Die Rolle des Risikos bei der Eröffnung des sachlichen Anwendungsbereichs der DSGVO: Der Personenbezug von Daten nach der DSGVO
Der sachliche Anwendungsbereich der DSGVO ist für die Verarbeitung personenbezogener Daten gem. Art. 2 Abs. 1 DSGVO eröffnet. Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wenn die Daten nicht einer Person zugeordnet werden können, ist deren Identifizierung weder mittelbar noch unmittelbar möglich. Es liegen keine personenbezogenen Daten vor, sondern, herkömmlich gesprochen, anonyme Daten.
Nach ErwG 26 Satz 3 DSGVO hängt die Identifizierbarkeit davon ab, ob der Bezug zu einer Person durch den für die Verarbeitung Verantwortlichen oder durch eine andere Person hergestellt werden kann. Dabei sind alle Mittel zu berücksichtigen, die nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der Person verwendet werden können. Bei der Feststellung, ob die Mittel zur Identifizierung der Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, sind nach ErwG 26 Satz 4 DSGVO alle objektiven Faktoren zu berücksichtigen. Dazu gehören etwa die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand. Auch der Stand der Technik spielt eine wichtige Rolle.
Nach Ansicht des Europäischen Datenschutzausschusses muss jede Anonymisierung vollständig unumkehrbar sein.
14 Darüber hinaus wird vertreten, dass die Anonymisierung „zukunftssicher“ sein muss, was bedeutet, dass sie unempfindlich gegenüber neuen Technologien sein sollte.
15 Neben der Generalisierung und Randomisierung wird die Entfernung von Merkmalen als ideale technische Maßnahme zur Anonymisierung vorgestellt.
16
Die DSGVO verwendet den Begriff Anonymisierung nicht und spricht lediglich vom Personenbezug der Daten. Dieser hängt von den oben genannten Faktoren, wie dem Stand der Technik, den Verarbeitern, Datenverknüpfungen und damit insgesamt von den Modalitäten der konkreten Datenverarbeitung, ab.
17 Diese bilden in ihrer Gesamtheit den Verarbeitungskontext
18,19, dessen Beurteilung Aufschluss über die Wahrscheinlichkeit der Identifizierung geben kann. Der Personenbezug von Daten kann je nach Verarbeitungskontext variieren oder gar hergestellt werden, ist damit aber in jedem Fall abgestuft. Demgegenüber vermittelt der Begriff der Anonymität eine Absolutheit, eine Binarität des Personenbezugs, die deren Kontextabhängigkeit nicht berücksichtigt.
20
Die Verarbeitungsziele im Gesundheitskontext können regelmäßig nur erreicht werden, wenn zumindest eine indirekte Rückverfolgbarkeit der Daten zu den betroffenen Patienten und Probanden gegeben ist.
21
Die Ätiologie von Krankheiten und das Verständnis der Rolle der verschiedenen Gesundheitsfaktoren bei der Krankheitsentwicklung erfordern die Verarbeitung personenbezogener Daten. Die Löschung oder Entfernung bestimmter Variablen aus den Gesundheitsdaten zum Zwecke der Anonymisierung steht in direktem Widerspruch zu dem Grund, aus dem die Verarbeitung regelmäßig erfolgt, da eine solche Änderung die Aussagekraft der Daten beeinträchtigen würde. Ein Beispiel hierfür ist die Entfernung von Metadaten eines bestimmten Formats
22 aus Krebsbildgebungsdatensätzen, bei denen es sich um indirekte Identifikatoren wie die Seriennummer des Geräteherstellers handeln kann, deren Verlust jedoch die Rückverfolgbarkeit zum Patienten beeinträchtigen kann.
Der Verlust der Rückverfolgbarkeit kann besonders schwerwiegende Folgen bei klinischen Studien haben, wo es nicht nur von entscheidender Bedeutung ist, sondern oft auch zur Pflicht wird, die Studienergebnisse in identifizierbarer Form zu verifizieren und den Patienten zur Verfügung zu stellen.
23 Darüber hinaus können Methoden der Datenanonymisierung zum systematischen Ausschluss von Angehörigen kleiner Bevölkerungsgruppen von der Aufnahme in wissenschaftliche Datensätze führen, da indirekte Identifikatoren, die in Datensätzen seltener vorkommen, mit größerer Wahrscheinlichkeit den De-Identifizierungsmethoden zum Opfer fallen.
24
Anonymisierungstechniken können, wenn sie nach unterschiedlichen Spezifikationen und auf der Grundlage eines unterschiedlichen Verständnisses von personenbezogenen Daten umgesetzt werden, zu Unterschieden in der Datenqualität und damit zu einer geringeren technischen Interoperabilität zwischen Datensätzen führen.
25 Dies kann die Reproduzierbarkeit und Vergleichbarkeit von Forschungs- und Versorgungsergebnissen beeinträchtigen und die statistische Validität der Ergebnisse aufweichen.
26 Insgesamt wäre es möglich, dass dadurch die Anonymisierung im Gesundheitsbereich nicht genutzt werden kann, ohne das Potenzial von Forschung und Versorgung drastisch zu schmälern.
Die Pseudonymisierung nach Art. 4 Nr. 5 DSGVO beschreibt eine Verarbeitung nach den kumulativen Kriterien, dass (1) die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern (2) diese zusätzlichen Informationen gesondert aufbewahrt werden und (3) technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer natürlichen Person zugewiesen werden. Pseudonymisierte Daten stellen einen Unterfall von personenbezogenen Daten dar, ErwG 26 DSGVO.
27 Je nach Relevanz des Zusatzwissens Dritter, die keinen Zugang zum Pseudonymisierungsschlüssel haben, wird vertreten, dass die Daten für diese Dritten keinen Personenbezug aufweisen.
28 Da die Verarbeitungskontexte in der Medizin veränderlich sind, ist fraglich, ob diese Sichtweise über den gesamten Datenlebenszyklus Bestand haben kann. In Bezug auf den Verantwortlichen lässt sich festhalten, dass auch, wenn die Pseudonyme von einem vertrauenswürdigen Dritten vergeben werden
29, der Verantwortliche in der Regel weiterhin fähig sein muss, die Daten auf die Patienten zurückzuführen. Des Weiteren ist zu beachten, dass Identifikationsnummern häufig als Metadaten bekannt gegeben werden, um die darunterliegenden Datensätze beim jeweiligen Verantwortlichen auffindbar zu machen. Die Veröffentlichung solcher personenbezogener Identifikatoren als Metadaten durch den Verantwortlichen kann bspw. im Anwendungsbereich landesrechtlicher Datenschutzvorschriften dem strengen Einwilligungserfordernis unterliegen.
30 Dennoch bietet die Pseudonymisierung einen sehr starken Schutz und kann bewirken, dass in der Abwägung zwischen den Verarbeiterinteressen und den Schutzinteressen die Risiken für die Betroffenen erheblich gesenkt werden (ErwG 28 DSGVO) und die Einhaltung der Datenschutzpflichten und damit die Verarbeitung insgesamt vereinfacht wird
31, denn es kann auf besondere (weitere) Schutzmaßnahmen verzichtet werden
32.
Personenbezug als Risiko
Bei der Frage, ob durch verschiedene Maßnahmen die Herstellung des Personenbezugs von Daten verhindert werden kann, wird in der Literatur
33 und der Rechtsprechung auf die „anonymisierende Wirkung“ von Maßnahmen hingewiesen.
34 Auch technische Maßnahmen, die die Daten verändern, unterbrechen zwar den unmittelbaren Personenbezug in den meisten Verarbeitungskontexten, können einen mittelbaren Personenbezug jedoch nicht vollständig ausschließen, da der konkrete Verarbeitungskontext über den Erfolg der De-Identifizierung mitentscheidet und die Stärke der technischen De-Identifizierung (mit)bestimmt.
35 Wenn der Akteur, der die Daten de-identifiziert, auch den Rohdatensatz, andere identifizierende Daten und/oder den Schlüssel kontrolliert, mit dem er den Prozess der De-Identifizierung rückgängig machen könnte, ist eine Re-Identifizierung der Daten leicht möglich. Für einen Dritten, der die Daten erhält, kann die Re-Identifizierung der betroffenen Person auf ihrer Grundlage jedoch sehr viel schwieriger und unpraktisch sein.
36 Wenn Daten nur in einer streng kontrollierten und geschützten Umgebung verarbeitet werden und nicht heruntergeladen werden können, ist die Möglichkeit, sie mit anderen Daten zu verknüpfen, viel geringer, als wenn dieselben Daten öffentlich zugänglich sind.
37 Darüber hinaus sind Gesundheitsdaten und insbesondere genetische Daten durch weitere Datenverknüpfungen in hohem Maße identifizierend.
38
Insgesamt ist entscheidend, wie wahrscheinlich die Herstellung eines Personenbezugs der Daten ist. Es sind nur solche Mittel zu berücksichtigen, die „vernünftigerweise“ zur Herstellung des Personenbezugs eingesetzt werden können.
39 Die Einstufung von Daten als „anonym“ oder als „nicht personenbezogen“ hängt also von der Intensität des Aufwands ab, der erforderlich ist, um einen Personenbezug herzustellen.
40,41 Die Bewertung der Intensität hängt wiederum von der Vernünftigkeitsschwelle ab: Der Aufwand zur Herstellung des Personenbezugs darf nicht unverhältnismäßig sein. Auch technische Maßnahmen, die die Herstellung des Personenbezugs ermöglichen, wie das in ErwG 26 Satz 3 DSGVO genannte „Aussondern“ („singling out“), müssen vernünftigerweise einsetzbar sein. Die bloße Tatsache, dass es Maßnahmen gibt, die die Herstellung des Personenbezugs ermöglichen, bedeutet nicht, dass sie mit verhältnismäßigem Aufwand eingesetzt werden können.
42
Die Bewertung der Wahrscheinlichkeit kann mithilfe einer Risikovorhersage erfolgen, wobei sowohl die dem potenziellen Datenverarbeiter selbst innewohnenden Faktoren, wie sein Wissen, als auch die von den Datenverarbeitern einsetzbaren Mittel der Zuordnung berücksichtigt werden.
43 In der Praxis geschieht dies in der Regel dadurch, dass ein maximal großes Risiko angenommen wird und die Bewertung der Eintrittswahrscheinlichkeit anhand objektiver Faktoren erfolgt, die auf der Grundlage eines allgemeinen Ermessens angewandt werden können.
Risiko für die Rechte und Freiheiten der Betroffenen
Der Risikoansatz spielt auch bei der Beurteilung der möglichen Beeinträchtigung der Betroffenenrechte durch die Verarbeitung personenbezogener Daten eine Rolle. Die Maßnahmen, die zu ergreifen sind, um möglichen Beeinträchtigungen entgegenzuwirken, sind auf der Grundlage einer Abwägung zu bestimmen, bei der die Interessen der Betroffenen mit den Interessen der Datenverarbeiter in einen Ausgleich zu bringen sind.
44,45
Diese Abwägung wird zunächst durch die Tatsache beeinflusst, dass die DSGVO zahlreiche sektorspezifische Interessen privilegiert.
46 Die daraus resultierende Risikobewertung spiegelt sich in der Bestimmung der Rechtsgrundlage für die Datenverarbeitung nach Art. 6 Abs. 1 DSGVO wider.
47 Darüber hinaus schreibt die Kompatibilitätsprüfung im Zuge der Weiterverarbeitung gem. Art. 6 Abs. 4 DSGVO die Berücksichtigung der Folgen für die Betroffenen vor.
48 Die Abwägung der Risiken für die Betroffenen unter Berücksichtigung bestimmter Verarbeiterinteressen zeigt sich auch in den Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 DSGVO.
49,50 Die zusätzliche Heranziehung eines Ausnahmetatbestands berücksichtigt die Sensibilität der Daten, einschließlich der Gesundheitsdaten, da deren Verarbeitung zu einem höheren Risiko für die Betroffenen führen kann. Gleichzeitig werden die Ausnahmen vom Verbot der Verarbeitung sensibler Daten nur für bestimmte Verarbeitungen geschaffen, die bestimmte Zwecke verfolgen, einschließlich der wissenschaftlichen Forschung und der Gesundheitsversorgung.
51
Darüber hinaus ist der Risikobegriff bei den Verarbeiterpflichten, bei der datenschutzfreundlichen Technikgestaltung und bei der Implementierung von technisch-organisatorischen Maßnahmen und den damit einhergehenden Fragen der Datensicherheit von Bedeutung.
Der Risikoansatz soll es ermöglichen, den Umfang der Pflichten von Datenverarbeitern an das jeweilige Risiko ihrer Verarbeitung anzupassen.
52 Einerseits kann die Risikoanalyse bereits einen Einfluss auf das Bestehen bestimmter Pflichten haben.
53 Andererseits bestimmt die Risikobewertung auch die Art und Weise, wie die Pflichten erfüllt werden.
54 So sind nach Art. 24 Abs. 1 DSGVO bei der Risikobewertung vor der Datenverarbeitung die Art der Verarbeitung, ihr Umfang, ihre Umstände und ihr Zweck sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
55 Es ist zu betonen, dass diese Risikobewertung den für die Verarbeitung Verantwortlichen nicht von seinen Pflichten entbindet, sondern lediglich deren risikoadäquate Anpassung rechtfertigt.
56 Führt die Einschätzung zu dem Ergebnis, dass die Verarbeitung mit hohen Risiken verbunden ist, muss eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Im Rahmen der Verpflichtung zur datenschutzfreundlichen Technikgestaltung nach Art. 25 Abs. 1 DSGVO wird eine Risikobewertung eigens vorgeschrieben.
57
Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, technische und organisatorische Maßnahmen zu treffen, die ein dem Risiko angemessenes Datenschutzniveau gewährleisten. Das Risiko wird anhand der Art und Weise der Verarbeitung, des Verarbeitungskontexts und der Intensität des drohenden Schadens für die Betroffenen sowie seiner Eintrittswahrscheinlichkeit bestimmt.
58,59 Dabei sind das technisch Machbare und die wirtschaftlichen Faktoren bei der Festlegung geeigneter Maßnahmen zur Eindämmung des Risikos in die Überlegungen einzubeziehen.
60,61
Art. 32 Abs. 2 DSGVO listet einen Katalog von Ereignissen auf, die eine Störung darstellen (bspw. Vernichtung, Verlust, im Sinne der Verletzung des Schutzes der personenbezogenen Daten), und knüpft damit das Schutzniveau an die Schutzbedürftigkeit der personenbezogenen Daten.
62 In der Praxis muss der jeweilige Schutzbedarf der verschiedenen personenbezogenen Daten anhand von typischen Schadenszenarien ermittelt werden, bevor dann die Einstufung in Schutzbedarfskategorien erfolgt.
63 Auf Grundlage der Schutzbedarfskategorien werden geeignete technische und organisatorische Maßnahmen identifiziert und umgesetzt.
64 Zum Nachweis der Einhaltung der Anforderungen des Art. 32 Abs. 1 DSGVO können anerkannte Zertifizierungsverfahren und Verhaltenskodizes verwendet werden, die kontextspezifische Eigenschaften der Datenverarbeitung abbilden können.
65