Datenschutz-Basilisk (7): «Die Regierungspräsidentin ████████ verdient …»

Wer Personendaten bearbeitet, muss das Datenschutzgesetz einhalten. Das gilt nicht mehr, wenn die Daten anonymisiert worden sind. Anonymisieren ist aber mehr als bloss den Namen entfernen!

«Was denn?», will Eveline Gasser vom Datenschutz-Basilisk wissen. «Wenn wir also Personendaten anonymisieren, dann müssen wir uns nicht mehr an das Informations- und Datenschutzgesetz halten?», will Urs Fricker wissen.

Anonymisieren

«Das stimmt», bestätigt ihm der Datenschutz-Basilisk. «Grundsätzlich muss sich eine Behörde auf eine gesetzliche Grundlage stützen können, wenn sie Personendaten bearbeiten will. Damit wird der Eingriff in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Bürgerinnen und Bürger gerechtfertigt.»

«Und wenn ich nicht mehr herausfinden kann, um wen es bei den Daten geht, dann ist dieses Grundrecht auch nicht verletzt – stimmt's?», wirft Eveline Gasser ein.

«Genau! Wenn du weisst, dass irgendeine Person an einer Krankheit leidet, aber (ohne spezielles Zusatzwissen) nicht eruieren kannst, um wen es sich bei der Person handelt, dann kann das Wissen dieser Person auch nicht schaden», gibt ihr der Datenschutz-Basilisk recht.

«Super!», jubelt Urs Fricker. Dann lassen wir einfach die Namen weg – uns reicht die Adresse ja. Und schon müssen wir die Datenschutzregeln nicht mehr beachten.»

Mehr als nur den Namen weglassen

«So einfach ist es dann auch wieder nicht», meint der Datenschutz-Basilisk. «Ich habe gesagt: wenn man nicht eruieren kann, um wen es sich handelt. Wenn du die Adresse hast, dann kannst du in vielen Fällen noch herausfinden, um wen es sich handelt, auch ohne dass der Name angegeben ist. Wenn es etwa um die Grundeigentümerin geht, dann reicht die Adresse – du kannst über das Eigentümerverzeichnis des Grundbuches herausfinden, wer die Grundeigentümerin ist. Anonymisieren – also den Personenbezug entfernen – ist mehr als nur den Namen weglassen!»

Urs Fricker wehrt sich: «Okay – aber das gilt nur, wenn es um die Grundeigentümerin geht. Handelt es sich aber um die Bewohnerinnen und Bewohner eines Hauses, dann reicht es, die Namen zu entfernen.»

«Vielleicht doch nicht ganz», mischt sich Eveline Gasser ein. «Wir haben doch auch einzelne Einfamilienhäuser. Wenn da nur eine einzige Person drin wohnt, dann kennen wir sie auch über die Adresse.»

«Richtig», nimmt der Datenschutz-Basilisk den Faden auf, «über das Basler Adressbuch kann man recht genau wissen, wer an einer bestimmten Adresse wohnt. Und auch wenn mehrere Personen in einem Haushalt leben, kann es sich, wenn sich die Aussage auf den Haushalt bezieht, um Personendaten handelt. Und dann ist das Datenschutzgesetz zu beachten.»

«Was müssen wir denn tun, damit Daten wirklich anonymisiert sind?», fragt Eveline Gasser nach.

«Eben alle Informationen entfernen, die zur Identifikation einer Person dienen können», gibt ihr der Datenschutz-Basilisk zur Antwort. «Also neben dem Namen auch die Adresse, das Geburtsdatum ....»

«Auch das Geburtsdatum?», will Urs Fricker wissen.

Keine festen Regeln

«Das kann sein, ja. Wenn es in einem Haus zehn Leute hat, neun zwischen 8 und 50 Jahren und ein Mann mit 80 Jahren, dann reicht schon sein Geburtsjahr, um diesen Mann zu identifizieren.»

«Das heisst dann eigentlich, dass es keine festen Regeln gibt?», sucht Eveline Gasser zu verstehen.

«Richtig! Identifizieren ist immer relativ: Welche Informationen stehen mir zum Vergleich zur Verfügung? Und anonymisieren ebenfalls: Was musst du an Informationen wegnehmen, damit es mir durch den Vergleich mit weiteren Informationen nicht mehr möglich ist, zu sagen, um wen es sich handelt.»

«Kann man denn Anonymität messen?», fragt Urs Fricker.

Messbare Anonymität?

«Wollt ihr es etwas theoretisch? Es gibt zum Beispiel das Konzept der k-Anonymität: k ist die Anzahl der Personen, auf welche alle Informationen mindestens noch zutreffen. Wenn man k=5 verlangt, würde das heissen, dass die Aussage, eine Person sei weiblich, 30-35 Jahre alt, wohnhaft an der Breisacherstrasse 78 noch auf mindestens 5 Personen zutreffen muss. Ist das nicht der Fall, dann können die verschiedenen Parameter verändert werden, etwa indem die 20-40-Jährigen oder alle an der Breisacherstrasse (und nicht nur im Haus Nr. 78) zusammengefasst werden.»

«Also wäre die Aussage, wieviel die Regierungspräsidentin ██████ im Jahr verdiene, nicht korrekt anonymisiert, weil die Regierungspräsidentin zu jedem Zeitpunkt bestimmbar ist», wirft Eveline Gasser ein.

«Völlig korrekt! Allerdings ist der Lohn der Regierungspräsidentin ohnehin öffentlich – die Aussage muss somit gar nicht anonymisiert werden», grinst der Datenschutz-Basilisk.