Anonymität und Corona-App aus Sicht des Datenschutzrechts

In der Diskussion über Corona-Apps wird immer wieder gefordert, anonyme Daten zu verwenden oder Daten zu anonymisieren. Der Beitrag untersucht, was datenschutzrechtlich damit gemeint ist.

Anonymität ist ein Schlagwort, das die Debatte um eine Corona-App stark prägt. Der Begriff ist zwar im Datenschutzrecht fest etabliert, er ist in der Datenschutz-Grundverordnung (DSGVO) jedoch nur soweit definiert, dass anonyme Informationen solche sein sollen, die sich nicht auf eine identifizierte oder identifizierbare Person beziehen. Anonymisierte Daten sind personenbezogene Daten, die in einer Weise verändert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (s. Erwägungsgrund 26 Satz 5 DSGVO). Anonymität ist somit der Gegenbegriff des Personenbezugs. Dies gilt auch für die Rechtsfolgen: Nur für personenbezogene Daten gilt das Datenschutzrecht. Anonyme Daten unterfallen dagegen nicht dem Regelungsregime des Datenschutzrechts.

Anonymität ist jedoch nicht gleich Anonymität. Rechtlich werden vielmehr drei Typen unterschieden: die formale Anonymität, die faktische Anonymität und die absolute Anonymität. Der „Idealtyp“ der Anonymität, die absolute Anonymität, bedeutet, dass es für jedermann absolut unmöglich ist, einen Personenbezug herzustellen. Für solche Einzelangaben sollen auch besondere Geheimhaltungspflichten nicht gelten (s. z.B. § 16 Abs. 1 Satz 3 Nr. 4 Bundesstatistikgesetz (BStatG).

Die faktische Anonymität bedeutet, dass die Herstellung eines Personenbezugs zwar theoretisch möglich bleibt, jedoch kein praktisches Risiko besteht, dass tatsächlich ein Personenbezug hergestellt wird. Ein solches praktisches Risiko besteht dann, wenn dem jeweils verantwortlichen Datenverarbeiter mit vernünftigerweise zu erwartendem Aufwand die Herstellung eines Personenbezugs möglich ist. Dies muss also ausgeschlossen werden. Es verbleibt aber ein Restrisiko eines unerwartet hergestellten Personenbezugs. Auch die faktische Anonymität. findet sich im Statistikgesetz wieder und wird dort etwa für vom Statistischen Bundesamt und den statistischen Ämtern der Länder an Hochschulen oder sonstige Forschungseinrichtungen zu übermittelnde Einzelangaben gefordert (s. § 16 Abs. 6 Nr. 1 BStatG).

Die formale Anonymität wird erreicht, wenn unmittelbar identifizierende Merkmale aus einer Information entfernt werden. Sie ist die schwächste Form der Anonymität, da nicht unmittelbar identifizierende Merkmale verbleiben (können), die die Herstellung eines Personenbezugs ermöglichen können. Ist dies der Fall, so ist die Information weiterhin ein personenbezogenes Datum im Sinne des Datenschutzrechts, das somit in vollem Umfang zur Anwendung kommt. Es handelt sich also bei der formalen Anonymität nicht um eine hinreichende Anonymität im Sinne des Datenschutzrechts. Gleichzeitig kann allerdings eine formale Anonymisierung bereits ausreichen, um im Einzelfall faktische oder absolute Anonymität herzustellen.

Für die Frage, ab wann Informationen nicht (mehr) als anonym zu behandeln sind, ist auf das vorhandene und in verhältnismäßiger Weise mobilisierbare Zusatzwissen des Datenverarbeiters abzustellen. Zu diesen Zwecken ist eine Risikoprognose anzustellen, die etwas über die Aufdeckungswahrscheinlichkeit aussagt. Bestimmt wird die Wahrscheinlichkeit nach objektivem Maßstab durch eine Kosten-Nutzen-Risiko-Relation. Diese Wahrscheinlichkeit ist für die Annahme von Anonymität und den Ausschluss der Daten aus dem Schutzbereich des Datenschutzrechts zu bewerten: Die rein hypothetische Wahrscheinlichkeit der Aufdeckung führt noch nicht dazu, Anonymität abzulehnen. Ist es dagegen wahrscheinlich, dass der Verarbeitende in der Lage ist, die Daten und sein erreichbares Zusatzwissen für die Identifizierung zu nutzen, handelt es sich für ihn um personenbezogene Daten. Ob der Verarbeitende das Zusatzwissen selbst hat oder ob es bei Dritten liegt, spielt solange keine wesentliche Rolle, als der Datenverarbeiter eine praktisch realisierbare Möglichkeit hat, dieses zur Kenntnis zu nehmen. Das ist jedoch nicht der Fall, wenn erstens die Identifizierung der betreffenden Person gesetzlich verboten ist und zweitens wenn die Identifizierung praktisch nicht durchführbar ist, etwa weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordert, so dass das Risiko einer Identifizierung de facto vernachlässigbar ist.

Das Datenschutzrecht verlangt keine absolute Anonymität. Für einen Ausschluss der Geltung des Datenschutzrecht reicht auf der Grundlage einer relativen Sichtweise die faktische Anonymität. Die strengen Vorgaben der absoluten Anonymität muss eine Corona-App datenschutzrechtlich nicht erfüllen. Das Datenschutzrecht fordert aber, dass Daten aus einer Corona-App zum frühestmöglichen Zeitpunkt zu anonymisieren sind. Vorzugswürdig wäre es, wenn bereits die Datenerhebung anonym verlaufen würde. Beides hat indes auch Auswirkungen auf die Wahrnehmung von Betroffenenrechten. Soll es dem Einzelnen möglich sein, seine Einwilligung auch rückwirkend zu widerrufen, so ist ein Löschen der Daten nach einer erfolgreichen Anonymisierung nicht mehr möglich, da eine Zuordnung von Daten zu einer Einzelperson nicht mehr erfolgen kann.