D A T E N S C H U T Z die Geschäftsgrundlage der Unternehmen zu erhalten. Es lohnt sich also, genauer anzusehen, was Anonymisierung ist, wie man sie durchführt und was mit den anonymen Daten noch alles möglich ist. ANONYM ODER PSEUDONYM Zuerst sollte man sichergehen, die Definition von „anonym“ und „pseudonym“ im Sinne des Datenschutzes zu verstehen, auch wenn dies eine trockene Materie ist. ANONYME DATEN Anonym sind Daten dann, wenn sie „sich nicht auf eine identi- fizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“. Die Datenschutz-Grundverordnung sagt weiter: Um festzustellen, ob eine natürliche Person noch identifizierbar ist oder nicht, sollten alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie bei- spielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person ge- nutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Dies bedeutet, einfach gesagt: Wenn ein Verfahren, das die Anonymisierung umkehren könnte, wahrscheinlich nicht angewendet wird, zu teuer bzw. zu zeitaufwändig ist, dann ist das gewählte Anonymisierungsverfahren erfolgreich, es liefert anonyme Daten nach DSGVO. Wichtig ist dabei, an die technologische Entwicklung zu denken, sprich: Neue Technologien könnten dafür sorgen, dass eine Anonymisierung ohne größeren Aufwand umgekehrt, die Person also identifiziert werden kann. Gibt es eine solche Techno- logie, dann liefert das Verfahren keine anonymen Informationen nach DSGVO, die Datenschutzvorgaben müssen somit vollständig auf diese Daten angewendet werden. PSEUDONYME Man sollte nicht einfach glauben, eine Pseudonymisierung würde ausreichen, damit die DSGVO nicht greift. Unter Pseudonymisie- rung versteht die DSGVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spe- zifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterlie- gen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“. Pseudonyme, die sich durch zusätzliche Informationen einer Person zuordnen lassen, müssen als „Informationen über eine identifizierbare natürliche Person“ betrachtet werden, die DSGVO muss also dafür angewendet werden. Wenn es also eine Tabelle gibt, die Pseudonyme bestimm- ten Werten zuordnet, und eine andere Tabelle, die diese Werte wiederum Personen zuordnet, und es möglich ist, diese Tabellen zusammenzubringen, haben die Pseudonyme einen (indirek- ten) Personenbezug, der Datenschutz greift in vollem Umfang. Trotzdem bringt eine solche Behandlung aber Vorteile für den Datenschutz: Die Anwendung der Pseudonymisierung auf perso- nenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen, besagen die Erwägungsgründe (offizielle Erläuterungen) zur DSGVO. NUTZEN ANONYMER DATEN Offensichtlich bedeutet es einen Aufwand, personenbezogene Daten zu anonymisieren. Gleichzeitig gewinnen viele Unterneh- men den Eindruck, für diesen Aufwand vielleicht mehr Daten- schutz zu bekommen, aber die Daten, die ihre Geschäftsgrundlage bilden, werden entwertet. Anonymisierung erscheint deshalb als Datenschutz, der den „Datenschatz begräbt“. Die Praxis zeigt aber, dass anonyme Daten durchaus von großem Nutzen sind, die Anonymisierung also den Daten- schutz gewährleisten und den Datenschatz heben kann, wenn die richtigen Verfahren und Lösungen genutzt werden. Diese Beispiele zeigen, dass Anonymisierung auch neue Geschäfts- modelle nicht verhindert: Der AXA DriveCheck ist eine Funktion innerhalb der AXA Drive App, bei dem eine Zeitlang der Fahrstil des Nutzers auf dem Smart- phone analysiert wird. Dabei müssen Kunden die App für 40 Einzelfahrten mit mindestens je drei Kilometern Fahrtstrecke nutzen. Die Gesamtstrecke muss mindestens 600 Kilometer be- tragen. Versicherte entscheiden selbst, ob sie ihre Einzelfahrten und das Endergebnis an AXA übermitteln, um sich für einen Bei- tragsnachlass zu qualifizieren. Die Kunden können in der App nachvollziehen, wie die Fahrten bewertet wurden. „Mit der AXA Drive App erfüllen wir alle datenschutz- rechtlichen Bestimmungen, das schließt beispielsweise eine verschlüsselte Datenübertragung, eine umfassende Information der Nutzer über die Datenverarbeitung und eine zweckgebun- dene Datenerhebung und Anonymisierung der Daten ein“, so der Versicherer. AXA erhält zur Vertragsbearbeitung nur aggregierte Werte. Fahrdaten, Aufenthaltsorte und Geschwindigkeitsüber- tretungen sind nicht Teil davon. Strikt getrennte Datenkreise ermöglichen es, dass Fahrdaten und Registrierungsdaten separiert voneinander gespeichert werden. Geotab, ein Unternehmen im Bereich IoT und vernetzte Fahr- zeuge, bietet das Tool data.geotab.com. Dieses stellt Datensätze zur Verfügung, um Unternehmen, Städte und Gemeinden bei der Entwicklung von Smart Cities zu unterstützen. Data.geotab.com gewährt öffentlichen Zugang zu verwertbaren Datensätzen, die Einblicke in intelligente Stadtplanung, verbesserte Produktivität 1 2 , O N E t o O N E S P E C I A L 2 0 1 9