Anonym ist nicht gleich anonym
Die Verknüpfung großer Mengen an Daten aus verschiedenen Datenquellen und die Verbindung unterschiedlicher Softwarekomponenten eröffnete viele Fragen. Eine dieser Fragen betrifft die potenzielle Re-Identifizierbarkeit von anonymen Datensätzen durch die Überschneidung der in die Plattformarchitektur eingebundenen Datenquellen. Auch wenn es naheliegend wäre anzunehmen, dass das Konzept einer Re-Identifizierung bei der Anonymisierung, mangels Identifizierbarkeit einzelner Personen, ausgeschlossen wäre gibt die immer schneller wachsende und komplexer werdende Informationstechnologie berechtigten Grund zur Annahme, dass eine Re-Identifizierung durchaus wahrscheinlich erscheint. Auch die Art und Weise wie Daten innerhalb einer KI-basierten Krisenresilienzplattformen verarbeitet werden zeigt, dass dieses Restrisiko der Re-Identifizierung stets berücksichtigt werden sollte. Datenschutzrechtliche Auswirkungen Eine derartige absolute Anonymisierung, welche die Wiederherstellung des Personenbezugs unmöglich macht, ist häufig nicht durchführbar. Deshalb gilt es klarzustellen, dass auch im Regelfall eine absolute Anonymisierung datenschutzrechtlich nicht gefordert ist. Vielmehr soll eine sog. Faktische Anonymisierung, bei welcher der Personenbezug nur mit unverhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann, ausreichen. Jedenfalls könnten die dennoch im Einzelfall verbleibenden Unklarheiten, betreffend der DS-GVO konformen Anforderungen an eine Anonymisierung, durch anerkannte Verhaltensregeln (sog. Codes of Conduct) nach Art. 40 DS-GVO adressiert und harmonisiert werden. Der Beitrag ist zu finden in der Ausgabe 4/2023 der Zeitschrift Recht der Datenverarbeitung (RDV). Hier gibt es mehr Informationen zum Projekt CoyPu (Cognitive Economy Intelligence Plattform für die Resilienz wirtschaftlicher Ökosysteme). |
