Die Pseudonymisierung und Anonymisierung von personenbezogenen Daten spielen für Technik und Wissenschaft eine große Rolle und sind so etwas wie der heilige Gral der DSGVO. Sie ermöglichen beispielsweise, dass die Verarbeitung von Gesundheitsdaten zu Forschungszwecken oder die dauerhafte Speicherung von IP-Adressen datenschutzkonform geschehen kann. Was man aber genau unter diesen Begriffen versteht, ist in der DSGVO nur sehr oberflächlich geregelt, wie Joerg und Holger in Episode 37 feststellen. Mit Hilfe von Adrian Schneider beleuchten sie das sich daraus ergebende Minenfeld. Adrian ist Rechtsanwalt bei der Kanzlei Osborne Clarke und begleitet Unternehmen bei der Entwicklung und Einführung innovativer IT-Produkte in den Bereichen Cloud-Infrastruktur, Smart Data und Machine Learning.
Mit Adrian klären Joerg und Holger zunächst, welche die einschlägigen DSGVO-Vorschriften sind. Sie landen beim Erwägungsgrund 26 DSGVO, der eher schwammig definiert, wie der Personenbezug von Daten aufgehoben wird. Vielleicht hilft ja der Bundesdatenschutzbeauftragte? Dieser hat im Juni 2020 sein "Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche" veröffentlicht. Doch leider bringt auch das nicht viel mehr Klarheit, sondern schafft eher neue Probleme: Die drei müssen sich ihre eigenen Gedanken machen und geben Tipps dazu, was als hinreichende Anonymisierung im rechtlichen Sinn gelten könnte - und schimpfen dabei hin und wieder ein wenig auf den Gesetzgeber, der allzu unkonkret bleibt und das Problem auf die Praxis abwälzt.
view more