1.
Einleitung ^
2.
De-Anonymisierung ^
§ 3 Abs. 6 BDSG definiert Anonymisieren als «Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.» Nach der herrschenden Meinung1 sind anonymisierte Daten nicht mehr personenbezogen, obwohl der Aufwand der Zuordnung von Daten zu einer natürlichen Person in der eigentlichen Definition des § 3 Abs. 1 BDSG nicht erwähnt wird. Im Zusammenhang mit einem relativen Begriff des Personenbezugs bedeutet dies, dass die Anonymität von Daten davon abhängt, ob der Aufwand zur Herstellung des Personenbezugs für die jeweilige verantwortliche Stelle unverhältnismäßig ist. So kann es vorkommen, dass anonymisierte Daten an eine andere Stelle weitergegeben werden, für die sie personenbezogen sind; in diesem Fall liegt eine Übermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG vor2. Die Veröffentlichung von personenbezogenen Daten wird in Literatur3 und Rechtsprechung4 ebenfalls als Übermittlung angesehen. In diesem Fall muss darauf abgestellt werden, ob irgendein potentieller Empfänger der Daten diese mit einem nicht unverhältnismäßig großen Aufwand einer Person zuordnen kann.
3.
Beispiele ^
Aufsehen erregt hat eine Veröffentlichung von Sweeney5, der als Beispiel eine Datenbank mit medizinischen Daten betrachtet, die von der Group Insurance Commission in Massachusetts als anonym betrachtet und daher Forschung und Industrie zur Verfügung gestellt wurde. Sie enthielt allerdings Geburtsdatum, Postleitzahl und Geschlecht der Patienten – eine Kombination, die ausreicht, um viele enthaltene Personen mit hoher Wahrscheinlichkeit eindeutig identifizieren zu können. Mit Hilfe eines öffentlich verfügbaren Verzeichnisses registrierter Wähler gelang es Sweeney, den Gouverneur des Staates in der Datenbank zu identifizieren. Da die grundlegende Methodik bereits aus früheren Veröffentlichungen bekannt und auch nicht gerade fernliegend war, ist davon auszugehen, dass bereits bei der Group Insurance Commission keine anonymisierte Datenbank vorlag.
4.
Juristische Problematik ^
Für den Forscher, der Daten de-anonymisieren möchte, stellt sich zunächst die Frage nach der Einordnung seines Tuns, die hier aus Sicht des BDSG beantwortet wird. In der Regel sind bereits die Ausgangsdaten für den Forscher nicht anonym, da andernfalls die Herstellung des Personenbezugs auch für ihn nur mit «unverhältnismäßig großem Aufwand» möglich wäre. Daher ist bereits das Beschaffen dieser Daten als Erheben (§3 Abs. 3 BDSG) einzuordnen. Die tatsächliche Verknüpfung mit Identitäten könnte eine Veränderung darstellen; das Verändern ist in §3 Abs. 4 Satz 2 Nr. 2 als «das inhaltliche Umgestalten gespeicherter personenbezogener Daten» definiert. Rein technische Vorgänge wie das Umcodieren von Daten sind hierbei ausgenommen. Das Verknüpfen von Daten aus verschiedenen Quellen wird in der Literatur aber bereits als Verändern gesehen7. Dies ist auch gerechtfertigt, weil die Daten eine andere Aussagekraft gewinnen – unabhängig davon, ob dies auch anderen Nutzern der Daten möglich gewesen wäre. Mit dem Verändern liegt auch ein Verarbeiten der Daten vor (§3 Abs. 4 Satz 1 BDSG).
In Landesdatenschutzgesetzen finden sich auch weitergehende Regelungen, die nicht nur besondere Arten personenbezogener Daten betreffen. Beispielhaft sei hier §28 DSG-NRW genannt, der die Datenverarbeitung für wissenschaftliche Zwecke regelt. Im Fall der De-Anonymisierung kann die Soll-Bestimmung des Absatzes 1, mit anonymisierten oder pseudonymisierten Daten zu arbeiten, in der Regel nicht eingehalten werden9. Für diesen Fall regelt Absatz 2, dass die Verarbeitung zulässig ist, wenn die betroffene Person eingewilligt hat, wenn «schutzwürdige Belange der betroffenen Person […] nicht beeinträchtigt werden» oder wenn «der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßig großem Aufwand erreicht werden kann und das öffentliche Interesse an der Durchführung des Forschungsvorhabens die schutzwürdigen Belange der betroffenen Person überwiegt.» Wiederum ist also eine Abwägung gefordert, auf die wir später zurückkommen werden. § 28 LDSG-NRW enthält außerdem Regelungen über die nachträgliche Anonymisierung bzw. Pseudonymisierung sowie die Veröffentlichung der Daten.
5.
Spezialfall Telekommunikations- und Telemediengesetz? ^
Weder das Telekommunikationsgesetz noch das Telemediengesetz enthalten Regelungen über die Verwendung von personenbezogenen Daten für Forschungszwecke (mit Ausnahme der Marktforschung). Beide Gesetze enthalten Verpflichtungen für den jeweiligen Diensteanbieter10, die über die Vorschriften des BDSG hinausgehen. §§14,15 TMG beziehen sich aber lediglich auf personenbezogene Daten; auch für §96 TKG wird die Auffassung vertreten, dass eine Anonymisierung von Verkehrsdaten an Stelle der vorgeschriebenen Löschung treten kann11. Somit kann auch hier der Fall auftreten, dass Daten für anonym gehalten und daher an Forscher weitergegeben werden. In der Praxis sind Telekommunikationsunternehmen hier sehr zurückhaltend, so dass der Fall der unzureichenden Anonymisierung von Nutzungsdaten bei Telemedien praxisrelevanter erscheint. In § 12 Abs. 1 TMG ist bezüglich der Verwendung personenbezogener Daten ein Verbot mit Erlaubnisvorbehalt normiert; mangels einschlägiger Erlaubnisnormen, die sich konkret auf Telemedien beziehen müssten, ist eine Übermittlung solcher Daten an Forschungseinrichtungen zunächst ausgeschlossen. Das TMG erlaubt allerdings ausdrücklich auch elektronische Einwilligungen (§13 Abs. 2), die ggf. einen Ausweg aus der Problematik bieten.
6.
Interessenabwägung ^
Wie sich gezeigt hat, erfordern die in Frage kommenden Erlaubnisnormen eine Abwägung zwischen dem Informationellen Selbstbestimmungsrecht der Betroffenen und dem Forschungsinteresse (das ebenfalls durch ein Grundrecht geschützt ist, konkret durch die Forschungsfreiheit aus Art. 5 Abs. 3 GG). §28 Abs. 2 DSG-NRW kann auch für Fälle, in denen allgemeinere Erlaubnisnormen Anwendung finden, als Blaupause für die Durchführung dieser Abwägung dienen12.
7.
Fazit ^
Christoph Sorge, Juniorprofessor, Universität Paderborn, Institut für Informatik.
- 1 Dammann in Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Auflage 2011, §3 Rn. 196; Gola/Schomerus, Bundesdatenschutzgesetz, 11. Auflage 2012, § 3 Rn. 44.
- 2 Gola/Schomerus, §3 Rn. 44a.
- 3 Gola/Schomerus, §3 Rn. 33; Dammann, BDSG, §3 Rn. 157.
- 4 BVerfG NVwZ 1990, Seite 1162 (Beschluss vom 24.07.1990 - 1 BvR 1244/87).
- 5 Sweeney, k-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), 2002, Seiten 557-570.
- 6 Narayanan, A.; Shmatikov, V., Robust De-anonymization of Large Sparse Datasets, IEEE Symposium on Security and Privacy 2008, Seiten 111-125.
- 7 Gola/Schomerus, §3 Rn. 30; Ambs (in Erbs/Kohlhaas, Strafrechtliche Nebengesetze, 191. Ergänzungslieferung 2012, §3 BDSG Rn. 22) erwähnt das «Hinzufügen» neuer Daten und plädiert für eine weite Auslegung des Begriffs «Verändern».
- 8 Gola/Schomerus, §13 Rn. 2.
- 9 Pseudonymisierung ist zwar denkbar, doch ist eine Pseudonymisierung durch die Forscher nur unter Aufsicht durch die übermittelnde Stelle zulässig – bei den in der Praxis oftmals auftretenden öffentlichen Daten oder im Ausland befindlichen übermittelnden Stellen ist dies aber kein gangbarer Weg.
- 10 Statt des Diensteanbieter-Begriffs nennt §91 Abs. 1 Satz 1 TKG als Verpflichtete «Unternehmen und Personen, die geschäftsmäßig Telekommunikationsdienste in Telekommunikationsnetzen, […], erbringen oder an deren Erbringung mitwirken».
- 11 So Robert in: Beck’scher TKG-Kommentar, 3. Auflage 2006, § 96 Rn. 12; trotz zwischenzeitlicher Änderungen des §96 hat sich an der Löschverpflichtung nichts geändert.
- 12 Eine ausführliche Darstellung der Abwägung zwischen Forschungsinteresse und Interessen der Betroffenen findet sich, wenn auch ohne Bezug zur De-Anonymisierung, auch bei Dammann, BDSG, §14 Rn.88ff.
- 13 Es sei darauf hingewiesen, dass das BDSG in einigen Fällen, beispielsweise bei der Erhebung besonderer Arten personenbezogener Daten durch öffentliche Stellen, ein erhebliches Überwiegen des «wissenschaftlichen Interesses an der Durchführung des Forschungsvorhabens» fordert. Bei Anwendbarkeit dieser Regelungen ist also das Informationelle Selbstbestimmungsrecht der Betroffenen stärker zu gewichten.
- 14 www.imdb.com.