netzpolitik.org: Herr Kelber, die Öffentlichkeit wird regelmäßig von neuen Fällen erschüttert, bei denen in angeblich anonymisierten Datensätzen Individuen identifizierbar sind. Jüngst konnten Forscher verheiratete Kunden eines Seitensprungsdienstes ausmachen. Warum ist das so ein drängendes Thema?
Kelber: Anonymisierte Daten unterliegen nicht der Datenschutzgrundverordnung. Die Anonymisierung ist also ein Mittel, ursprünglich personenbezogene Daten zu nutzen, um zum Beispiel KI-Systeme zu trainieren. In der Praxis funktioniert die Anonymisierung aber oft nicht so, wie sie soll. Eine De-Anonymisierung wird dann aus verschiedenen Gründen wieder möglich. In solchen Fällen genügen oft erstaunlich wenige zusätzliche Informationen, um die vermeintliche Anonymisierung aufzuheben.
netzpolitik.org: In der öffentlichen Debatte gehen die Begriffe „Anonymisierung“ und „Pseudonymisierung“ häufig durcheinander. Wie und warum sind sie zu unterscheiden?
Kelber: Eine Anonymisierung setzt voraus, dass der Personenbezug der Daten aufgehoben wird. In den allermeisten Fällen ist es ausreichend, dass eine Re-Identifizierung praktisch nicht durchführbar ist. Das kann beispielsweise sein, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann.
netzpolitik.org: Und Pseudonymisierung?
Kelber: Bei der Pseudonymisierung wird der Name oder ein anderes spezifisches Merkmal durch ein Pseudonym ersetzt. Ziel ist es hier, dass die Feststellung der Identität des Betroffenen für nicht Berechtigte ausgeschlossen oder zumindest wesentlich erschwert wird. Nur bei Zugriff auf eine mögliche Referenzliste gibt es wieder eine direkte Zuordnung zu einer Person. Anders als bei der Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze erhalten, zum Beispiel damit man dem Datensatz neue Daten zuordnen kann. Solche Verfahren kommen oft bei wissenschaftlicher Forschung zum Einsatz.
Auswertung von Bewegungsdaten
netzpolitik.org: Ist denn eine zukunftssichere Anonymisierung von Daten Ihrer Meinung nach technisch überhaupt möglich?
Kelber: Eines ist klar: Der Status „anonym“ ist eine Momentaufnahme. Er zeigt an, dass eine Re-Identifizierung – jedenfalls aktuell – praktisch nicht durchführbar ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften wiederhergestellt werden kann. Insbesondere wegen der technischen Entwicklung müssen Verantwortliche immer wieder prüfen, ob die Anonymisierung noch Bestand hat. Da gibt es Unterschiede, wenn zum Beispiel Daten nur für wenige Stunden verwendet werden, bevor man sie löscht oder biologische Daten für dreißig Jahre gespeichert werden. Unser gemeinsames Ziel sollten technische „best practices“ sein, die ein ausreichendes Maß an Sicherheit vor einer Re-Identifizierung gewährleisten.
netzpolitik.org: In der Konsultation soll es vor allem um rechtliche Fragen gehen. Wo liegt das Problem?
Kelber: Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) wurde das Datenschutzrecht in Europa und in Deutschland auf eine neue Grundlage gestellt.
Die Anonymisierung ist in der DSGVO nur rudimentär geregelt. Welche Anforderungen eine Anonymisierung erfüllen muss, darüber gibt die DSGVO keine Auskunft. Es ist umstritten, ob und wann die Anonymisierung eine Verarbeitung darstellt, die einer Rechtsgrundlage bedarf und welche das jeweils sein könnte.
netzpolitik.org: Einen besonderen Fokus wollen Sie auf die Anonymisierung von Daten im Bereich der Telekommunikation legen, über den Sie die Aufsicht haben. Ihre Vorgängerin hat die Anonymisierungssysteme zweier großer Telekommunikationsanbieter genehmigt. Was sind da die Anwendungsfälle?
Kelber: Schon in einem früheren Tätigkeitsbericht habe ich über die Nutzung von Telekommunikationsverkehrsdaten für Straßenverkehrsinformationen geschrieben, also zum Beispiel für Informationen über Staus. Mit anonymisierten Bewegungsdaten kann man auch Informationen über Verkehrsströme für Verkehrsplanungen, etwa neue Buslinien, oder für die Standortwahl eines Einkaufszentrums gewinnen. Hier ist natürlich darauf zu achten dass der Informationsgehalt der Daten nicht so hoch wird, dass eine Erkennbarkeit des einzelnen Nutzers möglich wird.
Stellungnahmen werden veröffentlicht
netzpolitik.org: Es ist die erste öffentliche Konsultation Ihrer Behörde. Warum dieser Schritt und an wen richtet sie sich?
Kelber: Die öffentliche Konsultation ist ein Teil unserer Bemühungen, die Öffentlichkeit für die geltende Rechtslage zu sensibilisieren und eine öffentliche Diskussion anzustoßen. Interessierte sollen ihre Sichtweise schildern können. Gleichzeitig soll damit die Botschaft verbunden sein, dass wir vorhandene Anonymisierungsverfahren auf ihre Vereinbarkeit mit dem geltenden Datenschutzrecht kontrollieren werden.
netzpolitik.org: Was genau passiert mit den Einsendungen bei dieser Konsultation, wie fließen Sie in die Positionierung Ihrer Behörde ein?
Kelber: Die eingehenden Stellungnahmen werden fachlich ausgewertet. Anhand der Ergebnisse der Auswertung wird die Position des BfDI einer „Qualitätskontrolle“ im weitesten Sinne unterzogen. Das finale Positionspapier wird auf unserer Website veröffentlicht.
netzpolitik.org: Sie sind auch Bundesbeauftragter für die Informationsfreiheit und haben einen transparenteren Kurs für Ihr Haus versprochen. Können wir damit rechnen, dass die Einreichungen der Konsultation veröffentlicht werden?
Kelber: Das Konsultationsverfahren selbst beruht auf dem Gedanken, unsere Überlegungen und Positionen zum Thema Anonymisierung öffentlich zur Diskussion zu stellen. Insofern werden wir die Einreichungen nach Abschluss des Verfahrens auf unserer Website veröffentlichen, wenn die Verfasser dem nicht ausdrücklich widersprochen haben, was ich mir aber nicht vorstellen kann.
…
Bis 9. März nimmt der Bundesdatenschutzbeauftragte im Rahmen der Konsultation Stellungnahmen entgegen. Details zum Verfahren gibt es auf seiner Webseite, ebenso ein begleitendes Positionspapier [PDF].