Themen / Datenschutz

Exkurs: Anony­mi­sie­rung/P­seud­ony­mi­sie­rung

26. November 2019

Ausschnitt aus dem Artikel „Zur Unabhängigkeit der staatlichen Datenschutzkontrollinstanzen. Ein Lehrstück aus der Pharma-Industrie“, erschienen in: „Worüber reden wir eigentlich?“: Festgabe für Rosemarie Will, hrsg. von M. Plöse, T. Fritsche, M. Kuhn, S. Lüders, 1. Aufl. 2016, S. 591 – 611.

Das Bundesdatenschutzgesetz weist den in § 3 verwendeten Begriffen unterschiedliche Bedeutung zu. Danach ist Anonymisieren das Verändern personenbezogener Daten derart, dass eine Re-Identifizierung weder durch den Datenverarbeiter noch durch einen mit Zusatzwissen ausgestatteten Dritten möglich ist, das heißt, dass persönliche oder sachliche Verhältnisse nicht (objektive Anonymisierung) oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft (faktische bzw. relative Anonymisierung) einer bestimmten oder bestimmbaren Person zugeordnet werden können. Dagegen ist Pseudonymisieren das Ersetzen des Namens oder anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen durch andere auszuschließen oder wesentlich zu erschweren.

Bei der Pseudonymisierung sind zwei Fallgruppen zu unterscheiden: einmal die schon genannte Zuordnung zu einer bestimmten Person, wobei es Dritten gegenüber bei den gesetzlich vorgeschriebenen Erschwernissen der Zuordnung bleibt. Die zweite Fallgruppe betrifft – bei Beibehaltung der Zuordnungsschranken Dritten gegenüber – eine Zuordnung der nicht unmittelbaren Identifikationsdaten, also der Nutzdaten, über sachlich und zeitlich getrennte Sachverhalte.

Auf den hier vorliegenden Fall angewendet: Verschiedene nacheinander zur Verrechnung eingereichte Rezeptdaten ein und derselben Person können personenbezogen zusammengeführt werden, ohne dass Dritten gegenüber die betroffene Person als solche identifiziert wird. Wo Daten zu einer Person zusammengefasst werden, ohne dass diese Person identifiziert wird, liegt per gesetzlicher Definition gleichwohl keine Anonymisierung vor. Der Gesetzgeber hat diese Unterscheidung selbst in § 300 Abs. 2 SGB V getroffen und beide Begriffe unterschiedlich verwendet. Wenn also eine Zuordnungsregel besteht, die jenseits der unmittelbaren Identifizierungsdaten eine Zusammenführung unterschiedlicher Datenmengen zur gleichen Person ermöglicht, liegt keine Anonymisierung vor. Im Rechtsstreit machte die VSA GmbH aus Daten mit Zuordnungsmöglichkeit von weiteren Datensätzen, also aus Pseudonymen, ein angeblich gesetzeskonformes „Patientenanonym“ – also die Quadratur des Kreises.

Die Hinzusetzung eines z. B. neuen Datensatzes zu einem schon vorhandenen und verschlüsselten Datensatz kann logischerweise nur darüber geschehen, dass der verschlüsselte Datensatz immer auch kompatibel und beziehbar sein muss für den zu identifizierenden und insoweit klassischen Personendatensatz. Das heißt, bei dem Rechenzentrum bzw. von diesem beauftragten Datenverarbeitern oder Trustcentern muss zwangsläufig immer eine identifizierende Zuordnung der Klardaten zu den von ihr verschlüsselten Daten bestehen. Anders wäre eine solche Zuordnung nicht möglich.

Wenn die Abrechnungszentren der Pharmaindustrie bzw. Marktforschungsunternehmen wie IMS Health Daten zur Verfügung stellen, die mit einem „Patientenanonym“ gekennzeichnet sind, dann können und sollen diese Marktforschungsunternehmen Langzeitprofile zu bestimmten (zunächst namentlich nicht bekannten) Personen unter einem „Patientenanonym“ erzeugen. Mit jedem zusätzlichen Datensatz erhöht sich jedoch der Grad der Einmaligkeiten und damit der Identifizierbarkeit der Nutzdaten, was alle drei Schutzbereiche betrifft: Patienten, Ärzte und Apotheken.

nach oben