Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, wie die Datenschutzgrundverordnung pseudonyme, anonyme und personenbezogene Daten definiert.

Was sind personenbezogene Daten?

Die Verordnung definiert “personenbezogene Daten” als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person”) beziehen; als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (Art. 4 Nr. 1).

Was sind pseudonyme Daten?

Der Begriff „pseudonyme Daten“ ist selbst nicht definiert, bezeichnet aber Daten, die durch Pseudonymisierung verändert wurden. „Pseudonymisierung“ ist definiert als die „Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“ (Art. 4 Nr. 5).

Was sind anonyme Daten?

Der Begriff „anonyme Daten“ wird in der Verordnung selbst nicht definiert und auch nicht verwendet. In Erwägungsgrund 26 finden sich jedoch entsprechende Hinweise, was hierunter zu verstehen ist und dass die Datenschutzgrundsätze insoweit keine Anwendung finden. Dort heißt es: „[…] Die Grundsätze des Datenschutzes sollten […] nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“ Es bleibt abzuwarten, ob das bisherige Verständnis nach dem Bundesdatenschutzgesetz hiermit deckungsgleich ist. Nach § 3 (6) BDSG bezeichnet „anonymisieren“ das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.