hinweis: Pauline Engels und Dr. Philipp Siedenburg arbeiten bei der Rechtsanwaltskanzlei Schürmann Rosenthal Dreyer (SDR), die sich unter anderem die Datenschutz- und IT-rechtlichen Anforderungen im Gesundheitssektor spezialisiert hat. Darüber hinaus verantwortet Dr. Siedenburg das Health & Law Netzwerk, ein Format von SDR und der ISiCO Datenschutz GmbH

(mack)