Menü Schließen
Klicke hier zur PDF-Version des Beitrags!

Über­sicht*
I. Begriffs­be­stim­mung

  1. Per­so­nen­be­zo­ge­ne Daten
  2. Anony­mi­sie­rung
    II. Pro­blem der Anony­mi­sie­rung als Ver­ar­bei­tung i.S.d. DSGVO
  3. Wort­laut­aus­le­gung des Art. 4 Nr. 2 DSGVO
  4. Teleo­lo­gi­sche Aus­le­gung des Art. 4 Nr. 2 DSGVO
  5. Sys­te­ma­ti­sche Probleme
  6. Lösungs­an­satz der teleo­lo­gi­schen Reduk­ti­on des Art. 4 Nr. 2 DSGVO
  7. Zwi­schen­fa­zit
    III. Anony­mi­sie­rung als Chan­ce für die Sekun­där­for­schung
    IV. Bewer­tung des Schutz­be­darfs für anony­mi­sier­te Daten
  8. Pro­blem­lö­sung
    a) Ein­füh­rung einer Beob­ach­tungs­pflicht
    b) Ver­bot der Re-Iden­ti­fi­ka­ti­on
    c) Aus­for­mu­lie­rung kon­kre­ter Anfor­de­run­gen an den Grad der Anony­mi­sie­rung
    d) Zwi­schen­fa­zit
    V. Pseud­ony­mi­sie­rung als Alter­na­ti­ve
    VI. Zusam­men­fas­sung
    Ein­lei­tung
    Ein wesent­li­ches Ziel der DSGVO ist es, Daten­schutz bereits durch Tech­nik­ge­stal­tung zu errei­chen. In die­sem Zusam­men­hang wird ins­be­son­de­re die Anony­mi­sie­rung von per­so­nen­be­zo­ge­nen Daten als Patent­lö­sung ange­se­hen. Dabei gestal­tet sich die recht­li­che Bewer­tung der Anony­mi­sie­rung als zwei­schnei­dig. Auf der einen Sei­te ist sie als eine daten­schutz­freund­li­che tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­me ein­zu­ord­nen, da die im Fol­ge­schritt erlang­ten anony­mi­sier­ten Daten den Anwen­dungs­be­reich der DSGVO grund­sätz­lich aus­schlie­ßen. Auf der ande­ren Sei­te ver­langt das soge­nann­te Ver­bots­prin­zip für jeden Vor­gang, der unter den Begriff der Ver­ar­bei­tung in Art. 4 Nr. 2 DSGVO fällt, eine Rechts­grund­la­ge nach Art. 6 Abs. 1 DSGVO. Sofern die Anony­mi­sie­rung von Daten als eine Ver­ar­bei­tung anzu­se­hen ist, gehört sie fol­ge­rich­tig auch in den Anwen­dungs­be­reich des Daten­schutz­rechts. Der Schutz­zweck der DSGVO – unter ande­rem der Schutz des Daten­schutz­grund­rech­tes – ist durch anony­me Daten jedoch gera­de nicht betrof­fen. Vor die­sem Hin­ter­grund gilt es zunächst zu klä­ren, ab wann im recht­li­chen Sin­ne anony­me bzw. anony­mi­sier­te Daten vor­lie­gen und ob der Vor­gang der Anony­mi­sie­rung tat­säch­lich unter das Ver­bots­prin­zip fällt. Dar­an schließt sich die Pro­ble­ma­tik an, wel­che Erlaub­nis­tat­be­stän­de, ins­be­son­de­re im Hin­blick auf die ver­schärf­ten Anfor­de­run­gen für die Ver­ar­bei­tung beson­de­rer Kate­go­rien per­so­nen­be­zo­ge­ner Daten wie Gesund­heits­da­ten gem. Art. 9 Abs. 1 DSGVO, den Vor­gang legi­ti­mie­ren kön­nen. Dar­über hin­aus beant­wor­tet die­ser Bei­trag die zen­tra­le Fra­ge, ob eine Anony­mi­sie­rung per­so­nen­be­zo­ge­ner Daten auch ohne Ein­wil­li­gung der betrof­fe­nen Per­son recht­lich zuläs­sig ist und wel­che Chan­cen sich für For­schung und Wis­sen­schaft dar­aus erge­ben. Abschlie­ßend wird erör­tert, ob und wel­che Schutz­maß­nah­men für anony­mi­sier­te Daten exis­tie­ren und inwie­fern die Pseud­ony­mi­sie­rung als bes­se­re Alter­na­ti­ve zur Anony­mi­sie­rung in Betracht gezo­gen wer­den kann.
    I. Begriffs­be­stim­mung
    Zen­tral für die Bewer­tung der Anony­mi­sie­rung und Erör­te­rung der auf­ge­wor­fe­nen daten­schutz­recht­li­chen Fra­ge­stel­lun­gen ist die Bestim­mung der rele­van­ten Begrif­fe. Dabei ist nicht nur zu bestim­men, was unter Anony­mi­sie­rung ver­stan­den wird, son­dern es muss vor allem auch geklärt wer­den, ab wel­chem Punkt im recht­li­chen Sin­ne von anony­men bzw. anony­mi­sier­ten Daten gespro­chen wer­den kann. Ins­be­son­de­re ist es ange­sichts des Fort­schritts im Bereich der künst­li­chen Intel­li­genz
    Ste­fan Onur Seddig
    Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft aus Sicht des
    Daten­schutz­rechts
  • Mit Dank an Prof. Dr. Sil­ja Vöneky, Dani­el Becker und Nora Hertz für ihre wert­vol­len Anmer­kun­gen.
    Ord­nung der Wis­sen­schaft 2023, ISSN 2197–9197
    2 4 O R D N U N G D E R WI S S E N S C H A F T 1 ( 2 0 2 3 ) , 2 3 — 3 8
    1 Ver­ord­nung (EU) 2016/679 des euro­päi­schen Par­la­ments und des
    Rates vom 27. April 2016 zum Schutz natür­li­cher Per­so­nen bei der
    Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zum frei­en Daten­ver­kehr
    und zur Auf­he­bung der Richt­li­nie 95/46/EG.
    2 Aus­führ­lich Arning/Rothkegel, in: Taeger/Gabel (Hrsg.), DSGVO –
    BDSG (2022), 4. Auf­la­ge, Art. 4 DSGVO, Rn. 30 ff.; Spitz/Cornelius,
    in: Rich­ter et al. (Hrsg.), Daten­rei­che Medi­zin und das Pro­blem der
    Ein­wil­li­gung, Per­so­nen­be­zo­ge­ne Daten im Kon­text bio­me­di­zi­ni­scher
    Sekun­där­for­schung (2022), 101 (108 ff.); Bergt, Die Bestimm­bar­keit
    als Grund­pro­blem des Daten­schutz­rechts — Über­blick über
    den Theo­rien­streit und Lösungs­vor­schlag, ZD (2015), 365–370.
    3 Wei­chert, ABIDA Gut­ach­ten Big Data im Gesund­heits­be­reich
    (2018), 141, abruf­bar unter https://www.abida.de/sites/default/files/
    ABIDA%20Gutachten-Gesundheitsbereich.pdf (zuletzt abge­ru­fen
    am 08.12.2022); Forgó/Dügel, Der Per­so­nen­be­zug von Geo­da­ten -
    Cui bono, wenn alles bestimm­bar ist, MMR (2010), 17 (18); Behm,
    Scoring­ver­fah­ren unter Ein­be­zie­hung von Geo­da­ten, RDV (2010),
    61 (63 f.); Pah­len-Brandt, Daten­schutz braucht schar­fe Instru­men­te
    Bei­trag zur Dis­kus­si­on um „per­so­nen­be­zo­ge­ne Daten“, DuD
    (2008), 34 (39).
    4 VG Wies­ba­den, 27.02.2009 — 6 K 1045/08.WI, MMR (2009),
    428 (432); AG Ber­lin-Mit­te, 27.03.2007 — 5 C 314/06, K & R (2007),
    600 (601).
    5 So vgl. BfDI, Posi­ti­ons­pa­pier zur Anony­mi­sie­rung unter der
    DSGVO unter beson­de­rer Berück­sich­ti­gung der TK-Bran­che,
    29.06.2020, 4; abruf­bar unter: https://www.bfdi.bund.de/Shared-
    Docs/Downloads/DE/Konsultationsverfahren/1_Anonymisierung/
    Positionspapier-Anonymisierung.pdf;jsessionid=D6D6B6BAAA5
    04EF283160B8590939B53.intranet231?__blob=publicationFile&v=4
    (zuletzt abge­ru­fen am 08.12.2022).
    6 Wei­chert, (Fn. 3), 141; Behm, (Fn. 3), 61 (63 f.); Forgó/Dügel, (Fn. 3),
    17 (18).
    7 So auch Spitz/Cornelius, (Fn. 2), 101 (108).
    8 Spitz/Cornelius, (Fn. 2), 101 (108); Wei­chert, (Fn. 3), 141.
    9 Wei­chert, (Fn. 3), 141; Bergt, (Fn. 2), 365 (368 f.).
    10 Wei­chert, (Fn. 3), 141.
    11 Pah­len-Brandt, Zur Per­so­nen­be­zo­gen­heit von IP-Adres­sen, K & R
    (2008), 286 (289); vgl. Forgó/Dügel, (Fn. 3), 17 (18).
    12 Pah­len-Brandt, (Fn. 3), 34 (38); vgl. Forgó/Dügel, (Fn. 3), 17 (18).
    13 Forgó/Dügel, (Fn. 3), 17 (18).
    14 BVerfG, 15.12.1983 — 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR
    420/83, 1 BvR 362/83, 1 BvR 269/83, NJW (1984), 419.
    15 Pah­len-Brandt, (Fn. 3), 34 (39).
    16 Brink/Eckhardt, Wann ist ein Datum ein per­so­nen­be­zo­ge­nes
    Datum?, ZD (2015), 205 (210).
    (KI) und Big Data frag­lich, ob tat­säch­lich nicht re-indi­vi­dua­li­sier­ba­re
    Daten erzeugt wer­den können.
  1. Per­so­nen­be­zo­ge­ne Daten
    Unter den Anwen­dungs­be­reich der DSGVO1 fal­len aus­schließ­lich
    per­so­nen­be­zo­ge­ne Daten. Per­so­nen­be­zo­ge­nen
    Daten wer­den in Art. 4 Nr. 1 DSGVO legal defi­niert.
    Danach sind per­so­nen­be­zo­ge­ne Daten
    „alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te
    oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den
    „betrof­fe­ne Per­son“) bezie­hen; als iden­ti­fi­zier­bar wird
    eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt,
    […] iden­ti­fi­ziert wer­den kann.“
    Sys­te­ma­tisch knüpft das Begriffs­paar „iden­ti­fi­ziert“
    oder „iden­ti­fi­zier­bar“ in Erwä­gungs­grund (EG) 26 S. 5
    an EG 26 S. 3 und 4 DSGVO an. Hier­nach sind zur Fest­stel­lung
    der Iden­ti­fi­zier­bar­keit alle Mit­tel zu berück­sich­ti­gen,
    die von dem Ver­ant­wort­li­chen oder einer ande­ren
    Per­son nach all­ge­mei­nem Ermes­sen wahr­schein­lich zur
    Iden­ti­fi­ka­ti­on der natür­li­chen Per­son genutzt wer­den.
    Pro­ble­ma­tisch erscheint die Ein­ordung der Reich­wei­te
    der Identifizierbarkeit.2 Hier­zu bil­de­ten sich in Lite­ra­tur
    und Pra­xis im Grun­de zwei Ansät­ze, der objek­ti­ve
    und der sub­jek­ti­ve Ansatz her­aus. Der objek­ti­ve Ansatz
    wird von Tei­len der Literatur3 und ein­zel­nen Gerichte4
    sowie dem Bun­des­be­auf­trag­ten für Daten­schutz und
    Infor­ma­ti­ons­frei­heit (BfDI)5 ver­tre­ten. Danach ent­fal­le
    der Per­so­nen­be­zug des Datums nur, wenn weder bei der
    ver­ant­wort­li­chen Stel­le noch bei einer sons­ti­gen drit­ten
    Stel­le iden­ti­fi­zie­ren­des Zusatz­wis­sen vor­han­den ist.6
    Folg­lich wür­de ein per­so­nen­be­zo­ge­nes Datum vor­lie­gen,
    wenn die nach EG 26 S. 3 DSGVO maß­geb­li­chen
    Mit­tel für die Iden­ti­fi­zier­bar­keit bei irgend­ei­ner belie­bi­gen
    Stel­le vorliegen.7 Mit­hin ist nach die­sem Ansatz uner­heb­lich,
    ob es sich hier­bei um die ver­ant­wort­li­che bzw.
    for­schen­de Stel­le selbst, eine Daten­treu­hand­stel­le, den
    behan­deln­den Arzt oder eine Drit­te Stel­le handele.8
    Schließ­lich sei auch irrele­vant, ob die ver­ant­wort­li­che
    Stel­le tat­säch­lich auf die Iden­ti­fi­ka­to­ren wie bspw. Zuord­nungs­schlüs­sel
    zugrei­fen kann, wel­ches Inter­es­se die
    Stel­le hat oder ob das Zusatz­wis­sen auf ille­ga­lem Wege
    erhal­ten wurde.9 Für die Ver­füg­bar­keit des Zusatz­wis­sens
    genü­ge allein die theo­re­ti­sche Möglichkeit.10
    Der objek­ti­ve Ansatz wird damit begrün­det, dass dadurch
    der umfas­sen­de Schutz des Rechts auf infor­ma­tio­nel­le
    Selbst­be­stim­mung gewähr­leis­tet wird.11 Die­ser Ansatz
    ermög­li­che eine trenn­schar­fe Abgren­zung zwi­schen
    per­so­nen­be­zo­ge­nen und anony­men Daten.12 Dem­nach
    ver­mei­de der objek­ti­ve Ansatz in der Pra­xis inad­äqua­te
    Einzelfallentscheidungen.13 Fer­ner führt Pah­len-Brandt
    an, dass die­ser Ansatz natio­nal auch den Vor­ga­ben des
    Bun­des­ver­fas­sungs­ge­rich­tes im Volkszählungsurteil14
    ent­spre­che, wonach es kein belang­lo­ses Datum mehr
    gebe und per­so­nen­be­zo­ge­ne Daten somit umfas­send zu
    schüt­zen seien.15 Ins­ge­samt schaf­fe der objek­ti­ve Ansatz
    Rechts­si­cher­heit, indem er die für das Daten­schutz­recht
    so wich­ti­ge Fra­ge nach dem Anwen­dungs­be­reich
    ein­heit­lich beantworte.16
    Gegen die­se Ansicht ist vor allem anzu­füh­ren, dass
    der objek­ti­ve Ansatz in unver­hält­nis­mä­ßi­ger Wei­se in
    Seddig · Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft 2 5
    17 Aus­führ­lich Brink/Eckhardt, (Fn. 16), 205 (210).
    18 Spitz/Cornelius, (Fn. 2), 101 (112); Brink/Eckhardt, (Fn. 16), 205
    (210).
    19 Spitz/Cornelius, (Fn. 2), 101 (112); Buchholtz/Stentzel, in: Gier­schmann
    et al. (Hrsg.), DS-GVO (2018), 1. Aufl., Art. 4 Nr. 1, Rn. 11;
    Brink/Eckhardt, (Fn. 16), 205 (210).
    20 Spitz/Cornelius, (Fn. 2), 101 (109); Brink/Eckhardt, (Fn. 16), 205
    (210); Bergt, (Fn. 2), 365 (369).
    21 Vgl. Arning/Rothkegel, (Fn. 2), Rn. 35; Brink/Eckhardt, (Fn. 16),
    205 (210).
    22 Vgl. Spitz/Cornelius, (Fn. 2), 101 (109); Schwartmann/Mühlenbeck,
    in: Schwart­mann et al. (Hrsg.), DS-GVO/BDSG (2020), 2. Auf­la­ge,
    Art. 4, Rn. 38; Brink/Eckhardt, (Fn. 16), 205 (210).
    23 So auch Arning/Rothkegel, (Fn. 2), Rn. 35; Schwartmann/Mühlenbeck,
    (Fn. 22), Rn. 38.
    24 Sie­he dazu Arning/Rothkegel, (Fn. 2), Rn. 34 f.; Eßer, in: Auern­ham­mer
    (Hrsg.), DSGVO BDSG (2020), 7. Auf­la­ge, Art. 4, Rn.
    20; Schwartmann/Mühlenbeck, (Fn. 22), Rn. 35 ff.; Nink/Pohle, Die
    Bestimm­bar­keit des Per­so­nen­be­zugs, MMR (2015), 563 ff.
    25 Arning/Rothkegel, (Fn. 2), Rn. 34; Eßer, (Fn. 24), Rn. 20.
    26 Spitz/Cornelius, (Fn. 2), 101 (110); vgl. Schwartmann/Mühlenbeck,
    (Fn. 22), Rn. 35.
    27 Spitz/Cornelius, (Fn. 2), 101 (110).
    28 Nink/Pohle, (Fn. 24), 563 (566).
    29 Ebd.
    30 Danach ist „Ver­ant­wort­li­cher“ die natür­li­che oder juris­ti­sche
    Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein
    oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der
    Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det; sind die
    Zwe­cke und Mit­tel die­ser Ver­ar­bei­tung durch das Uni­ons­recht
    oder das Recht der Mit­glied­staa­ten vor­ge­ge­ben, so kann der Ver­ant­wort­li­che
    bezie­hungs­wei­se kön­nen die bestimm­ten Kri­te­ri­en
    sei­ner Benen­nung nach dem Uni­ons­recht oder dem Recht der
    Mit­glied­staa­ten vor­ge­se­hen wer­den.
    31 Jung/Hansch, Die Ver­ant­wort­lich­keit in der DS-GVO und ihre
    prak­ti­schen Aus­wir­kun­gen, ZD (2019), 143 (143); Becker, Die
    Wis­sen­schafts­pri­vi­le­gie­rung der DS-GVO, OdW (2022), 103 (105).
    32 Becker, (Fn. 31), 103 (105).
    33 So auch Spitz/Cornelius, (Fn. 2), 101 (113); Brink/Eckhardt, (Fn. 16),
    205 (209).
    Frei­heits­grund­rech­te eingreift.17 Die­se exten­si­ve Aus­le­gung
    des Anwen­dungs­be­reichs des Daten­schutz­rechts
    zum Schutz per­so­nen­be­zo­ge­ner Daten greift in recht­fer­ti­gungs­be­dürf­ti­ger
    Wei­se ins­be­son­de­re in die For­schungs­frei­heit
    ein, da hier­durch die Daten­ver­ar­bei­tung
    als Grund­rechts­be­tä­ti­gung ein­ge­schränkt wird.18 Es kann
    näm­lich zu kei­nem ver­hält­nis­mä­ßi­gen Aus­gleich zwi­schen
    der infor­ma­tio­nel­len Selbst­be­stim­mung der betrof­fe­nen
    Per­son und der For­schungs­frei­heit der For­schen­den,
    wie ihn das Daten­schutz­recht anstrebt, kom­men.
    19 Aus dem Grun­de, dass der objek­ti­ve Ansatz ein­sei­tig
    von der ver­ant­wort­li­chen Stel­le for­dert, vor­sorg­lich
    alle Infor­ma­tio­nen als per­so­nen­be­zo­ge­ne Daten zu behan­deln,
    da irgend­ei­ne Stel­le über Zusatz­wis­sen ver­fü­gen
    könnte.20 Dies stellt eine unver­hält­nis­mä­ßi­ge Hür­de
    für unter ande­rem For­schen­de dar, die oft­mals kein Wis­sen
    oder Ein­blick dar­über haben, ob iden­ti­fi­zie­ren­des
    Zusatz­wis­sen bei Drit­ten existiert.21 Mit­hin schafft der
    objek­ti­ve Ansatz durch prak­tisch schwer­lich umsetz­ba­re
    Anfor­de­run­gen Rechtsunsicherheit.22 Die strik­te Anwen­dung
    des objek­ti­ven Ansat­zes wür­de im Ergeb­nis
    zur Unmög­lich­keit der Anony­mi­sie­rung füh­ren, da die
    Iden­ti­fi­zier­bar­keit nicht rechts­si­cher aus­ge­schlos­sen
    wer­den könnte.23 Damit wäre ein im Grun­de daten­schutz­freund­li­ches
    Instru­ment nicht anwend­bar.
    Die­sem objek­ti­ven Ansatz wird der sub­jek­ti­ve Ansatz
    entgegengesetzt.24 Danach hän­ge die Iden­ti­fi­zier­bar­keit
    von der kon­kret ver­ant­wort­li­chen Stel­le und ihrer Kennt­nis­nah­me­mög­lich­kei­ten
    ab.25 Somit erfolgt beim sub­jek­ti­ven
    Ansatz aus der Per­spek­ti­ve der ver­ant­wort­li­che
    Stel­le die Beur­tei­lung dar­über, wel­che Mit­tel und wel­ches
    Zusatz­wis­sen ihr kon­kret zur Ver­fü­gung stünden.26
    Erst wenn die jeweils ver­ant­wort­li­che Stel­le fak­tisch die
    Mög­lich­keit zur Her­stel­lung eines Per­so­nen­be­zugs habe,
    soll­ten die Pflich­ten der DSGVO eingreifen.27 Über den
    sub­jek­ti­ven Ansatz kön­ne laut Nink/Pohle die ver­ant­wort­li­che
    Stel­le ein­deu­tig bestim­men, ob aus ihrer Sicht
    ein Per­so­nen­be­zug vor­lie­ge oder nicht.28 Die­ser Ansatz
    gewähr­leis­te mehr Rechts­si­cher­heit, da es auch kei­ne
    Schutz­lü­cken für die betrof­fe­ne Per­son gebe.29
    Vor die­sem Hin­ter­grund ist für die Ein­stu­fung eines
    Datums als per­so­nen­be­zo­gen zen­tral, wer im kon­kre­ten
    Ein­zel­fall als Ver­ant­wort­li­cher zu qua­li­fi­zie­ren ist. Der
    Ver­ant­wort­lich­keits­be­griff wird in Art. 4 Nr. 7 DSGVO
    legaldefiniert.30 Bei­spiel­wei­se ist für die Ein­stu­fung des
    Ver­ant­wort­li­chen in der For­schung ent­schei­dend, für
    wen die For­schen­den im Ein­zel­fall tätig sind. Wenn die
    For­schen­den an der Uni­ver­si­tät tätig sind oder für ein
    Unter­neh­men tätig sind, dann ist im Regel­fall die Uni­ver­si­tät
    bzw. das Unter­neh­men i.S.v. Art. 4 Nr. 7 DSGVO
    die Verantwortliche.31 Folg­lich ist aus­ge­hend von dem
    zur Ver­fü­gung ste­hen­den Wis­sen und den Res­sour­cen
    des Ver­ant­wort­li­chen für jedes Datum zu prü­fen, ob es
    als per­so­nen­be­zo­ge­nes Datum zu qua­li­fi­zie­ren ist.32
    Die strik­te Anwen­dung des sub­jek­ti­ven Ansat­zes, der
    aus­schließ­lich auf die ver­ant­wort­li­che Stel­le abstellt,
    führt jedoch nicht auto­ma­tisch auch zu einem ver­hält­nis­mä­ßi­gen
    Schutz der per­so­nen­be­zo­ge­nen Daten.33 Der
    EG 26 S. 3 DSGVO deu­tet an, dass unter Umstän­den auf
    die Mit­tel Drit­ter abge­stellt wer­den muss. Somit ist eine
    2 6 O R D N U N G D E R WI S S E N S C H A F T 1 ( 2 0 2 3 ) , 2 3 — 3 8
    34 Für einen kom­bi­nie­ren­den oder ver­mit­teln­den Ansatz Gola, in
    Gola/Heckmann (Hrsg.), DS-GVO (2022), 3. Auf­la­ge, Art. 4,
    Rn. 21 ff.; Spitz/Cornelius, (Fn. 2), 101 (112 f.); Brink/Eckhardt, (Fn.
    16), 205 (211); Buchholtz/Stentzel, (Fn. 19), Rn. 12.
    35 Buchholtz/Stentzel, (Fn. 19), Rn. 12.
    36 Spitz/Cornelius, (Fn. 2), 101 (111).
    37 Buchholtz/Stentzel, (Fn. 19), Rn. 12.
    38 EuGH, 19.10.2016 — C‑582/14, MMR (2016), 842 (843 f.), Rn. 45 ff.
    39 Ebd., Rn. 45.
    40 Ebd., Rn. 46.
    41 Ebd., Rn. 46.
    42 Vgl. ebd., Rn. 65.
    43 Spitz/Cornelius, (Fn. 2), 101 (113).
    44 Anders als die DSGVO oder das BDSG defi­nie­ren eini­ge der
    Lan­des­da­ten­schutz­ge­set­ze die Anony­mi­sie­rung vgl. mit
    Abwei­chun­gen: § 3 BbgD­SG; § 2 Abs. 4 BremDSG;
    § 11 Abs. 2 HmbDSG. Dabei bezie­hen die­se Nor­men sich im
    Grun­de auf § 3 Abs. 6 BDSG a.F., der die Anony­mi­sie­rung legal
    defi­nier­te.
    45 Vgl. mit Abwei­chun­gen § 3 BbgD­SG; § 2 Abs. 4 BremDSG; § 11
    Abs. 2 HmbDSG.; im Ergeb­nis auch EuGH, (Fn. 40), Rn. 46;
    BfDI, (Fn. 5), 4; vgl. mit Bestä­ti­gung der wort­glei­chen Defi­ni­ti­on
    aus § 3 Abs. 6 BDSG a.F. Gola, (Fn. 34), Rn. 51.
    46 Eine aus­schließ­li­che Defi­ni­ti­on der abso­lu­ten Anony­mi­sie­rung
    Ernst, in: Paal/Pauly (Hrsg.), DS-GVO (2021), 3. Auf­la­ge, Art. 4,
    Rn. 48.
    47 Gegen die Mög­lich­keit der fak­ti­schen Anony­mi­sie­rung Ernst,
    (Fn. 46), Rn. 50; danach füh­re solch eine „Erschwe­rung“ nur zu
    einer Pseud­ony­mi­sie­rung. Es wird offen­ge­las­sen, inwie­fern dann
    über­haupt eine Anony­mi­sie­rung noch tat­säch­lich mög­lich ist.
    48 Vgl. EG 26 S. 5; Spindler/Dalby, in Spindler/Schuster (Hrsg.),
    Recht der elek­tro­ni­schen Medi­en (2019), 4. Auf­la­ge, Art. 4, Rn. 14.
    aus­schließ­lich los­ge­lös­te sub­jek­ti­ve Betrach­tung nicht
    ver­ein­bar mit Ziel­set­zung und Zweck der DSGVO.
    Viel­mehr braucht es einen Mit­tel­weg, wel­cher bestimm­te
    Aspek­te des objek­ti­ven und sub­jek­ti­ven Ansat­zes
    kombiniert.34 Nach einer ver­mit­teln­den Ansicht von
    Buchholtz/Stentzel müs­se die Iden­ti­fi­ka­ti­on der betrof­fe­nen
    Per­son der ver­ant­wort­li­chen Stel­le objek­tiv mög­lich
    und sub­jek­tiv von ihr beab­sich­tigt sein.35 Im For­schungs­kon­text
    wür­de eine Iden­ti­fi­zier­bar­keit nach die­ser Ansicht
    dann aus­schei­den, wenn die For­schen­den die betrof­fe­ne
    Per­son nicht selbst für ihre For­schung iden­ti­fi­zie­ren
    müss­ten, son­dern dies der daten­er­he­ben­den Stel­le
    oder zwi­schen­ge­schal­te­ten Daten­treu­hand­stel­le
    über­las­sen würden.36 Nach Buchholtz/Stentzel sei das Zusatz­wis­sen
    Drit­ter zudem dann nicht den For­schern zuzu­rech­nen,
    wenn ein Zugriff hier­auf rechts­wid­rig sei.37
    In die­se Rich­tung hat auch der Euro­päi­sche Gerichts­hof
    (EuGH) argu­men­tiert, als er sich mit der Fra­ge der Zure­chen­bar­keit
    von Zusatz­wis­sen befasst hat.38 Danach ist
    ent­schei­dend, ob der Zugriff auf Zusatz­wis­sen für die
    ver­ant­wort­li­che Stel­le ein Mit­tel dar­stel­le, dass ver­nünf­ti­ger­wei­se
    zur Bestim­mung der betrof­fe­nen Per­son ein­ge­setzt
    wer­den könne.39 Erst wenn die Ver­knüp­fung gesetz­lich
    ver­bo­ten oder prak­tisch undurch­führ­bar und
    das Risi­ko einer Iden­ti­fi­ka­ti­on daher fak­tisch ver­nach­läs­sig­bar
    sei, dann sei der Zugriff auf das Zusatz­wis­sen
    durch die ver­ant­wort­li­che Stel­le nicht zu erwarten.40
    Nach dem EuGH lie­ge eine prak­ti­sche Undurch­führ­bar­keit
    der Ver­knüp­fung dann vor, wenn die Iden­ti­fi­ka­ti­on
    einen unver­hält­nis­mä­ßig gro­ßen Auf­wand an Zeit und
    Kos­ten erfor­dern würde.41 Mit­hin müs­se für die Annah­me
    der Zure­chen­bar­keit die ver­ant­wort­li­che Stel­le über
    recht­li­che Mit­tel ver­fü­gen, um auf das Zusatz­wis­sen
    zuzugreifen.42
    Die­ser ver­mit­teln­de Ansatz mit den Kri­te­ri­en des EuGH
    ist über­zeu­gend, da er durch das Abstel­len auf recht­li­che
    Mit­tel in Kom­bi­na­ti­on mit prak­ti­scher Umsetz­bar­keit
    den not­wen­di­gen Grad an Rechts­si­cher­heit schafft.43 Die
    wider­strei­ten­den Inter­es­sen des Rechts auf infor­ma­tio­nel­le
    Selbst­be­stim­mung und der Gewähr­leis­tung von
    Frei­heits­grund­rech­ten wie der For­schungs­frei­heit wer­den
    in einen ver­hält­nis­mä­ßi­gen Aus­gleich gebracht. Den
    For­schen­den wird ein ange­mes­se­nes Maß an Eigen­ver­ant­wor­tung
    zuge­schrie­ben, ohne etwa­ige Schutz­pflich­ten
    in einen Zeit­raum vor­zu­ver­le­gen, in dem kein Gefah­ren­po­ten­zi­al
    für die betrof­fe­ne Per­son besteht.
  2. Anony­mi­sie­rung
    Vor die­sem Hin­ter­grund und unter Zugrun­de­le­gung des
    EG 26 S. 3 und 4 der DSGVO sowie der ein­schlä­gi­gen
    Defi­ni­tio­nen zur Anony­mi­sie­rung aus den Landesdatenschutzgesetzen44
    wird von fol­gen­der Defi­ni­ti­on für die
    Anony­mi­sie­rung aus­ge­gan­gen:
    „Anony­mi­sie­rung ist das Ver­än­dern per­so­nen­be­zo­ge­ner
    Daten der­ge­stalt, dass die Ein­zel­an­ga­ben über per­sön­li­che
    oder sach­li­che Ver­hält­nis­se nicht mehr oder
    nur mit einem unver­hält­nis­mä­ßi­gen Auf­wand an Zeit,
    Kos­ten und Arbeits­kraft einer bestimm­ten oder bestimm­ba­ren
    natür­li­chen Per­son zuge­ord­net wer­den
    können.“45
    Aus die­ser Defi­ni­ti­on erge­ben sich zwei ver­schie­de­ne
    Anony­mi­sie­rungs­for­men. Einer­seits die Form der abso­lu­ten
    Anony­mi­sie­rung, bei der die Re-Iden­ti­fi­ka­ti­on
    nicht mög­lich ist.46 Ande­rer­seits die Form der fak­ti­schen
    Anony­mi­sie­rung, bei der die Re-Iden­ti­fi­ka­ti­on am unver­hält­nis­mä­ßig
    hohen Auf­wand scheitert.47 Bei­de Wege
    füh­ren dazu, dass die DSGVO auf­grund des ent­fal­le­nen
    Per­so­nen­be­zugs der nun vor­lie­gen­den Daten nicht anwend­bar
    ist.48
    Die zugrun­de geleg­te Defi­ni­ti­on der Anony­mi­sie­rung
    deu­tet bereits auf eine der zen­tra­len Fra­ge­stel­lun­gen
    im Daten­schutz hin: Ist eine Anony­mi­sie­rung tatS­eddig
    · Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft 2 7
    49 So vgl. BfDI, (Fn. 5), 4; auch Zie­barth, in: Sydow (Hrsg.), Euro­päi­sche
    Daten­schutz­grund­ver­ord­nung (2018), 2. Auf­la­ge, Art. 4,
    Rn. 29 f.
    50 Im Ergeb­nis auch Ernst, (Fn. 46), Rn. 50.
    51 In die­se Rich­tung ebd.; Spindler/Dalby, (Fn. 48), Rn. 16.
    52 Eine Über­sicht von tech­ni­schen Anony­mi­täts­ver­fah­ren: Leo­pol­di­na,
    Natio­na­le Aka­de­mie der Wis­sen­schaf­ten, aca­tech; Stel­lung­nah­me:
    Pri­vat­heit in Zei­ten der Digi­ta­li­sie­rung (2018), 52 f.,
    abruf­bar unter: https://www.leopoldina.org/uploads/tx_leopublication/
    2018_Stellungnahme_BigData.pdf (zuletzt abge­ru­fen am
    08.12.2022).
    53 Defi­ni­ti­on nach Leo­pol­di­na, (Fn. 52), 52 f.: k‑anonymity soll die
    Ver­knüp­fung eines sen­si­blen Attri­buts zu einem ein­zel­nen Indi­vi­du­um
    erschwe­ren, da durch Aggre­ga­ti­on immer min­des­tens eine
    Anzahl von k‑Individuen das­sel­be sen­si­ble Attri­but teilt. Ein Set
    an Daten bie­tet dann k‑Anonymität, wenn die iden­ti­fi­zie­ren­den
    Infor­ma­tio­nen (Iden­ti­fier) jedes ein­zel­nen Indi­vi­du­ums in dem
    Daten­set von min­des­tens k‑1 ande­ren Indi­vi­du­en unun­ter­scheid­bar
    sind.
    54 Defi­ni­ti­on nach ebd.: I‑diversity garan­tiert ein Maß an Ver­schie­den­heit
    der sen­si­blen Attri­bu­te inner­halb einer k‑anonymen
    Grup­pe.
    55 Defi­ni­ti­on nach ebd.: t‑closeness erwei­tert das k‑an­ony­mi­ty-
    Modell um einen Para­me­ter, der die Ver­tei­lung der sen­si­blen
    Attri­bu­te in den ein­zel­nen Äqui­va­lenz­klas­sen mit der Ver­tei­lung
    in der gesam­ten Tabel­le har­mo­ni­siert.
    56 Defi­ni­ti­on nach ebd.: Dif­fe­ren­ti­al Pri­va­cy erlaubt die Anony­mi­sie­rung
    von Daten­be­stän­den sowie anony­mi­sier­te Daten­bank­ab­fra­gen.
    In letz­te­rem Fall behält der Ver­ant­wort­li­che die
    ori­gi­na­len Daten und erlaubt Drit­ten sta­tis­ti­sche Anfra­gen auf
    die­sen Daten­be­stand. Die Ergeb­nis­se der Abfra­gen wer­den durch
    hin­zu­ge­füg­te Daten soweit „ver­rauscht“, dass sie in der Men­ge
    zwar noch eine kor­rek­te sta­tis­ti­sche Aus­sa­ge ermög­li­chen, das
    Aus­son­dern (Sing­ling Out) von ein­zel­nen Indi­vi­du­en jedoch
    ver­hin­dern.
    57 Aus­führ­lich dazu Höl­zel, Anony­mi­sie­rungs­tech­ni­ken und das
    Daten­schutz­recht, DuD (2018), 502 (502).
    58 Ebd.
    59 Dazu aus­führ­lich Vokinger/Stekhoven/Krauthammer, Lost in
    Anony­miza­ti­on — A Data Anony­miza­ti­on Refe­rence Clas­si­fi­ca­ti­on
    Mer­ging Legal and Tech­ni­cal Con­side­ra­ti­ons, Jour­nal of Law,
    Medi­ci­ne & Ethics (2020), 228–231.
    60 BfDI, 26. Tätig­keits­be­richt zum Daten­schutz 2015–2016,
    30.05.2017, 170, abruf­bar unter: https://www.bfdi.bund.de/Shared-
    Docs/Downloads/DE/Taetigkeitsberichte/26TB_15_16.pdf?__
    blob=publicationFile&v=3 (zuletzt abge­ru­fen am 08.12.2022).
    61 BfDI, (Fn. 5), 4.
    säch­lich umsetz­bar? Der BfDI geht in sei­nem Posi­ti­ons­pa­pier
    zur Anony­mi­sie­rung aus dem Jahr 2021 davon
    aus, dass zumin­dest eine abso­lu­te Anony­mi­sie­rung nicht
    mög­lich sei.49 Mit­hin sei also der Schwie­rig­keits­grad für
    eine Re-Iden­ti­fi­ka­ti­on das ent­schei­den­de Kri­te­ri­um für
    eine (fak­ti­sche) Anony­mi­sie­rung. Die­ses Kri­te­ri­um ist
    kri­tisch zu bewer­ten, da die Anfor­de­run­gen an den „unver­hält­nis­mä­ßig
    hohen Auf­wand“ lau­fend ange­passt
    wer­den müs­sen, wenn es KI-Sys­te­men wie Deep Lear­ning
    (DL) durch Abgleich mit agg­re­gier­ten Daten­ban­ken
    mög­lich ist bzw. sein wird, anony­mi­sier­te Daten der
    betrof­fe­nen Per­son schnel­ler zuzuordnen.50
    Folg­lich schließt dar­an die Not­wen­dig­keit an, dass
    KI-Sys­te­me gleich­zei­tig fort­schritt­li­che­re Anony­mi­sie­rungs­pro­zes­se
    ermög­li­chen, also der Schwie­rig­keits­grad
    der Re-Iden­ti­fi­ka­ti­on pro­por­tio­nal dazu wächst.51 Frag­lich
    ist, ob die sta­te of the art Anonymisierungstechnologien52
    wie k‑anonymity53, l‑diversity54, t‑closeness55 und
    Dif­fe­ren­ti­al Privacy56 die­sen dyna­mi­schen Fort­schritt
    mit­ge­hen kön­nen.
    Kri­tik­wür­dig an der recht­li­chen Defi­ni­ti­on der Anony­mi­sie­rung
    ist zudem, dass sie kei­ne tech­ni­schen Anfor­de­run­gen
    oder bestimm­te Anony­mi­sie­rungs­tech­ni­ken
    in ihrer Defi­ni­ti­on ent­hält, son­dern von tech­ni­schen
    Stan­dards unab­hän­gig for­mu­liert ist.57 Folg­lich stellt die
    tech­ni­sche Anony­mi­sie­rung nicht unbe­dingt eine Anony­mi­sie­rung
    im recht­li­chen Sin­ne dar und umgekehrt.58
    Dem­entspre­chend soll­te an einer Homo­ge­ni­sie­rung des
    tech­ni­schen und juris­ti­schen Anony­mi­sie­rungs­be­griffs
    gear­bei­tet wer­den, um dies­be­züg­li­che Dis­kre­pan­zen zu
    besei­ti­gen und Rege­lungs­lü­cken zu ver­mei­den. Dies
    wür­de eine Kon­kre­ti­sie­rung des recht­li­chen Anony­mi­sie­rungs­be­griffs
    durch tech­ni­sche Aspek­te erfordern.59
    II. Pro­blem der Anony­mi­sie­rung als Ver­ar­bei­tung
    i.S.d. DSGVO
    Das zen­tra­le Pro­blem im Zusam­men­hang mit der Anony­mi­sie­rung
    ist die Fra­ge, ob die­se sich als eine Daten­ver­ar­bei­tung
    i. S. d. DSGVO ein­ord­nen lässt. Die­se Fra­ge
    wur­de auch vom BfDI bis­her nicht ein­deu­tig beant­wor­tet.
    So hat der BfDI zunächst 2017 in sei­nem
    Tätig­keits­be­richt fest­ge­hal­ten, dass die Anony­mi­sie­rung
    kei­ne Daten­ver­ar­bei­tung darstelle.60 In sei­nem Posi­ti­ons­pa­pier
    zur Anony­mi­sie­rung revi­dier­te er die­se Aus­sa­ge
    wieder.61 Die Mei­nungs­än­de­rung ist dog­ma­tisch
    dünn begrün­det und erfor­dert daher eine dif­fe­ren­zier­te
    Prü­fung des aus­schlag­ge­ben­den Art. 4 Nr. 2 DSGVO,
    wel­cher den Ver­ar­bei­tungs­be­griff legal defi­niert. Danach
    bezeich­net der Begriff der Ver­ar­bei­tung jeden mit oder
    ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ten Vor­gang
    oder jede sol­che Vor­gangs­rei­he im Zusam­men­hang
    mit per­so­nen­be­zo­ge­nen Daten. Der Art. 4 Nr. 2 DSGVO
    nennt nach­fol­gend 18 Regel­bei­spie­le wie die Ver­än­de­rung,
    die Ver­wen­dung oder das Löschen. Jedoch wird
    die Anony­mi­sie­rung nicht aus­drück­lich genannt.
    Die Anony­mi­sie­rung wur­de auch schon nicht in der
    Vor­gän­ger­norm des Art. 4 Nr. 2 DSGVO dem Art. 2 lit. b
    2 8 O R D N U N G D E R WI S S E N S C H A F T 1 ( 2 0 2 3 ) , 2 3 — 3 8
    62 Wort­laut des Art. 2 lit. b Daten­schutz­richt­li­nie: „Ver­ar­bei­tung
    per­so­nen­be­zo­ge­ner Daten“ („Ver­ar­bei­tung“) jeden mit oder
    ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ten Vor­gang oder
    jede Vor­gangs­rei­he im Zusam­men­hang mit per­so­nen­be­zo­ge­nen
    Daten wie das Erhe­ben, das Spei­chern, die Orga­ni­sa­ti­on, die
    Auf­be­wah­rung, die Anpas­sung oder Ver­än­de­rung, das Aus­le­sen,
    das Abfra­gen, die Benut­zung, die Wei­ter­ga­be durch Über­mitt­lung,
    Ver­brei­tung oder jede ande­re Form der Bereit­stel­lung, die
    Kom­bi­na­ti­on oder die Ver­knüp­fung sowie das Sper­ren, Löschen
    oder Ver­nich­ten.“
    63 Herbst, in: Kühling/Wagner, DS-GVO/BDSG (2020), 3. Auf­la­ge,
    Art. 4 Nr. 2 DSGVO, Rn. 25 Arning/Rothkegel, (Fn 2), Rn. 78
    64 Arning/Rothkegel, (Fn 2), Rn. 78; Thüsing/Rombey, Anony­mi­sie­rung
    an sich ist kei­ne recht­fer­ti­gungs­be­dürf­ti­ge Daten­ver­ar­bei­tung,
    ZD (2021), 548 (550); Gier­schmann, Gestal­tungs­mög­lich­kei­ten
    durch sys­te­ma­ti­sches und risi­ko­ba­sier­tes Vor­ge­hen,
    ZD (2021), 482 (484); Hornung/Wagner, Anony­mi­sie­rung als
    daten­schutz­re­le­van­te Ver­ar­bei­tung?, ZD (2020), 223 (224).
    65 So BfDI, (Fn. 5), 5; Gola, (Rn. 34), Rn. 52; in die­se Rich­tung auch
    Roß­na­gel, in: Simitis/Hornung/Spiecker gen. Döh­mann (Hrsg.),
    Daten­schutz­recht (2019), 1. Auf­la­ge, Art. 4 Nr. 2, Rn. 20.
    66 Vgl. Arning/Rothkegel, (Fn 2), Rn. 78; Thüsing/Rombey, (Fn. 64),
    548 (550).
    67 Arning/Rothkegel, (Fn 2), Rn. 78.
    68 So auch aus­führ­lich Thüsing/Rombey, (Fn. 64), 548 (551 f.); Hornung/
    Wag­ner, (Fn. 64), 223 (224); Roß­na­gel, (Fn. 65), Rn. 30; a.A.
    Gola, (Rn. 34), Rn. 52; Gier­schmann, (Fn. 64), 482 (484 f.).
    69 Roß­na­gel, (Fn. 65), Rn. 30.
    70 Hornung/Wagner, (Fn. 64), 223 (224).
    71 Vgl. Roß­na­gel, (Fn. 65), Rn. 32.
    72 Ebd.
    73 BfDI, (Fn. 5), 5.
    74 Gola, (Rn. 34), Rn. 52 f.; BfDI, (Fn. 5), 4; Hornung/Wagner,
    (Fn. 64), ZD (2020), 223 (224).
    75 Roß­na­gel, (Fn. 65), Rn. 24; Ernst, (Fn. 46), Rn. 29; a.A. Rei­mer,
    in: Sydow (Hrsg.), Euro­päi­sche Daten­schutz­ver­ord­nung (2018),
  3. Auf­la­ge, Art. 4, Rn. 67; mit der Begrün­dung, dass die Ver­wen­dung
    den Moda­li­tä­ten nach dem Nut­zen aus § 3 Abs. 5 BDSG a.F.
    ent­spricht, aber es Ver­ar­bei­tun­gen gibt, die einen Nut­zen, aber
    kei­ne Ver­wen­dung dar­stel­len.
    76 So auch Roß­na­gel, (Fn. 65), Rn. 24; BfDI, (Fn. 5), 4.
    77 Ernst, (Fn. 46), Rn. 29.
    78 So auch Thüsing/Rombey, (Fn. 64), 548 (550).
    79 A.A. BfDI, (Fn. 5), 5; Roß­na­gel, (Fn. 65), Rn. 20.
    Daten­schutz­richt­li­nie genannt.62 Der Art. 2 lit. b Daten­schutz­richt­li­nie
    wur­de nahe­zu wort­gleich über­nom­men.
    Im Ver­gleich dazu hat Art. 4 Nr. 2 DSGVO ledig­lich
    noch wei­te­re Bei­spie­le ergänzt. Die Anony­mi­sie­rung gehör­te
    nicht dazu. Das Feh­len der Anony­mi­sie­rung legt
    die ers­te Annah­me nahe, dass die Anony­mi­sie­rung kei­ne
    Daten­ver­ar­bei­tung dar­stellt. Dies gilt es nach­fol­gend
    durch wei­te­re Aus­le­gung des Art. 4 Nr. 2 DSGVO zu
    prü­fen.
  4. Wort­laut­aus­le­gung des Art. 4 Nr. 2 DSGVO
    Vor dem Hin­ter­grund der Defi­ni­ti­on der Anony­mi­sie­rung
    könn­te die­se nach dem Wort­laut des Art. 4 Nr. 2
    DSGVO eine Ver­än­de­rung dar­stel­len. Jedoch liegt eine
    Ver­än­de­rung nur dann vor, wenn die inhalt­li­che Umge­stal­tung
    der Daten zu einem neu­en Infor­ma­ti­ons­ge­halt
    über eine Per­son führt.63 Die Anony­mi­sie­rung soll gera­de
    den Infor­ma­ti­ons­ge­halt über eine Per­son besei­ti­gen
    und kei­nen neu­en Infor­ma­ti­ons­ge­halt hinzufügen.64
    Wenn man die­se Ände­rung der Per­so­nen­be­zo­gen­heit als
    Ver­än­de­rung qua­li­fi­zie­ren wür­de, dann könn­te die Anony­mi­sie­rung
    als Ver­ar­bei­tung ein­ge­ord­net werden.65
    Jedoch wür­de eine sol­che Inter­pre­ta­ti­on ver­ken­nen, dass
    der Begriff der Ver­ar­bei­tung im Zusam­men­hang mit
    dem Begriff der per­so­nen­be­zo­ge­nen Daten aus Art. 4 Nr.
    1 DSGVO gese­hen wer­den muss.66 Somit ist der Infor­ma­ti­ons­ge­halt
    in Bezug auf die betrof­fe­ne Per­son zu ermit­teln
    und von die­ser abhän­gig. Die­ser Infor­ma­ti­ons­ge­halt
    des per­so­nen­be­zo­ge­nen Datums wird durch die Anony­mi­sie­rung
    nicht geändert.67
    Dar­über hin­aus kann die Anony­mi­sie­rung auch
    nicht mit dem Löschen i. S. v. Art. 4 Nr. 2 DSGVO gleich­ge­stellt
    werden,68 da beim Löschen die Daten irrever­si­bel
    unkennt­lich gemacht wer­den müssen.69 Zwar ist auch
    bei der Anony­mi­sie­rung das Ziel, die Zuord­nung der
    Daten auf­zu­he­ben bzw. so zu erschwe­ren, dass eine Re-
    Iden­ti­fi­ka­ti­on nur mit unver­hält­nis­mä­ßig hohen Mit­teln
    zu errei­chen ist. Mit­hin sind sowohl das Ziel als auch die
    Wir­kun­gen einer Anony­mi­sie­rung jeden­falls ver­gleich­bar
    mit denen einer Löschung.70 Jedoch führt, wenn
    über­haupt, nur die abso­lu­te Anony­mi­sie­rung zu einer
    Art irrever­si­blen Unkennt­lich­ma­chung, wobei auch
    dann noch das gespei­cher­te Medi­um bear­beit­bar, aus­les­bar
    und wahr­nehm­bar bleibt.71 Das Löschen i.S.d.
    Art. 4 Nr. 2 DSGVO erfor­dert dahin­ge­gen, dass die per­so­nen­be­zo­ge­nen
    Daten nicht mehr ver­ar­bei­tet, aus­ge­le­sen
    oder wahr­ge­nom­men wer­den können.72
    Nach Ansicht des BfDI73 und Tei­len der Literatur74
    könn­te eine Anony­mi­sie­rung zumin­dest eine Ver­wen­dung
    nach Art. 4 Nr. 2 DSGVO sein. Die Ver­wen­dung ist
    ein Auffangtatbestand.75 Bei einer wei­ten Aus­le­gung der
    Ver­wen­dung umfasst die­se jeden geziel­ten Umgang mit
    per­so­nen­be­zo­ge­nen Daten.76 Mit­hin könn­te die Anony­mi­sie­rung
    eine Ver­wen­dung und damit eine Ver­ar­bei­tung
    dar­stel­len, da beim Anony­mi­sie­rungs­pro­zess per­so­nen­be­zo­ge­ne
    Daten gehand­habt wer­den. Sofern man
    die Ver­wen­dung jedoch als zweck­ge­rich­te­tes Gebrau­chen
    oder eine inter­ne Nut­zung per­so­nen­be­zo­ge­ner Daten
    definiert,77 fällt die Anony­mi­sie­rung nicht unter Ver­wen­dung.
    Aus dem Grun­de, dass die Anony­mi­sie­rung
    selbst kein Gebrau­chen oder eine Nut­zung dar­stellt. Sie
    ist viel­mehr ein Pro­zess, der das Gebrau­chen und die
    Nut­zung von anony­mi­sier­ten Daten vor­be­rei­ten soll.78
    Schließ­lich stellt die Anony­mi­sie­rung auch kein unbe­nann­tes
    Bei­spiel des Art. 4 Nr. 2 DSGVO dar.79 Dafür
    bräuch­te es eine Begriff­lich­keit glei­cher Schwe­re. Es
    Seddig · Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft 2 9
    80 Thüsing/Rombey, (Fn. 64), 548 (550).
    81 Ebd.; in die­se Rich­tung auch Gola, (Rn. 34), Rn. 53 f.; a.A. Roß­na­gel,
    (Fn. 65), Rn. 10; Hornung/Wagner, (Fn. 64), 223 (224).
    82 Thüsing/Rombey, (Fn. 64), 548 (550).
    83 Ebd.
    84 Vgl. Hornung/Wagner, (Fn. 64), 223 (224 f.); vgl. Gier­schmann,
    (Fn. 64), 482 (485).
    85 Hornung/Wagner, (Fn. 64), 223 (225).
    86 Ebd.
    87 Ebd.
    88 Thüsing/Rombey, (Fn. 64), 548 (550); im Grun­de auch Hornung/
    Wag­ner, (Fn. 64), 223 (225), die eben­falls die Anony­mi­sie­rung als
    Schutz­in­stru­ment qua­li­fi­zie­ren.
    89 Thüsing/Rombey, (Fn. 64), 548 (552).
    90 Vgl. ebd.
    91 Ebd.; vgl. Jarass, in: Jarass, GrCh (2021), 4. Auf­la­ge, Art. 8 GrCh,
    Rn. 9 f.
    92 Vgl. ebd., vgl. Thüsing/Rombey, (Fn. 64), 548 (552).
    93 Aus­führ­lich zu den in Fra­ge kom­men­den Rechts­grund­la­gen
    Hornung/Wagner, (Fn. 64), 223 (225 ff.); dar­auf ver­wei­send Gier­schmann,
    (Fn. 64), 482 (485).
    muss also eine Ver­gleich­bar­keit und Gleich­wer­tig­keit gege­ben
    sein.80 Der Art. 4 Nr. 2 DSGVO will gera­de nicht
    jeden Umgang mit per­so­nen­be­zo­ge­nen Daten erfassen.81
    Das ent­schei­den­de Kri­te­ri­um ist, dass der Umgang mit
    den per­so­nen­be­zo­ge­nen Daten, den dar­in lie­gen­den
    Ein­griff in das Daten­schutz­grund­recht per­p­etu­iert, akzen­tu­iert,
    ver­stärkt oder abmildert.82 Die Bei­spie­le des
    Art. 4 Nr. 2 DSGVO beschrei­ben näm­lich alle­samt Pro­zes­se,
    die das Daten­schutz­ni­veau ver­än­dern. Da die Anony­mi­sie­rung
    per­sön­lich­keits­neu­tral ist, betrifft sie eben
    nicht das Datenschutzniveau.83 Somit fehlt es an der Ver­gleich­bar­keit
    und Gleich­wer­tig­keit.
  5. Teleo­lo­gi­sche Aus­le­gung des Art. 4 Nr. 2 DSGVO
    Frag­lich ist, wel­che teleo­lo­gi­sche Argu­men­ta­ti­on für
    bzw. gegen eine Qua­li­fi­ka­ti­on der Anony­mi­sie­rung als
    Ver­ar­bei­tung spricht. Die Befür­wor­ter füh­ren an, dass,
    wenn bereits das Löschen eine Ver­ar­bei­tung dar­stel­le,
    auch die Anony­mi­sie­rung eine Ver­ar­bei­tung dar­stel­len
    müsse.84 Zudem müs­se auch das Inter­es­se der betrof­fe­nen
    Per­son an einem Erhalt des Per­so­nen­be­zugs
    geschützt werden.85 Solch ein Inter­es­se bestehe bei­spiels­wei­se,
    um ver­trag­li­che Auf­be­wah­rungs­pflich­ten Drit­ten
    gegen­über zu erfül­len, die per­so­nen­be­zo­ge­nen Daten
    spä­ter in einem Rechts­streit als Beweis­mit­tel vor­zu­le­gen
    oder auch nur aus ideel­len Grün­den wei­ter ver­füg­bar zu
    halten.86 Die ent­spre­chen­den Inter­es­sen der betrof­fe­nen
    Per­son am Erhalt ihrer per­so­nen­be­zo­ge­nen Daten wür­den
    nach Ansicht von Hornung/Wagner grund­recht­lich
    durch Art. 8 GRCh und das infor­ma­tio­nel­le Selbst­be­stim­mungs­recht
    nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1
    GG geschützt.87
    Geprägt wird die Ansicht der Befür­wor­ter von dem
    Gedan­ken, dass der Umgang mit per­so­nen­be­zo­ge­nen
    Daten recht­fer­ti­gungs­be­dürf­tig sein soll. Die Anony­mi­sie­rung
    soll sich nicht im rechts­frei­en Raum bewe­gen.
    Jedoch ver­kennt man hier, dass die Anony­mi­sie­rung
    per­sön­lich­keits­neu­tral ist und gera­de Grund­rech­te und
    Grund­frei­hei­ten, die durch die DSGVO geschützt wer­den
    sol­len, grds. nicht tangiert.88 Wie oben auf­ge­zeigt, ist
    der Zweck des Art. 4 Nr. 2 DSGVO alle Vor­gän­ge zu erfas­sen,
    die das Daten­schutz­ni­veau ver­än­dern. Eine exten­si­ve
    Aus­le­gung der Norm und Ein­ord­nung der Anony­mi­sie­rung
    könn­te in der Fol­ge viel­mehr Frei­heits­grund­rech­te
    wie die For­schungs- und Wis­sen­schafts­frei­heit
    tan­gie­ren, da dog­ma­tisch schwer zu begrün­den­de
    Hür­den für die For­schen­den geschaf­fen wer­den
    wür­den.
    Fer­ner besteht die Mög­lich­keit, eine Anony­mi­sie­rung
    einer Kopie des in Fra­ge ste­hen­den Datums vor­zu­neh­men.
    89 Folg­lich kann das Löschen und die Anony­mi­sie­rung
    nicht ein­fach gleich­stellt wer­den, da durch den
    Pro­zess das ursprüng­li­che Datum erhal­ten bleibt. Dies
    ist beim Löschen gera­de nicht der Fall.90 Mit­hin ver­fan­gen
    sich dann auch nicht die Beden­ken der Befür­wor­ter,
    dass das Inter­es­se der betrof­fe­nen Per­son an dem Erhalt
    des Per­so­nen­be­zugs des Datums geschützt wer­den muss.
    Zumal aus dem Daten­schutz­grund­recht nach
    Art. 8 GrCH auch kein Recht auf Spei­che­rung, auf dem
    ein sol­ches Inter­es­se basiert wer­den könn­te, fließt.91 Die
    Spei­che­rung ist danach eine Ver­ar­bei­tungs­form, in die
    die betrof­fe­ne Per­son ein­wil­li­gen kann, aber auf die kein
    Anspruch der betrof­fe­nen Per­son besteht.92
  6. Sys­te­ma­ti­sche Pro­ble­me
    Schließ­lich wür­de die Ein­ord­nung der Anony­mi­sie­rung
    als Ver­ar­bei­tung auch sys­te­ma­ti­sche Pro­ble­me kre­ieren,
    die über­zeu­gend gelöst wer­den müss­ten. Wenn näm­lich
    die Anony­mi­sie­rung eine Ver­ar­bei­tung ist, dann fällt
    die­se Ver­ar­bei­tung unter das Ver­bots­prin­zip der
    DSGVO. Mit­hin braucht es eine Rechts­grund­la­ge für die
    Anony­mi­sie­rung von per­so­nen­be­zo­ge­nen Daten.
    Als Rechts­grund­la­ge kommt zunächst die Ein­wil­li­gung
    nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO in Betracht.
    Aber auch ohne Ein­wil­li­gung könn­te eine Anony­mi­sie­rung
    auf­grund der Erfül­lung einer recht­li­chen Ver­pflich­tung
    nach Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO oder auf­grund
    von über­wie­gen­den berech­tig­ten Inter­es­se nach
    Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO erfolgen.93 Bei letz­te­rer
    Mög­lich­keit wer­den die gegen­sei­ti­gen Inter­es­sen der Be3
    0 O R D N U N G D E R WI S S E N S C H A F T 1 ( 2 0 2 3 ) , 2 3 — 3 8
    94 Hornung/Wagner, (Fn. 64), 223 (225).
    95 Über­blick dazu Mes­ter, in: Taeger/Gabel (Hrsg.), DSGVO –
    BDSG (2022), 4. Auf­la­ge, Art. 9 DSGVO, Rn. 17 ff.
    96 So auch Hornung/Wagner, (Fn. 64), 223 (226).
    97 Ebd.
    98 So auch Thüsing/Rombey, (Fn. 64), 548 (552); Gier­schmann,
    (Fn. 64), 482 (485); Hornung/Wagner, (Fn. 64), 223 (226); die
    Pro­ble­ma­tik andeu­tend und ver­wei­send Gola, (Rn. 34), Rn. 52.
    99 Thüsing/Rombey, (Fn. 64), 548 (552); vgl. Hornung/Wagner,
    (Fn. 64), 223 (226).
    100 Thüsing/Rombey, (Fn. 64), 548 (552); vgl. Gier­schmann, (Fn. 64),
    482 (485); im Ergeb­nis vgl. Hornung/Wagner, (Fn. 64), 223 (226).
    101 Hornung/Wagner, (Fn. 64), 223 (227); eben­so Stür­mer, Löschen
    durch Anony­mi­sie­ren?, ZD (2020), 626 (631); einen ande­ren Vor­schlag
    macht Gier­schmann, der die Anony­mi­sie­rung als Löschen
    qua­li­fi­ziert, wonach der Wer­tungs­wi­der­spruch ver­mie­den wer­de;
    sie­he dazu Gier­schmann, (Fn. 64), 482 (485).
    102 Hornung/Wagner, (Fn. 64), 223 (227).
    103 Ebd.
    104 Ebd.
    105 Ebd.
    106 Thüsing/Rombey, (Fn. 64), 548 (552 f.).
    107 Ebd.
    teil­ig­ten gegen­ein­an­der abge­wo­gen. Die Anony­mi­sie­rung
    hat dann zu unter­blei­ben, wenn die Inter­es­sen oder
    die Grund­rech­te und Grund­frei­hei­ten, die den Schutz
    der per­so­nen­be­zo­ge­nen Daten erfor­dern, überwiegen.94
    Frag­lich ist jedoch, wel­che Anfor­de­run­gen an die
    Anony­mi­sie­rung von Gesund­heits­da­ten bestehen. Dafür
    muss man sich zunächst die Struk­tur von Art. 9 DSGVO
    ver­ge­gen­wär­ti­gen. Der ers­te Absatz ver­bie­tet die Ver­ar­bei­tung
    beson­de­rer Kate­go­rien von Daten. Das sind beson­ders
    sen­si­ble, also schutz­wür­di­ge Daten wie bei­spiels­wei­se
    Gesund­heits­da­ten oder gene­ti­sche Daten.
    Der zwei­te Absatz wie­der­um nor­miert Aus­nah­me­tat­be­stän­de
    wie die Ein­wil­li­gung, nach denen eine Ver­ar­bei­tung
    und eine Anony­mi­sie­rung poten­zi­ell durch­ge­führt
    wer­den könn­ten. Der Kreis der Tat­be­stän­de, nach denen
    eine Anony­mi­sie­rung statt­fin­den kann, ist ohne die Ein­wil­li­gung
    begrenzt. In Betracht kommt das sog. For­schungs­pri­vi­leg
    nach Art. 9 Abs. 2 lit. j DSGVO bzw.
    § 27 BDSG. Dane­ben ist für vie­le Tat­be­stän­de des
    Art. 9 Abs. 2 DSGVO die Aus­ge­stal­tung nicht abschlie­ßend
    geklärt, da für eini­ge der Aus­nah­men noch kon­kre­te
    uni­ons­recht­li­che oder mit­glieds­staat­li­che Rege­lun­gen
    erfor­der­lich sind.95 Somit erscheint es frag­lich,
    ob die­se Aus­nah­me­tat­be­stän­de, die grds. restrik­tiv
    aus­zu­le­gen sind, eingreifen.96 Zudem sieht der
    Art. 9 Abs. 2 DSGVO auch kei­ne Mög­lich­keit vor, die
    dem Art. 6 Abs. 1 S. 1 lit. e DSGVO ent­spricht, der eine
    Anony­mi­sie­rung bei über­wie­gen­dem Inter­es­se zulas­sen
    wür­de. Das bedeu­tet, dass selbst wenn eine Anony­mi­sie­rung
    im Inter­es­se aller Betei­lig­ten ist, die­se nicht durch­ge­führt
    wer­den kann.97
    Ins­ge­samt führt die Qua­li­fi­ka­ti­on der Anony­mi­sie­rung
    als Ver­ar­bei­tung dazu, dass ein Wer­tungs­wi­der­spruch
    offen­bart wird.98 Die Anony­mi­sie­rung beson­de­rer
    Kate­go­rien per­so­nen­be­zo­ge­ner Daten wäre bei einem
    sol­chen Ver­ständ­nis unter stren­ge­ren Vor­aus­set­zun­gen
    mög­lich als die Anony­mi­sie­rung ein­fa­cher
    per­so­nen­be­zo­ge­ner Daten. Mit­hin wird der betrof­fe­nen
    Per­son ein Schutz­in­stru­ment vor­ent­hal­ten. Dabei soll­te
    es vor dem Hin­ter­grund des Daten­schutz­grund­rechts
    genau anders­her­um sein. Die Anony­mi­sie­rung, die dem
    Schutz der betrof­fe­nen Per­son dient, müss­te für im beson­de­ren
    Maße schüt­zens­wer­te Daten i.S.d.
    Art. 9 DSGVO leich­ter mög­lich sein.99 An die Anony­mi­sie­rung
    sen­si­bler Daten stren­ge­re Anfor­de­run­gen stel­len
    zu wol­len als an die Anony­mi­sie­rung von ein­fa­chen Daten,
    ist daher unbe­strit­ten systemwidrig.100
  7. Lösungs­an­satz der teleo­lo­gi­schen Reduk­ti­on des
    Art. 4 Nr. 2 DSGVO
    Die­ses sys­te­ma­ti­sche Pro­blem wol­len Hornung/Wagner
    mit einer teleo­lo­gi­schen Reduk­ti­on des
    Art. 9 Abs. 1 DSGVO lösen.101 Die Vor­aus­set­zung für eine
    teleo­lo­gi­sche Reduk­ti­on ist, dass die vom Wort­laut
    erfass­ten Fäl­le der Ziel­set­zung des Geset­zes wider­spre­chen.
    102 So wird von Hornung/Wagner argu­men­tiert, dass
    es die Ziel­set­zung des Gesetz­ge­bers mit
    Art. 9 Abs. 1 DSGVO ist, einen zusätz­li­chen Schutz zu
    schaf­fen, da die Ver­ar­bei­tung von sen­si­blen Daten ein
    erhöh­tes Risi­ko für Grund­rech­te und –frei­hei­ten dar­stel­le.
    103 Die Anony­mi­sie­rung sei jedoch grund­sätz­lich per­sön­lich­keits­neu­tral
    und stei­ge­re das Ein­griffs­ni­veau in
    Grund­rech­te und Grund­frei­hei­ten grund­sätz­lich nicht.
    Somit wür­den die hohen Hür­den für die Anony­mi­sie­rung
    das Risi­ko für die Rech­te der betrof­fe­nen Per­son
    man­gels des Schutz­in­stru­ments der Anony­mi­sie­rung
    erhö­hen. Dies wür­de einen Wider­spruch zur Ziel­set­zung
    des Gesetz­ge­bers darstellen.104 Folg­lich müs­se eine teleo­lo­gi­sche
    Reduk­ti­on des Ver­bots in Art. 9 Abs. 1 DSGVO
    statt­fin­den. Dadurch wür­de für eine Anony­mi­sie­rung
    sen­si­bler Daten Art. 6 Abs. 1 S. 1 lit. e DSGVO bei­spiels­wei­se
    zur Anwen­dung gelangen.105 Die schutz­wür­di­gen
    Inter­es­sen der betrof­fe­nen Per­son wür­den in die Abwä­gung
    ein­flie­ßen und wären damit gewahrt.
    Gegen eine teleo­lo­gi­sche Reduk­ti­on spricht, dass der
    hohe Schutz­stan­dard von Art. 9 Abs. 1 DSGVO nicht
    leicht­fer­tig teleo­lo­gisch redu­ziert wer­den soll­te. Zumal
    dies auch das Tor zu wei­te­ren teleo­lo­gi­schen Reduk­tio­nen
    öff­nen könnte.106 Dar­über hin­aus exis­tiert bis­her
    kei­ne Pra­xis des EuGH zur teleo­lo­gi­schen Reduk­ti­on des
    Sekundärrechts.107 Viel­mehr legt der EuGH das Sekun­där­recht
    exten­siv aus und hält die Mit­glied­staa­ten eher
    Seddig · Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft 3 1
    108 Thüsing/Rombey, (Fn. 64), 548 (552 f.); ein Bei­spiel dafür EuGH,
    10.12.2020 – C‑735/19, WM (2021), 16, Rn. 76.
    109 Aus­führ­lich zum For­schungs­pri­vi­leg Becker, (Fn. 31), 103–114.
    110 Krawczak/Weichert, Vor­schlag einer moder­nen Daten­in­fra­struk­tur
    für die medi­zi­ni­sche For­schung in Deutsch­land (2017), 7,
    abruf­bar unter: https://www.uni-kiel.de/medinfo/documents/
    TWMK%20Vorschlag%20DInfMedForsch%20v1.9%20170927.pdf
    (zuletzt abge­ru­fen am 08.12.2022).
    111 Ebd.
    112 Ebd.; Spitz/Cornelius, (Fn. 2), 101 (104).
    113 Krawczak/Weichert, (Fn. 110), 7.
    114 Spitz/Cornelius, (Fn. 2), 101 (105); Arning/Forgó/Krügel, Daten­schutz­recht­li­che
    Aspek­te der For­schung mit gene­ti­schen Daten,
    DuD (2006), 700 (701).
    115 Spitz/Cornelius, (Fn. 2), 101 (105); Arning/Forgó/Krügel, (Fn. 116),
    700 (701).
    116 Spitz/Cornelius, (Fn. 2), 101 (105).
    dazu an, natio­na­les Recht ent­spre­chend zu
    reduzieren.108
  8. Zwi­schen­fa­zit
    Dog­ma­tisch lässt sich eine Ein­ord­nung der Anony­mi­sie­rung
    als Ver­ar­bei­tung i. S. d. Art. 4 Nr. 2 DSGVO schwer­lich
    begrün­den. Weder der Wort­laut noch eine etwa­ige
    teleo­lo­gi­sche Aus­le­gung lie­fern über­zeu­gen­de Argu­men­te.
    Viel­mehr wür­de die Qua­li­fi­ka­ti­on der Anony­mi­sie­rung
    zu sys­te­ma­ti­schen Wider­sprü­chen füh­ren,
    wonach die Anony­mi­sie­rung von sen­si­blen Daten i. S. d.
    Art. 9 DSGVO nur unter höhe­ren recht­li­chen Hür­den
    durch­führ­bar wäre als die Anony­mi­sie­rung von ein­fa­chen
    per­so­nen­be­zo­ge­nen Daten. Der hier­bei vor­ge­brach­te
    Ansatz der teleo­lo­gi­schen Reduk­ti­on des
    Art. 9 DSGVO ver­mag ange­sichts des beson­de­ren
    Schutz­gu­tes und der feh­len­den Rechts­übung des EuGH
    hin­sicht­lich der teleo­lo­gi­schen Reduk­ti­on des Sekun­där­rechts
    den Wer­tungs­wi­der­spruch nicht zu lösen.
    III. Anony­mi­sie­rung als Chan­ce für die Sekun­där­for­schung
    Vor die­sem Hin­ter­grund scheint die Anony­mi­sie­rung
    als Ver­fah­ren, das neben der DSGVO besteht, eine Chan­ce
    für die For­schung und Wis­sen­schaft, ins­be­son­de­re
    hin­sicht­lich der Sekun­där­nut­zung von beson­de­ren Kate­go­rien
    von Daten i. S. d. Art. 9 DSGVO, zu sein. Sie stellt
    eine Alter­na­ti­ve zum For­schungs­pri­vi­leg nach
    Art. 9 Abs. 2 lit. j DSGVO dar. Die­se zen­tra­le Norm
    eröff­net For­schen­den die Mög­lich­keit, Daten auch ohne
    Ein­wil­li­gung der betrof­fe­nen Per­so­nen zu erhe­ben.
    Danach ist eine Abwä­gung der Inter­es­sen der For­schen­den
    und der betrof­fe­nen Per­son vor­zu­neh­men. Die Ver­ar­bei­tung
    ist dabei legi­tim, soweit die Ver­ar­bei­tung für
    die For­schungs­zwe­cke erfor­der­lich ist, das For­schungs­ziel
    im ange­mes­se­nen Ver­hält­nis zum Daten­schutz der
    betrof­fe­nen Per­son steht und geeig­ne­te Garan­tien nach
    Art. 89 Abs. 1 DSGVO getrof­fen wer­den. Bei einer Anony­mi­sie­rung
    wür­de man die­se not­wen­di­ge Inter­es­sen­ab­wä­gung
    und wei­te­re Hür­den im Zusam­men­hang mit
    dem For­schungs­pri­vi­leg vermeiden.109
    Dass eine Anony­mi­sie­rung von beson­de­ren Kate­go­rien
    von Daten auch mög­lich sein soll, zeigt sich in
    § 27 Abs. 3 S. 1 BDSG, der eine frü­hest­mög­li­che Anony­mi­sie­rung
    im Rah­men der Daten­nut­zung und ‑ver­ar­bei­tung
    für die For­schung und Wis­sen­schaft vor­schreibt.
    Dabei ist für die For­schen­den beson­ders wich­tig, dass
    die DSGVO die fak­ti­sche Anony­mi­tät aus­rei­chen lässt,
    da eine abso­lu­te Anony­mi­sie­rung unter Umstän­den, wie
    oben dar­ge­stellt, einer Löschung ent­spre­chen wür­de. Die
    Löschung des Per­so­nen­be­zugs kann regel­mä­ßig den
    For­schungs­in­ter­es­sen ent­ge­gen ste­hen, da z. B. Lang­zeit­stu­di­en
    eine fort­lau­fen­de Zuord­nung neu­er Daten zu
    bereits vor­han­de­nen Daten erfordern.110 Bei Lang­zeit­stu­di­en
    steht die Wirk­sam­keit von The­ra­pien und Umwelt­fak­to­ren
    oft erst nach Jah­ren fest.111
    Die fak­ti­sche Anony­mi­sie­rung ist beson­ders bei gene­ti­schen
    Daten oder Bio­ma­te­ria­li­en der ein­zig mög­li­che
    Weg, da hier wegen der dar­in ent­hal­te­nen Erb­infor­ma­ti­on
    ein inhä­ren­ter Per­so­nen­be­zug besteht.112 Die­ser
    Umstand führt dazu, dass eine abso­lu­te Anony­mi­sie­rung
    unmög­lich ist.113 Obwohl gene­ti­sche Daten sich unver­wech­sel­bar
    auf eine natür­li­che Per­son bezie­hen, benö­tigt
    die ver­ant­wort­li­che Stel­le wei­te­res Refe­renz­wis­sen,
    um die hin­ter dem Datum ste­hen­de natür­li­che Per­son
    ein­deu­tig zu iden­ti­fi­zie­ren oder aus­rei­chend
    einzugrenzen.114 Sofern ein sol­ches Refe­renz­wis­sen zur
    Ver­fü­gung steht, eröff­net dies die Mög­lich­keit mit­tels eines
    sog. Matching-Ver­fah­rens die gene­ti­schen Daten einer
    bestimm­ten Per­son zuzuordnen.115 Ange­sichts der
    dyna­mi­schen Ent­wick­lung von Erzeu­gung, Erfas­sung
    sowie Aus­wer­tung medi­zi­ni­scher For­schungs­da­ten und
    Zunah­me von frei zugäng­li­chem Refe­renz­wis­sen sind
    die fak­ti­schen Mög­lich­kei­ten einer Anony­mi­sie­rung von
    gene­ti­schen Daten oder Gesund­heits­da­ten zuneh­mend
    begrenzt.116
    IV. Bewer­tung des Schutz­be­darfs für anony­mi­sier­te
    Daten
    Auch wenn sich der Pro­zess der Anony­mi­sie­rung, wie
    dar­ge­stellt, dog­ma­tisch schwer unter den Anwen­dungs­be­reich
    der DSGVO fas­sen lässt, bedeu­tet das nicht, dass
    3 2 O R D N U N G D E R WI S S E N S C H A F T 1 ( 2 0 2 3 ) , 2 3 — 3 8
    117 Sie­he Aus­füh­run­gen unter I.
    118 Im Ergeb­nis auch Ernst, (Fn. 46), Rn. 50.
    119 So auch Kneu­per, Anony­mi­sier­te Daten brau­chen kei­nen Daten­schutz
    – wirk­lich nicht?, in: Frie­de­wald et al. (Hrsg.), Selbst­be­stim­mung,
    Pri­vat­heit und Daten­schutz (2022), 171 (176).
    120 Ebd., 173.
    121 EuGH, (Fn. 38), Rn. 45.
    122 Kneu­per, (Fn. 119), 171 (173).
    123 Ebd., 175.
    124 Ebd., 176.
    125 Aus­führ­lich dazu ebd., 171–188; Ohm, Bro­ken Pro­mi­ses of Pri­va­cy:
    Respon­ding to the Sur­pri­sing Fail­ure of Anony­miza­ti­on. UCLA
    Law Rev. 57 (2010), 1701–1777.
    126 Kneu­per, (Fn. 119), 171 (181).
    die im Anschluss an die Anony­mi­sie­rung erhal­te­nen
    anony­mi­sier­ten Daten kei­nen wei­te­ren Schutz bedür­fen.
    Zum einen hängt in der Pra­xis die Wahr­schein­lich­keit
    einer Re-Iden­ti­fi­ka­ti­on stark davon ab, wer Zugang zu
    den Daten hat und wel­che Metho­den und Hilfs­mit­tel
    hier­für ein­ge­setzt werden.117 So ändern sich die anzu­wen­den­den
    Kri­te­ri­en Kos­ten, Zeit­auf­wand und Tech­no­lo­gie
    mit der Zeit durch den Fort­schritt im Bereich von
    Data Sci­ence, Big Data und Künst­li­cher Intelligenz.118
    Folg­lich wächst auch die Wahr­schein­lich­keit, dass eine
    sol­che Re-Iden­ti­fi­ka­ti­on tech­nisch schnel­ler mög­lich
    wird. Es ist klä­rungs­be­dürf­tig, wie man dem Risi­ko der
    Re-Iden­ti­fi­ka­ti­on nach­hal­tig ent­ge­gen­tritt. Die­ses spe­zi­el­le
    Risi­ko offen­bart das größ­te Pro­blem bei der Bewer­tung
    der Anony­mi­sie­rung und von anony­mi­sier­ten
    Daten: Die binä­re Unter­tei­lung in anony­me bzw. anony­mi­sier­te
    Daten einer­seits und per­so­nen­be­zo­ge­ne Daten
    ande­rer­seits. Sie spie­gelt die tat­säch­li­chen Ver­hält­nis­se
    und tech­ni­schen Mög­lich­kei­ten nicht wider. Die­se
    Unter­tei­lung ist zu einfach.119 Die rechts­dog­ma­ti­sche
    Kom­ple­xi­tät der Unter­schei­dung zwi­schen per­so­nen­be­zo­ge­nen
    und nicht-per­so­nen­be­zo­ge­nen Daten zeig­te
    sich bereits in der oben dar­ge­stell­ten Dis­kus­si­on zur
    Iden­ti­fi­zier­bar­keit von Daten.
    Vor dem Hin­ter­grund des oben zur Zure­chen­bar­keit
    von Zusatz­wis­sen von Drit­ten im Rah­men der Bewer­tung
    der Iden­ti­fi­zier­bar­keit von Daten Bespro­che­nen ist
    die Anony­mi­tät von Daten abhän­gig von zwei ent­schei­den­den
    Fak­to­ren: Dem Datum und dem Daten­be­sit­zer.
    Dar­aus folgt die Über­le­gung, dass es eine Ein­schrän­kung
    des Daten­be­sit­zers von anony­mi­sier­ten Daten geben
    muss, da die Daten bei einem Besit­zer anony­mi­siert, jedoch
    beim ande­ren per­so­nen­be­zo­gen sein können.120
    Der Gedan­ke, dass es Vor­schrif­ten dar­über geben muss,
    wel­che Daten, in wel­cher Form, bei wel­chem Nut­zer sein
    dür­fen, spie­gelt sich auch in den oben genann­ten Kri­te­ri­en
    des EuGH zur Zurech­nung von Zusatz­wis­sen wider.
    121 Danach erfolgt eine Zurech­nung des Zusatz­wis­sens
    für die ver­ant­wort­li­che Stel­le nicht, wenn ihr der
    Zugriff auf das Wis­sen recht­lich oder tat­säch­lich nicht
    mög­lich nicht. Die­se Kri­te­ri­en könn­ten eine Grund­la­ge
    für die Regu­lie­rung des Umgangs mit anony­mi­sier­ten
    Daten bil­den. Jedoch zeigt die oben dar­ge­stell­te Dis­kus­si­on,
    dass es kei­ne Einig­keit hin­sicht­lich der Bewer­tung
    der Zure­chen­bar­keit gibt. Dane­ben ist auch die Umsetz­bar­keit
    der EuGH-Kri­te­ri­en frag­lich, da eine lau­fen­de
    Neu­be­wer­tung der tat­säch­li­chen Gege­ben­hei­ten erfor­der­lich
    sein müss­te. Hin­zu kommt, dass es kei­ner­lei Beschrän­kun­gen
    gegen die Wei­ter­ga­be der anony­mi­sier­ten
    Daten an Drit­te mehr gibt, da die­se Daten nicht dem
    Schutz­re­gime der DSGVO unter­lie­gen. Auch eine Ver­öf­fent­li­chung
    von anony­mi­sier­ten Daten birgt die Gefahr,
    dass die­se Daten bei Drit­ten lan­den, die über die tech­ni­schen
    Mög­lich­kei­ten ver­fü­gen, durch Daten­ag­gre­ga­ti­on
    eine Re-Iden­ti­fi­ka­ti­on herbeizuführen.122
    Ein wei­te­rer Aspekt ist, dass durch die Anony­mi­sie­rung
    Pro­ble­me auch erst ent­ste­hen kön­nen. So ent­fal­len
    die Betrof­fe­nen­rech­te nach Art. 12 bis 23 DSGVO durch
    die Anony­mi­sie­rung, da anschlie­ßend die Zuord­nung
    zwi­schen Daten und der betrof­fe­nen Per­son nicht mehr
    mög­lich ist. Bei­de Punk­te zusam­men­ge­nom­men bil­den
    die Basis für die For­de­rung von Kneu­per, dass auch für
    anony­mi­sier­te Daten aus Daten­schutz­sicht ein Schutz
    erfor­der­lich ist.123 Danach soll­te die Anony­mi­sie­rung als
    eine Maß­nah­me (von meh­re­ren mög­li­chen) zum Daten­schutz
    ver­stan­den wer­den. Die­se Maß­nah­me trägt in
    vie­len Fäl­len wesent­lich zum Schutz der Daten und damit
    der betrof­fe­nen Per­son bei, gewähr­leis­tet aber kei­nen
    voll­stän­di­gen Schutz der betrof­fe­nen Person.124
  9. Pro­blem­lö­sung
    Es exis­tie­ren ver­schie­de­ne Ansät­ze, wie mit den Her­aus­for­de­run­gen
    und Risi­ken, wel­che durch die Anony­mi­sie­rung
    bzw. für die anony­men oder anony­mi­sier­ten
    Daten bestehen, umge­gan­gen wer­den kann. Im Fol­gen­den
    wer­den eini­ge die­ser Ansät­ze vorgestellt.125
    a) Ein­füh­rung einer Beob­ach­tungs­pflicht
    Ein Lösungs­an­satz ist die Ein­füh­rung einer Beob­ach­tungs­pflicht.
    Danach wird der Ver­ant­wort­li­che ver­pflich­tet,
    die Ent­wick­lung in Bezug auf neue Ver­fah­ren
    oder ande­re Daten, mit deren Hil­fe eine Re-Iden­ti­fi­ka­ti­on
    mög­lich wäre, zu beob­ach­ten und bei Bedarf die
    bereit­ge­stell­ten anony­men Daten zurückzuziehen.126
    Ange­sichts des­sen, dass eine Ver­öf­fent­li­chung von anony­mi­sier­ten
    oder per­so­nen­be­zo­ge­nen Daten nicht rück­gän­gig
    gemacht wer­den kann, ist die Effek­ti­vi­tät des
    Lösungs­an­sat­zes frag­lich. Letzt­lich stellt eine Beob­ach­Seddig
    · Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft 3 3
    127 Kneu­per, (Fn. 119), 171 (181).
    128 Ebd.
    129 So bei­spiels­wei­se in Groß­bri­tan­ni­en in Sect. 171 UK Data Pro­tec­tion
    Act (2018), abruf­bar unter https://www.legislation.gov.uk/ukpga/
    2018/12/contents/enacted (zuletzt abge­ru­fen am 08.12.2022);
    auch Roßnagel/Geminn, Ver­trau­en in Anony­mi­sie­rung,
    ZD (2021), 487 (488).
    130 Kneu­per, (Fn. 119), 171 (183).
    131 Vgl. Roßnagel/Geminn, (Fn. 129), 487 (488).
    132 Ebd.
    133 Kneu­per, (Fn. 119), 171 (183).
    134 Ebd.; Ohm, (Fn. 125), 1701 (1758).
    135 Dazu auch Ohm, (Fn. 125), 1701 (1758).
    136 Roßnagel/Geminn, (Fn. 129), 487 (490); danach wäre zudem die
    Ein­füh­rung eines Straf­tat­be­stan­des der wil­lent­li­chen Re-Iden­ti­fi­ka­ti­on
    sinn­voll.
    137 Kneu­per, (Fn. 119), 171 (183).
    138 Ebd., 188.
    tungs­pflicht nur eine Lösung für die spe­zi­el­le Situa­ti­on
    dar, in der immer wie­der neue, aktua­li­sier­te Fas­sun­gen
    der anony­mi­sier­ten Daten ver­öf­fent­licht wer­den, was
    dann bei Bedarf gestoppt wer­den kann.127 Dar­über hin­aus
    sind Ein­zel­fäl­le denk­bar, in denen die Daten nur für
    begrenz­te Zeit Schutz erfor­dern, so dass die Ver­öf­fent­li­chung
    zwar nicht rück­gän­gig gemacht wer­den kann,
    spä­ter aber kei­nen Scha­den mehr verursacht.128 Mit­hin
    ist eine Beob­ach­tungs­pflicht als allei­ni­ge Lösung unzu­läng­lich.
    Zumal sie den Ver­ant­wort­li­chen eine Pflicht
    auf­bür­den wür­de, die unter Umstän­den einen hohen
    zeit­li­chen und tech­ni­schen Auf­wand erfor­dert. Frag­lich
    ist dann, ob bei Zugrun­de­le­gung von Kos­ten-Nut­zen-
    Erwä­gun­gen eine Beob­ach­tungs­pflicht nicht eine Hür­de
    dar­stellt, die den Ver­ant­wort­li­chen in dem Maße belas­tet,
    dass er von einer Anony­mi­sie­rung oder einer Ver­öf­fent­li­chung
    von anony­mi­sier­ten Daten absieht. Die­ser
    Umstand könn­te wie­der­um einen nega­ti­ven Effekt für
    For­schungs­vor­ha­ben haben, die auf den Zugang von
    Open Data ange­wie­sen sind. Damit könn­te die Ein­füh­rung
    einer Beob­ach­tungs­pflicht die For­schungs­frei­heit
    beschrän­ken, obwohl sie den Daten­schutz vor­aus­sicht­lich
    nur sehr begrenzt för­dert.
    b) Ver­bot der Re-Iden­ti­fi­ka­ti­on
    Ein wei­te­rer Ansatz wäre es, die Re-Iden­ti­fi­ka­ti­on von
    anony­mi­sier­ten Daten grund­sätz­lich zu verbieten.129 Die
    Re-Iden­ti­fi­ka­ti­on ist zwar impli­zit auch durch die
    DSGVO ver­bo­ten, weil es kei­ne Rechts­grund­la­ge für
    die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gibt.130
    Jedoch wird argu­men­tiert, dass ein expli­zi­tes Ver­bot der
    Re-Iden­ti­fi­ka­ti­on zur Lösung des Pro­blems der Gefahr
    der Re-Iden­ti­fi­ka­ti­on bei­tra­gen könne.131 Zusätz­lich müs­se
    auch die Wei­ter­ga­be und Wei­ter­ver­ar­bei­tung von anony­mi­sier­ten
    Daten beschränkt wer­den und eine Lösch­pflicht
    für nicht mehr not­wen­di­ge anony­me Daten ein­ge­führt
    werden.132 Den­noch wird das Ver­bot der
    Re-Iden­ti­fi­ka­ti­on das Pro­blem nicht voll­stän­dig lösen
    kön­nen, da einer­seits ein gesetz­li­ches Ver­bot allein nicht
    ver­hin­dern wird, dass Besit­zer der Daten außer­halb des
    Gel­tungs­be­rei­ches des jewei­li­gen Geset­zes die Daten rei­den­ti­fi­zie­ren.
    133 Ande­rer­seits ist es auch inner­halb des
    Gel­tungs­be­rei­ches schwie­rig zu erken­nen, wann ein
    Besit­zer eine Ent­schei­dung auf Grund einer ver­bo­te­nen
    Re-Iden­ti­fi­ka­ti­on getrof­fen hat bzw. wann über­haupt
    eine Re-Iden­ti­fi­ka­ti­on erfolgt ist.134 Hier zeigt sich auch
    ein Grund­pro­blem bei der Ein­füh­rung von Ver­bo­ten
    und Pflich­ten, näm­lich die Gefahr von Umset­zungs­de­fi­zi­ten.
    Es ist frag­lich, wie und durch wen die Kon­trol­le
    der Umset­zung eines Re-Iden­ti­fi­ka­ti­ons­ver­bo­tes gewähr­leis­tet
    wer­den kann. Der Ein­blick in die Daten­ver­ar­bei­tungs­ab­läu­fe
    bei Ver­ant­wort­li­chen, die über gro­ße
    Daten­sät­ze und fort­schritt­lichs­te Ver­ar­bei­tungs­tech­ni­ken
    ver­fü­gen, ist auf­grund von ggfs. man­geln­der Exper­ti­se
    und hohem zeit­li­chen Mehr­auf­wand beschränkt.135
    Roßnagel/Geminn schla­gen vor, die Durch­set­zung eines
    Re-Iden­ti­fi­ka­ti­ons­ver­bots durch eine Abschre­ckung
    durch hohe Buß­gel­der zu gewährleisten.136
    Schließ­lich ist Kneu­per dahin­ge­hend zuzu­stim­men,
    dass es eine Her­aus­for­de­rung wäre, in einem sol­chen
    Gesetz zwi­schen legi­ti­men Grün­den für eine Re-Iden­ti­fi­ka­ti­on
    und den zu ver­bie­ten­den nicht legi­ti­men Grün­den
    zu unterscheiden.137 Für eini­ge For­schungs­we­cke ist
    es bspw. not­wen­dig, dass zumin­dest eine Mög­lich­keit
    der Re-Iden­ti­fi­ka­ti­on besteht. Mit­hin bedarf es eines
    aus­dif­fe­ren­zier­ten Ver­bo­tes. Sofern man die Gefahr des
    Umset­zungs­de­fi­zi­tes aus­klam­mert, besteht das Poten­ti­al,
    dass ein sol­ches gesetz­li­ches Ver­bot der Re-Iden­ti­fi­ka­ti­on
    als Ergän­zung wei­te­rer Maß­nah­men hel­fen, aber die
    beschrie­be­nen Pro­ble­me nicht allein lösen kön­nen
    wird.138
    c) Aus­for­mu­lie­rung kon­kre­ter Anfor­de­run­gen an den
    Grad der Anony­mi­sie­rung
    Schließ­lich exis­tie­ren Lösungs­an­sät­ze, die ein Bewer­tungs­sys­tem
    vor­se­hen, wonach der Grad der Anony­mi­tät
    von Daten bzw. der Grad der Anony­mi­sie­rung durch
    ent­spre­chen­de Anony­mi­täts­mo­del­le bestimmt wird.
    Mit­hin wür­de dies einen Anony­mi­sie­rungs­be­griff erfor­dern,
    der die recht­li­chen und tech­ni­schen Aspek­te mit­ein­an­der
    ver­bin­det. Im Zusam­men­hang mit die­sem
    Lösungs­an­satz wer­den die bereits oben erwähn­ten Ano3
    4 O R D N U N G D E R WI S S E N S C H A F T 1 ( 2 0 2 3 ) , 2 3 — 3 8
    139 Sie­he Aus­füh­run­gen unter I. 2.
    140 Kneu­per, (Fn. 119), 171 (182).
    141 Ebd.
    142 Ebd.
    143 Office for Civil Rights (OCR): Gui­dance regar­ding methods for
    de-iden­ti­fi­ca­ti­on of pro­tec­ted health infor­ma­ti­on in accordance
    with the Health Insu­rance Por­ta­bi­li­ty and Accoun­ta­bi­li­ty Act
    (HIPAA) pri­va­cy rule (2012), abruf­bar unter https://www.hhs.
    gov/hi­p­aa/­for-pro­fes­sio­nals/­pri­va­cy/s­pe­cial-topics/­de-iden­ti­fi­ca­ti­on/
    index.html (zuletzt abge­ru­fen am 08.12.2022).
    144 Ebd., 7.
    145 Ebd., 7 f.
    146 So auch im Ergeb­nis Kneu­per, (Fn. 119), 171 (182).
    nymi­täts­mo­del­le wie die k‑anonymity, l‑diversity und
    Dif­fe­ren­ti­al Pri­va­cy genannt.139 Die Bewer­tungs­ver­fah­ren
    könn­ten kon­kret dazu genutzt wer­den, um ein Min­dest­maß
    an erreich­ter Anony­mi­tät zu for­dern. Der Grad
    der Anony­mi­tät wäre von dem mit einer Re-Iden­ti­fi­ka­ti­on
    ver­bun­de­nen Risi­ko für die betrof­fe­ne Per­son abhän­gig.
    140 Ein Bei­spiel für eine ent­spre­chen­de erfor­der­li­che
    Regel lie­fert Kneu­per, wie folgt:
    „Um anony­mi­sier­te Daten zu ver­öf­fent­li­chen, die
    höchs­tens ein mitt­le­res Risi­ko dar­stel­len und deren Urbild
    kei­ne per­so­nen­be­zo­ge­nen Daten beson­de­rer Kate­go­rien
    ent­hält, muss min­des­tens eine l ‑Diver­si­tät mit
    einem Wert l = … nach­ge­wie­sen werden“.141
    Mit­hin ist Kneu­per dahin­ge­hend zuzu­stim­men, dass
    die­ser Lösungs­an­satz eine Bereit­stel­lung von anony­mi­sier­ten
    Daten für For­schungs­zwe­cke erlau­ben wür­de,
    gleich­zei­tig aber auch ein gewis­ses Min­dest­maß an Anony­mi­tät
    sicher­stel­len würde.142
    Die­ser Lösungs­an­satz ist an die US-ame­ri­ka­ni­schen
    HIP­AA-Rege­lun­gen für die Anony­mi­sie­rung von Gesund­heits­da­ten
    ange­lehnt, wel­che aus zwei Vari­an­ten bestehen.
    143 Nach der ers­ten Vari­an­te ist eine Exper­ten­be­wer­tung
    („expert determination“-method) der Anony­mi­sie­rung,
    typi­scher­wei­se basie­rend auf Anony­mi­täts­mo­del­len,
    ohne dabei aber kon­kre­te Model­le oder
    Para­me­ter vor­zu­ge­ben, durchzuführen.144 Dahin­ge­gen
    defi­niert die zwei­te Vari­an­te („safe harbor“-method)
    kon­kre­te Attri­bu­te, die bei der Anony­mi­sie­rung von Gesund­heits­da­ten
    ent­fernt bzw. zumin­dest gene­ra­li­siert
    wer­den müssen.145
    d) Zwi­schen­fa­zit
    Die ver­schie­de­nen Lösungs­an­sät­ze wie die Beob­ach­tungs­pflicht
    und das Ver­bot der Re-Iden­ti­fi­ka­ti­on schaf­fen
    es nur Teil­aspek­te der mit der Anony­mi­sie­rung und
    für anony­mi­sier­te Daten ver­bun­de­nen Risi­ken zu bewäl­ti­gen.
    Sie sind nicht voll­ends über­zeu­gend, kön­nen aber
    als Ergän­zungs­maß­nah­men in Betracht gezo­gen wer­den,
    wobei bei die­sen bei­den Lösungs­an­sät­zen ein
    erhöh­tes Risi­ko eines Umset­zungs­de­fi­zi­tes besteht.
    Über­zeu­gen­der ist viel­mehr die Aus­for­mu­lie­rung von
    kon­kre­ten Anfor­de­run­gen an den Grad der Anony­mi­sie­rung.
    Genau die­se Homo­ge­ni­sie­rung zwi­schen tech­ni­schen
    und recht­li­chen Aspek­ten der Anony­mi­sie­rung
    ist erfor­der­lich, um auf die schnell­le­bi­gen tech­ni­sch­or­ga­ni­sa­to­ri­schen
    Ent­wick­lun­gen zu reagie­ren. Hier­bei
    über­zeugt die Vari­an­te 2 der US-ame­ri­ka­ni­schen
    HIP­AA-Rege­lun­gen. Denn anders als Kneu­per argu­men­tiert,
    gewähr­leis­tet ein aus­for­mu­lier­tes Ver­fah­ren mit
    kon­kre­ten Para­me­tern, nicht nur die Trans­pa­renz des
    Ver­fah­rens, son­dern die Umsetz­bar­keit wird auch für
    Lai­en ver­ein­facht. Eine erfolgs­ori­en­tier­te Lösung, wie
    die Vari­an­te 1 es vor­sieht und für die Kneu­per plä­diert, ist
    nur durch eine Exper­ten­be­wer­tung zuver­läs­sig zu
    gewähr­leis­ten. Dies eröff­net wie­der­um ein erhöh­tes Risi­ko
    des Umset­zungs­de­fi­zi­tes, denn eine Exper­ten­be­wer­tung
    setzt Exper­ten vor­aus. Zunächst müss­te geklärt
    wer­den, wel­che Kri­te­ri­en einen Exper­ten aus­ma­chen,
    wie vie­le Exper­ten für die Bewer­tung not­wen­dig sind
    und ob die Exper­ten exter­ne Per­so­nen sein müs­sen. Der
    Pro­zess der Anony­mi­sie­rung wird durch wei­te­re Hür­de
    mög­li­cher­wei­se zeit- und kos­ten­in­ten­siv ver­län­gert.
    Zudem setzt die Exper­ten­be­wer­tung kein Modell oder
    Para­me­ter vor­aus, dies wie­der­um kann die Nach­voll­zieh­bar­keit
    von Ent­schei­dun­gen beein­flus­sen. Zumal
    auch die Chan­cen­gleich­heit unter Umstän­den tan­giert
    wer­den kann, denn ein­heit­li­che Model­le und Para­me­ter
    haben den Vor­teil, dass sie eine ein­heit­li­che Bewer­tungs­grund­la­ge
    dar­stel­len. Die Gefahr, dass die Exper­ten glei­che
    Sach­ver­hal­te anders bewer­ten, redu­ziert sich. Nichts­des­to­trotz
    kann der Ein­satz einer Exper­ten­be­wer­tung
    basie­rend auf einem kon­kret defi­nier­ten Anony­mi­täts­mo­dell
    mit kon­kre­ten Para­me­tern für die Anony­mi­sie­rung
    ins­be­son­de­re bei der Bewer­tung der Anony­mi­sie­rung
    beson­de­rer Kate­go­rien von Daten wie Gesund­heits­da­ten
    oder gene­ti­sche Daten erfor­der­lich sein.
    Damit kann ver­hält­nis­mä­ßig auf die Stei­ge­rung der
    Schutz­be­dürf­tig­keit der Daten reagiert wer­den und eine
    Sicher­heits­vor­keh­rung mehr geschaf­fen wer­den.
    Abschlie­ßend ist fest­zu­hal­ten, dass die ver­schie­de­nen
    Lösungs­an­sät­ze die ange­spro­che­ne Pro­ble­ma­tik hin­sicht­lich
    des Schutz­be­dürf­nis­ses von anony­mi­sier­ten
    Daten nicht voll­stän­dig klä­ren können.146 Dies bedeu­tet
    jedoch nicht, dass die Anony­mi­sie­rung kei­ne geeig­ne­te
    Seddig · Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft 3 5
    147 A.A. aus­führ­lich bei Zibus­ch­ka et al., Anony­miza­ti­on is dead –
    long live pri­va­cy. in: Roßnagel/Wagner/Hühnlein (Hrsg.), Open
    Iden­ti­ty Sum­mit (2019), 71–82.
    148 Spitz/Cornelius, (Fn. 2), 101 (105); vgl. Krawczak/Weichert,
    (Fn. 110), 7.
    149 Spitz/Cornelius, (Fn. 2), 101 (105); BT-Drs. 17/10488, 25 f., abruf­bar
    unter https://dserver.bundestag.de/btd/17/104/1710488.pdf (zuletzt
    abge­ru­fen am 08.12.2022).
    150 Spitz/Cornelius, (Fn. 2), 101 (106 f.).
    151 Arning/Rothkegel, (Fn. 2), Rn. 125.
    152 Anschlie­ßend kann für die Auf­ga­be der Erstel­lung und Ver­wah­rung
    der getrenn­ten Datensätze an eine Daten­treu­hand­stel­le
    über­tra­gen wer­den. Die Daten­treu­hand­stel­le ver­wal­tet das
    Pseud­onym und ist orga­ni­sa­to­risch zwi­schen die daten­hal­ten­de
    und die for­schen­de Stel­le geschal­tet; dazu Spitz/Cornelius, (Fn. 2),
    101 (106 f.).
    153 Aus­führ­lich Arning/Rothkegel, (Fn. 2), Rn. 128.
    154 So auch ebd.; Gola, (Fn. 34), Rn. 50.
    155 Vgl. Arning/Rothkegel, (Fn. 2), Rn. 128; Gola, (Fn. 34), Rn. 50.
    156 Dazu aus­führ­lich Arning/Rothkegel, (Fn. 2), Rn. 131.
    Daten­schutz­maß­nah­me dar­stellt und nicht mehr durch­ge­führt
    wer­den sollte.147 Ins­be­son­de­re der hier auf­ge­zeig­te
    Ansatz der Kon­kre­ti­sie­rung von Anony­mi­sie­rungs­an­for­de­run­gen
    im Zusam­men­hang mit tech­ni­schen Anony­mi­sie­rungs­mo­del­len
    gepaart mit der für sen­si­ble Daten
    erfor­der­li­chen Exper­ten­be­wer­tung könn­te
    Daten­schutz­be­den­ken zumin­dest ent­ge­gen­wir­ken.
    V. Pseud­ony­mi­sie­rung als Alter­na­ti­ve
    Aller­dings las­sen sich die daten­schutz­recht­li­chen Risi­ken
    beim Umgang mit gene­ti­schen Daten oder Gesund­heits­da­ten
    alter­na­tiv auch durch den Ein­satz von Pseud­ony­men
    und die iso­lier­te und kon­trol­lier­te Ver­ar­bei­tung
    der Daten maß­geb­lich ver­rin­gern. Die Pseud­ony­mi­sie­rung
    kann unter Umstän­den auch die ver­schie­de­nen
    For­schungs­in­ter­es­sen, die bei der Nut­zung von gene­ti­schen
    Daten und Gesund­heits­da­ten für For­schungs­zwe­cke
    bestehen, in Ein­klang brin­gen. Zum einen exis­tiert
    das Inter­es­se am über­in­di­vi­du­el­len Erkennt­nis­ge­winn,
    wel­ches los­ge­löst von dem hin­ter dem Datum ste­hen­den
    indi­vi­du­el­len Pati­en­ten besteht.148 Dafür bräuch­te es kei­ne
    Re-Iden­ti­fi­ka­ti­ons­mög­lich­keit des kon­kre­ten Pati­en­ten.
    Zum ande­ren ist jedoch bereits im Behand­lungs­kon­text
    auf­grund der Doku­men­ta­ti­ons­pflicht nach
    § 630 lit. f BGB der Erhalt der Iden­ti­fi­ka­ti­ons­mög­lich­keit
    erforderlich.149 Dar­über hin­aus kann die Re-Iden­ti­fi­ka­ti­ons­mög­lich­keit
    der Daten auch für die For­schungs­nut­zung
    von Inter­es­se sein. Eine fort­wäh­ren­de Zuord­nungs­mög­lich­keit
    wür­de eine Vor­sor­ge­maß­nah­me dar­stel­len,
    um bspw. Red­un­dan­zen inner­halb ver­schie­de­ner Daten­sät­ze
    aus unter­schied­li­chen Quel­len und unter­schied­li­chen
    Zeit­räu­men durch kor­rek­te Zuord­nung vor­zu­beu­gen.
    150
    Nach der Legal­de­fi­ni­ti­on des Art. 4 Nr. 5 DSGVO ist
    Pseud­ony­mi­sie­rung das Erset­zen von Iden­ti­fi­ka­ti­ons­merk­ma­len
    durch ein Kenn­zei­chen und die getrenn­te
    Auf­be­wah­rung die­ser zusätz­li­chen Infor­ma­tio­nen, um
    die Iden­ti­fi­ka­ti­on der betrof­fe­nen Per­son aus­zu­schlie­ßen.
    Dabei wer­den die iden­ti­fi­zie­ren­den Ele­men­te des
    Datums nicht gelöscht, son­dern durch einen
    Zuordnungsschlüssel ersetzt, der die Wie­der­her­stel­lung
    des Per­so­nen­be­zugs ermöglicht.151 Die­ser Pro­zess führt
    zu getrenn­ten Datensätzen152, die auch eine getrenn­te
    recht­li­che Bewer­tung zur Fol­ge haben.153
    Vor dem Hin­ter­grund des oben bespro­che­nen
    EG 26 Satz 2 DSGVO han­delt es sich bei pseud­ony­mi­sier­ten
    Daten, die durch Her­an­zie­hen zusätz­li­cher Infor­ma­tio­nen
    einer natür­li­chen Per­son zuge­ord­net wer­den
    kön­nen, um per­so­nen­be­zo­ge­ne Daten.154 Somit ist das
    Datum auch nach der Pseud­ony­mi­sie­rung ein per­so­nen­be­zo­ge­nes
    Datum für die Stel­le, die sowohl über die
    Iden­ti­fi­ka­ti­ons­merk­ma­le als auch den Zuordnungsschlüssel
    ver­fügt. Dahin­ge­gen wirkt im Bereich der
    Fremd­for­schung die Pseud­ony­mi­sie­rung aus Sicht der
    Stel­le, die aus­schließ­lich Daten ohne Zuord­nungs­schlüs­sel
    und Iden­ti­fi­ka­ti­ons­mit­tel besitzt, als Anony­mi­sie­rung.
    Zu die­sem Ergeb­nis führt die Anwen­dung des vor­zugs­wür­di­gen
    ver­mit­teln­den Ansat­zes, wonach die Iden­ti­fi­zier­bar­keit
    von der kon­kret zu betrach­ten­den Stel­le
    und das ihr recht­lich und prak­tisch zur Ver­fü­gung ste­hen­de
    Wis­sen abhängt.155
    Folg­lich ist fest­zu­hal­ten, dass die Pseud­ony­mi­sie­rung
    durch­aus eine Maß­nah­me dar­stellt, die zum einen die
    ver­schie­de­nen For­schungs­in­ter­es­sen hin­sicht­lich der
    Nut­zung von gene­ti­schen Daten und Gesund­heits­da­ten
    in einen ange­mes­se­nen Aus­gleich brin­gen
    kann. Zum ande­ren ist die Pseud­ony­mi­sie­rung
    nach Art. 25 Abs. 1 DSGVO ein Bei­spiel
    daten­schutz­freund­li­cher Vor­ein­stel­lung und nach
    Art. 32 Abs. 1 lit. a DSGVO ist die Pseud­ony­mi­sie­rung
    ein Ele­ment tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men.
    156 Die Pseud­ony­mi­sie­rung führt anders als die Anony­mi­sie­rung
    letzt­lich auch dazu, dass die Schutz­vor­schrif­ten
    der DSGVO genau für die Stel­len wei­ter­hin gel­ten,
    die über den größ­ten Zugang zu sen­si­blen Infor­ma­tio­nen
    ver­fü­gen. In der Fol­ge wer­den über den
    ver­mit­teln­den Ansatz und des­sen Bedeu­tung für die fak3
    6 O R D N U N G D E R WI S S E N S C H A F T 1 ( 2 0 2 3 ) , 2 3 — 3 8
    tische Anony­mi­sie­rung kei­ne unnö­ti­gen Hür­den für die
    For­schungs­ar­beit der Stel­len geschaf­fen, die ledig­lich
    Zugang zu den pseud­ony­mi­sier­ten Daten besit­zen. Die
    Kom­bi­na­ti­on von Pseud­ony­mi­sie­rung und fak­ti­scher
    Anony­mi­sie­rung gewähr­leis­tet einen ange­mes­se­nen
    Aus­gleich zwi­schen dem Daten­schutz und der For­schungs­frei­heit
    durch gra­du­el­le Abstu­fung des erfor­der­li­chen
    Schutz­stan­dards.
    VI. Zusam­men­fas­sung
    Bei der daten­schutz­recht­li­chen Bewer­tung und Ein­ord­nung
    der Chan­cen und Risi­ken sowie der Fol­gen der
    Anony­mi­sie­rung zeigt sich zunächst, dass eine aus­führ­li­che
    und aus­ge­wo­ge­ne Begriffs­be­stim­mung not­wen­dig
    ist. So offen­bart bereits die Bestim­mung des Begriffs der
    Iden­ti­fi­zier­bar­keit von Daten das Grund­pro­blem der
    Anony­mi­sie­rung: Ist die Anony­mi­sie­rung über­haupt
    mög­lich? Wenn man die Fra­ge aus einer abso­lu­ten Sicht­wei­se
    beant­wor­ten will, dann ist die Ant­wort: Nein. Es
    ist ins­be­son­de­re die­se Ant­wort, die die wei­te­re Bewer­tung
    aus­schlag­ge­bend beein­flusst. Der Ver­such aus fak­ti­scher
    Sicht die Fra­ge zu beant­wor­ten, führt dazu, dass
    zunächst zu defi­nie­ren ist, wann eine fak­ti­sche Anony­mi­sie­rung
    gege­ben ist. Folg­lich muss in die­sem Zusam­men­hang
    die Dis­kus­si­on über die Zurech­nung von
    Zusatz­wis­sen von Drit­ten eröff­net wer­den. Es wur­den
    drei ver­schie­de­ne Ansät­ze dar­ge­legt. Jedoch ver­mag nur
    der ver­mit­teln­de Ansatz zu über­zeu­gen. Der objek­ti­ve
    Ansatz, wel­cher aus dem Wil­len nach abso­lu­ten Ergeb­nis­sen
    und maxi­ma­ler Rechts­si­cher­heit folgt, führt zu
    nahe­zu unmög­li­chen Anfor­de­run­gen für die ver­ant­wort­li­che
    Stel­le. Danach wären alle Infor­ma­tio­nen als
    per­so­nen­be­zo­ge­ne Daten zu behan­deln, da irgend­ei­ne
    Stel­le auf der Welt über Zusatz­wis­sen ver­fü­gen könn­te.
    Die Frei­heits­grund­rech­te wer­den für den maxi­ma­len
    Schutz des Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung
    ein­ge­schränkt. Dies ist ein unver­hält­nis­mä­ßi­ges Ergeb­nis.
    Der sub­jek­ti­ve Ansatz schafft hin­ge­gen nur im gerin­gen
    Maße Abhil­fe, da er sich in dem ande­ren Extrem
    ver­liert und aus­schließ­lich auf den Ver­ant­wort­li­chen
    abstellt. Jedoch ist das Zusatz­wis­sen von Drit­ten unter
    Umstän­den ein­zu­be­zie­hen. Auch des­halb ist den vom
    EuGH auf­ge­stell­ten Para­me­tern für die Zure­chen­bar­keit
    von Zusatz­wis­sen zu fol­gen. Ohne recht­li­chen Anspruch
    und fak­ti­sche Umsetz­bar­keit kann der ver­ant­wort­li­chen
    Stel­le nicht das Zusatz­wis­sen zuge­rech­net wer­den. Die­ses
    Ergeb­nis ist ver­hält­nis­mä­ßig, da es die wider­strei­ten­den
    Inter­es­sen am über­zeu­gends­ten aus­gleicht und den
    Rechts­si­cher­heits­be­den­ken bzgl. des objek­ti­ven bzw.
    sub­jek­ti­ven Ansat­zes ent­ge­gen­wirkt.
    Fer­ner stellt sich im Anschluss die Fra­ge, ob die Anony­mi­sie­rung
    auch außer­halb des Rechts­rah­mens der
    DSGVO bestehen bleibt oder eine Daten­ver­ar­bei­tung
    i. S. d. DSGVO dar­stellt. Die Argu­men­te der befür­wor­ten­den
    Ansicht über­zeu­gen nicht. Der Gedan­ke durch
    eine Ein­ord­nung der Anony­mi­sie­rung als Daten­ver­ar­bei­tung
    Rechts­si­cher­heit zu schaf­fen, ist zwar ver­ständ­lich,
    aber die argu­men­ta­ti­ve Kon­struk­ti­on die­ses Ergeb­nis­ses
    ist dog­ma­tisch nicht halt­bar. Die inten­dier­te
    Rechts­si­cher­heit wür­de durch eine rechts­un­si­che­re Lösung
    erschaf­fen wer­den, für die es in der Form auch kei­ne
    Prä­ze­denz gibt. Die teleo­lo­gi­sche Reduk­ti­on von
    Art. 9 DSGVO ist kein geeig­ne­tes Mit­tel die sys­te­ma­ti­schen
    Pro­ble­me, vor die uns die Ein­ord­nung der Anony­mi­sie­rung
    als Ver­ar­bei­tung stellt, zu lösen.
    Nichts­des­to­trotz bleibt der recht­li­che Umgang der
    Anony­mi­sie­rung auch außer­halb der DSGVO und gera­de
    im Anschluss an die Anony­mi­sie­rung klä­rungs­be­dürf­tig.
    Die Anony­mi­sie­rung stellt auf der einen Sei­te
    eine Chan­ce für die rela­tiv hür­den­lo­se Nut­zung und Ver­ar­bei­tung
    von Daten in der For­schung und Wis­sen­schaft
    dar. Auf der ande­ren Sei­te gilt die­ser Vor­teil auch für die
    kom­mer­zi­el­le Nut­zung. Durch die Ein­ord­nung der Anony­mi­sie­rung
    außer­halb der DSGVO ent­fal­len auch
    Schutz­me­cha­nis­men der DSGVO. Die Wei­ter­ga­be an
    Drit­te ist bspw. ohne Wei­te­res mög­lich. Dies erhöht das
    Risi­ko des Miss­brauchs. Abge­se­hen davon, dass das Re-
    Iden­ti­fi­ka­ti­ons­ri­si­ko mit der Zeit, dem Zugang zu mehr
    Daten und dem tech­no­lo­gi­schen Fort­schritt stei­gen
    wird. Die Kri­te­ri­en für eine Anony­mi­sie­rung müss­ten
    ent­spre­chend ange­passt wer­den. Ins­be­son­de­re für Daten
    beson­de­rer Kate­go­rien müss­ten hohe Anfor­de­run­gen
    geschaf­fen wer­den. Hier­bei stellt der oben dar­ge­leg­te
    Ansatz der Kon­kre­ti­sie­rung von Anony­mi­sie­rungs­an­for­de­run­gen
    im Zusam­men­hang mit tech­ni­schen Anony­mi­sie­rungs­mo­del­len
    gepaart mit der für sen­si­ble Daten
    erfor­der­li­chen Exper­ten­be­wer­tung eine Lösungs­mög­lich­keit
    dar. Ergän­zend dazu könn­ten Maß­nah­men
    wie ein Re-Iden­ti­fi­ka­ti­ons­ver­bot oder eine Beob­ach­tungs­pflicht
    wei­te­ren Schutz gewähr­leis­ten. Wobei frag­lich
    ist, in wel­cher Form und unter wel­chem Regime die
    Seddig · Chan­cen und Risi­ken der Anony­mi­sie­rung für die For­schung und Wis­sen­schaft 3 7
    dar­ge­stell­ten Anfor­de­run­gen geschaf­fen wer­den könn­ten
    und ob die­se Anfor­de­run­gen über­haupt prak­tisch
    umsetz­bar wären.
    Vor die­sem Hin­ter­grund erweist sich die Pseud­ony­mi­sie­rung
    als eine Art Kom­pro­miss. Sie schafft es, die
    wider­strei­ten­den Inter­es­sen des Rechts auf infor­ma­tio­nel­le
    Selbst­be­stim­mung und der Frei­heits­grund­rech­te,
    wie der For­schungs­frei­heit, in einen aus­ge­wo­ge­nen Ein­klang
    zu brin­gen. Die Pseud­ony­mi­sie­rung ist eine Maß­nah­me
    einer daten­schutz­freund­li­chen Vor­ein­stel­lung.
    Die DSGVO fin­det wei­ter­hin Anwen­dung. Ins­be­son­de­re
    für die For­schungs­vor­ha­ben, bei denen kein Inter­es­se
    dar­an besteht, dass die Daten voll­stän­dig anony­mi­siert
    sind, ist die Pseud­ony­mi­sie­rung das daten­schutz­freund­lichs­te
    Mit­tel. Im Rah­men der Fremd­for­schung wirkt die
    Pseud­ony­mi­sie­rung nach den ver­mit­teln­den Kri­te­ri­en
    des EuGH für die Zure­chen­bar­keit von Zusatz­wis­sen wie
    eine fak­ti­sche Anony­mi­sie­rung. Mit­hin wird ein abge­stuf­tes
    Schutz­re­gime geschaf­fen. Je grö­ßer der Zugang zu
    sen­si­blen Daten ist, des­to höher die Anfor­de­rung an die
    ver­ant­wort­li­che Stel­le.
    Der Autor ist aka­de­mi­scher Mit­ar­bei­ter am Insti­tut für
    öffent­li­ches Recht (Abt II: Völ­ker­recht, Rechts­ver­glei­chung
    und Rechts­ethik) der Albert-Lud­wigs-Uni­ver­si­tät
    Frei­burg. Er ist dort tätig im Teil­pro­jekt „Legal Pro­vi­si­ons
    for Access and Use of Health-Rela­ted Data for
    Rese­arch Pur­po­ses“ (Spre­che­rin: Prof. Dr. Sil­ja Vöneky)
    des BMBF Pro­jek­tes „Data Access and Data Use in
    Health Set­tings“ (Spre­cher: PD Dr. Joa­chim Boldt). Er
    pro­mo­viert bei Prof. Dr. Sil­ja Vöneky zum The­ma
    „Künst­li­che Intel­li­genz und Gesund­heits­da­ten­schutz –
    Eine recht­li­che und ethi­sche Ana­ly­se der von KI-Sys­te­men
    gesteu­er­ten Ver­ar­bei­tung von Gesund­heits­da­ten“.
    ORDNUNG DER WISSENSCHAFT 1 (2023), 23–38 3 8