Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Hamburgisches - Hamburgische Beauftragte für Datenschutz und
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Eine weitere im Bereich der Statistik verwandte Methode, die Bestimmbarkeit<br />
der Bezugspersonen aufzuheben, besteht darin, in kontrollierter Weise<br />
Fehler in den Datenbestand einzubauen (vgl. zum Ganzen Simitis, BDSG,<br />
7. Aufl., § 3 Rn 206 ff.).<br />
Insbesondere bei komplexeren Datensätzen lässt sich zumeist keine absolute,<br />
sondern nur eine faktische Anonymisierung erreichen. Wenn Daten<br />
nicht absolut anonym sind, sondern nur im Hinblick auf den unverhältnismäßigen<br />
Aufwand einer Personenbestimmung, so ist zu bedenken, dass<br />
sich dieser Aufwand im Zeitverlauf verändern kann, z.B. durch nun (leichter)<br />
verfügbares Zusatzwissen, nachträgliche Veröffentlichungen von<br />
Daten, welche eine Zuordnung ermöglichen, oder neue automatisierte<br />
Datenverarbeitungsverfahren. Ein Beispiel ist die Anonymität von DNA-Sequenzen:<br />
Je verbreiteter genetische Untersuchungen nicht nur in der<br />
Forschung, sondern auch in der (personenbezogenen) Diagnostik werden,<br />
desto größer das Risiko, dass DNA-Vergleiche z.B. in forschenden Universitätskliniken<br />
zu einer Identifizierbarkeit der Person führen, von der die<br />
Probe stammt.<br />
Nur faktisch anonymisierte Daten sind daher zwar aktuell nicht personenbezogen,<br />
aber doch potentiell personenbezogen (vgl. Simitis, BDSG,<br />
7. Aufl., § 3 Rn 36). Der Begriff des Anonymisierens schließt somit ein<br />
gewisses Restrisiko der Reidentifizierung ein (vgl. Däubler/Klebe/Wedde/<br />
Weichert, BDSG, 3. Aufl., § 3 Rn 50).<br />
Diesem Risiko der Reidentifizierung muss durch geeignete technische <strong>und</strong><br />
organisatorische Maßnahmen Rechnung getragen werden. So müssen<br />
Schutzmaßnahmen gegen unbefugten Zugang <strong>und</strong> zur Sicherung der<br />
Integrität ergriffen werden. Getroffene technische <strong>und</strong> organisatorische<br />
Maßnahmen müssen regelmäßig auf ihre anhaltende Wirksamkeit geprüft<br />
werden <strong>und</strong> bei der Übermittlung oder Veröffentlichung anonymisierter Datenbestände<br />
muss berücksichtigt werden, dass solche Datenbestände,<br />
auch wenn sie <strong>für</strong> sich genommen anonym sind, im Verhältnis zu anderen,<br />
ähnlich hergestellten Datenbeständen gerade das Zusatzwissen enthalten<br />
können, das eine Identifizierung von Bezugspersonen mit geringerem Aufwand<br />
ermöglichen kann. Die <strong>für</strong> eine statistische Datenbank oder ein sozialwissenschaftliches<br />
Archiv verantwortliche Stelle muss daher den Umlauf<br />
von Versionen, die im Zusammenspiel eine Bestimmbarkeit der Betroffenen<br />
mit verhältnismäßigem Aufwand ermöglichen könnten, genau kontrollieren,<br />
z.B. indem solche Datenbestände nur <strong>für</strong> begrenzte Zeit zur<br />
Verfügung gestellt werden (vgl. zum Ganzen Simitis, BDSG, 7. Aufl.; § 3 Rn<br />
36 <strong>und</strong> 211). Nicht mehr erforderliche anonymiserte Daten sollten daher<br />
gelöscht werden, um jedwede Reidentifizierungsgefahr auszuschließen.<br />
67