GRUNDLAGEN

1.4

Anonymisierte Daten, die wieder zu Personendaten werden

Wenn jemand Personendaten bearbeitet, gilt das Datenschutzrecht. Im Umkehrschluss bedeutet das: Werden keine Personendaten bearbeitet, gilt das Datenschutzrecht mit seinen gesetzlichen Anforderungen nicht. Anonym erhobene oder anonymisierte Daten sind keine Personendaten (mehr), wenn der Personenbezug wirksam und endgültig entfernt ist. Ist also Anonymisierung der einfachste Weg, sich von gesetzlichen Fesseln zu befreien?

Grundsätzlich ja. Doch zur Anonymisierung reicht es nicht, einfach Vornamen, Namen und Geburtsdatum zu entfernen. Denn damit ist der Personenbezug nicht wirksam entfernt. Solange aus den verbleibenden Informationen noch auf die betroffenen Personen geschlossen werden kann, sind die Informationen immer noch Personendaten.

Damit der Personenbezug beseitigt ist, muss dafür gesorgt werden, dass aus der Gesamtheit der zur Verfügung stehenden Informationen – samt verfügbaren Kontextinformationen – nicht mehr auf eine bestimmte Person geschlossen werden kann. Eine 1982 getätigte Aussage über «die Frau des Lehrers von Lauwil …» fällt unter die Kategorie der Personendaten, weil 1982 an der Schule in Lauwil (einer kleinen Baselbieter Gemeinde) nur ein Lehrer unterrichtet hat und dieser nur eine Ehefrau hatte.

Gerade räumliche, also raumbezogene Informationen weisen regelmässig einen hohen Identifizierungswert auf: Schon allein aus der Wohnadresse kann unter Umständen auf eine bestimmte Person geschlossen werden. Mit zusätzlichen Angaben zum Alter, zur Anzahl Kinder, zur Wohnungsgrösse usw. kann auch dann auf eine bestimmte Person geschlossen werden, wenn diese in einem Mehrfamilienhaus wohnhaft ist. Auch ein Mobilfunk-Bewegungsprofil ohne Namen ist identifizierend: Wie viele Personen halten sich tagsüber und nachts mehrheitlich am selben Ort auf wie Sie, arbeiten und wohnen folglich am selben Ort wie Sie?


Wie kann also der Personenbezug entfernt werden?

Grundsätzlich indem alle Angaben entfernt werden, die es erlauben zu eruieren, auf wen sich die Angaben beziehen.

Statistische Angaben sind häufig anonyme Daten – aber nicht immer. Bei den Angaben über den durchschnittlichen Lohn der baselstädtischen Staatsangestellten im Jahr 2019 handelt es sich nicht mehr um Personendaten. Ebensowenig bei den Angaben darüber, was eine Primarlehrerin oder ein Primarlehrer durchschnittlich verdient. Geht es aber um den Lohn der Regierungspräsidentin oder des Regierungspräsidenten des Kantons Basel-Stadt, dann ist der Personenbezug offensichtlich – es gab im Jahr 2019 nur eine einzige Regierungspräsidentin.

Je mehr Daten miteinander verknüpft sind, desto eher sind die Personen, um die es geht, bestimmbar. Nehmen wir ein Beispiel: Wir möchten wissen, wie repräsentativ die Mitglieder des baselstädtischen Parlaments die Basler Bevölkerung vertreten. Die jeweils allein stehenden Aussagen, wie gross der Anteil nach Geschlecht, nach Altersgruppen, nach Wohnquartier, nach Berufsgruppen, nach steuerbarem Einkommen und Vermögen, nach Hundehaltung usw. (z. B. 26 % der Grossratsmitglieder haben einen Hund, aber nur 16 % der Bevölkerung) ist, lassen keinen Schluss auf bestimmte Personen zu, stellen also keine Personendaten dar. Werden aber die gesamten Datensätze über alle 100 Grossratsmitglieder veröffentlicht, kann aus der Kombination der Angaben zu den einzelnen Kriterien sehr wohl auf bestimmte einzelne Parlamentsangehörige geschlossen werden. Damit werden die scheinbar anonymisierten Daten wieder zu Personendaten.


Wie können Daten anonymisiert werden?

Die Lösung kann nicht in genereller Art umschrieben werden. Verschiedene Wege – oder Kombinationen – führen zum Ziel:

  • Bestimmte, eine Identifizierung ermöglichende Angaben werden weggelassen.
  • Es werden Daten über mehrere Personen zusammengefasst («durchschnittlich …»).
  • Die Informationen, die allenfalls eine Identifikation erlauben, werden nicht «genau» wiedergegeben, sondern in Kategorien zusammengefasst: statt des genauen Alters die Zugehörigkeit zu einer Alterskategorie (unter 20-jährig, 20–40-jährig, 40–60-jährig, über 60-jährig) oder die Zusammenfassung zu einer Einkommenskategorie (weniger als 40‘000 Franken, 40’001–60‘000, 60’001–80‘000, mehr als 80‘000) usw.
  • Bei Prozentanteilen werden die Zahlen in der Nähe der Identifizierbarkeit (0 % = niemand, 100 % = alle) grosszügiger zusammengefasst (weniger als 30 %, 30–40 %, 40–50 %, … mehr als 70 %).

Es spielt immer eine Rolle, auf wie viele Personen die konkret zur Verfügung stehenden Informationen zutreffen. Auf der sicheren Seite sind Sie – so lautet eine verbreitete Faustregel –, wenn die verfügbaren Daten auf eine Gruppe von mindestens 20 Personen (bei besonderen Personendaten auf mindestens 50 Personen) zutreffen. Die Umsetzung ist möglich,

  • indem die Bezugsgrösse angemessen gewählt wird: Bei besonderen Personendaten (z. B. Gesundheitsdaten) oder Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterstehen (z. B. Steuerdaten), können beispielsweise pro Quartier oder pro «Wohnblock» (ein Geviert zwischen vier Strassen) «gewöhnliche» Personendaten (z. B. das Alter der Einwohnerinnen und Einwohner) vielleicht pro Wohnblockseite (die Seite einer Strasse, die einen Wohnblock begrenzt) angezeigt werden.
  • indem dort, wo die Gruppe der betroffenen Personen zu gering ist, die Anzeige der Daten unterdrückt wird (z. B. wenn in einem «Wohnblock» weniger als die verlangte Minimalanzahl von Steuererklärungen vorliegt).

Zum Schluss ist noch darauf hinzuweisen, dass moderne Technologien (wie «Big Data») es zunehmend erleichtern, vorgängig kunstgerecht anonymisierte Daten durch Kombinationen wieder identifizierend werden zu lassen. Das kann nicht für alle Zukunft ausgeschlossen werden; deshalb muss das Risiko der De-Anonymisierung oder Re-Identifikation berücksichtigt werden.

Lizenz

Universität Basel